RODO: kary mogą być bardzo dotkliwe. Już od piątku duże zmiany

Kary za złamanie zasad RODO mogą sięgnąć 20 mln euro, a w przypadku największych firm nawet więcej. Już od piątku 25 maja przedsiębiorcy i inne instytucje muszą dostosować się do wymogów rozporządzenia.

Za naruszenie zasad rozporządzenia o ochronie danych osobowych (RODO) grożą zarówno sankcje administracyjne, jak i kary finansowe. Wśród sankcji administracyjnych dla administratora lub podmiotu przetwarzającego są m.in.:

  • ostrzeżenia i upomnienia,

  • nakazanie spełnienia żądania osoby, której dane dotyczą,

  • nakazanie zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych,

  • wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania,

  • nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania,

  • cofnięcie certyfikacji.

Organem odpowiedzialnym za egzekwowanie w Polsce przestrzegania zasad RODO będzie Prezes Urzędu Ochrony Danych Osobowych, który zastąpi funkcję Generalnego Inspektora Ochrony Danych Osobowych.

W zależności od artykułu RODO, który zostanie naruszony, kara finansowa może sięgnąć:

  • 10 mln euro lub - w przypadku przedsiębiorstw - do 2 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. UWAGA, zastosowanie ma kwota wyższa!

  • 20 mln euro lub - w przypadku przedsiębiorstw - do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. UWAGA, zastosowanie ma kwota wyższa!

Kara do 10 mln euro lub 2 proc. rocznego obrotu będzie groziła za naruszenia przepisów RODO dotyczących m.in.:

  • obowiązków administratora i podmiotu przetwarzającego,

  • obowiązków podmiotu certyfikującego (jeśli jakaś firma będzie chciała mieć "papier", że przestrzega zasad RODO, będzie mogła wystąpić o stosowny certyfikat do takiego "podmiotu certyfikującego" wskazanego przez Prezesa Urzędu Ochrony Danych Osobowych; Uzyskanie certyfikatu jest NIEOBOWIĄZKOWE),

  • obowiązków podmiotu monitorującego.

Lista jest długa, ale chodzi o takie przewinienia jak np. niepoinformowanie danej osoby o wycieku jej danych, nierejestrowanie czynności przetwarzania czy brak wdrożenia odpowiednich środków technicznych i organizacyjnych.

Kara do 20 mln euro lub 4 proc. rocznego obrotu będzie groziła za naruszenia przepisów RODO dotyczących m.in.:

  • podstawowych zasad przetwarzania, w tym warunków zgody,

  • praw osób, których dane dotyczą,

  • przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej,

  • nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych.

Znów - lista możliwych przewinień jest długa, ale chodzi m.in. o nieprzestrzeganie warunków zgody czy nierespektowanie praw osób, których dane dotyczą - w tym do prawa dostępu do danych, prawa do sprostowania, prawa do bycia zapomnianym czy prawa do ograniczenia przetwarzania.

Warto jednak zaznaczyć, że drakońsko wyglądające kary idące w dziesiątki milionów złotych to górny limit, a ustalając ich wysokość pod uwagę będzie brane mnóstwo czynników, m.in. waga i czas trwania naruszenia, umyślność/nieumyślność przewinienia, stopień współpracy z Prezesem Urzędu Ochrony Danych Osobowych czy kategorie danych osobowych, których dotyczyło naruszenie.

Ze szczegółami można zapoznać się w rozporządzeniu RODO.

O co chodzi w RODO?

RODO ma na celu ujednolicenie przepisów dotyczących zbierania i przetwarzania danych osobowych przez firmy, fundacje, sklepy i strony internetowe i wszelkie inne podmioty i instytucje. Dane osobowe mają być lepiej chronione, rozporządzenie ma chronić przed handlem nimi. Uwaga, chodzi nie tylko o tak oczywiste dane osobowe jak m.in. imię, nazwisko, numer PESEL czy numer dokumentu tożsamości, ale także o wszelkie informacje pozwalające na naszą identyfikację, także w przestrzeni cyfrowej. 

Firmy zatrudniające więcej niż 250 osób będą też musiały prowadzić Rejestr Czynności Przetwarzania - czyli wykaz wszelkich czynności dokonywanych w związku z danymi osobowymi. Niektóre podmioty muszą też powołać Inspektora Danych Osobowych.

Zgodnie z przepisami RODO, będziemy musieli wyraźnie zgodzić się na przetwarzanie naszych danych, będziemy mogli zażądać ich usunięcia z bazy albo podania informacji komu i kiedy dane zostały przekazane, będziemy musieli być informowani o  ich wycieku. Dostaniemy też m.in. prawo „do bycia zapomnianym” czy prawo do przenoszenia danych pomiędzy podmiotami.

Czytaj też: RODO oznacza nowe uciążliwe obowiązki dla firm? Ministerstwo Cyfryzacji uspokaja: to mit

***

Dominika Nowak: Czasem tylko dzięki szalonej odwadze, można zacząć działać [NEXT TIME]

Więcej o:
Komentarze (53)
RODO: kary mogą być bardzo dotkliwe. Już od piątku duże zmiany
Zaloguj się
  • remo29

    Oceniono 21 razy 11

    Wyjątkowo bez ironii: może mi ktoś wytłumaczyć po chu to w ogóle jest? Bo że nagle przestaną do mnie dzwonić z gó...anymi ofertami i spamować mnie wszelkiej maści syfem, nie uwierzę. Na razie dostaję mega-spam właśnie o RODO, każdy o mnie dba, każdy ma na sercu moje dobro, blablabla, eeee... macarena.

  • lewostronna

    Oceniono 12 razy 10

    Nie wyraziłam zgody, zapisałam zmiany, a komunikat nadal na.kur.wia.

  • actchris

    Oceniono 14 razy 10

    To zacznijcie od siebie, nie wyrażam zgody na marketing i przeważanie danych i to zaznaczyłem w cookies od was to co wejdę na stronę to od nowa ta sama jazda próbą wymuszenia wciśnięcia OK i wyrażenia zgody.

  • Cyryl Pawel

    Oceniono 8 razy 4

    Widzę, po komentarzach, że Janusze biznesu, zasypujący spokojnych ludzi spamem, się boją. I dobrze, niech się boją.

  • grundol1

    Oceniono 9 razy 3

    "Już od jutra duże zmiany "

    1) polskiej ustawy jeszcze nie została podpisana prze Prezydenta czyli nie obowiązuje
    2) nie ma nowego urzędu, który zostanie powołany przez ta ustawę i który ma zastąpić GIODO.
    3) przyszli urzędnicy przyszłego urzędu nie przeszli jeszcze odpowiednich szkoleń

  • ankhar

    Oceniono 6 razy 2

    "Klikając OK wyrażasz zgodę na przetwarzanie danych osobowych przez Agora S.A. i Zaufanych Partnerów Agora S.A. do celów marketingowych, w szczególności na potrzeby wyświetlania reklam dopasowanych do Twoich zainteresowań i preferencji w serwisach Agora S.A. i w Internecie. Pamiętaj, że wyrażenie zgody jest dobrowolne a wyrażoną zgodę możesz w każdej chwili cofnąć "

    Czy administratorzy Gazeta.pl wiedzą, że to nielegalne? Wg. GDPR zgoda nie może być wymuszona ani domyślna. Nawet zaprezentowanie opcji z domyślnie zaznaczonym 'zgadzam się' jest jest poprawne.
    A kwiatków typu 'dalej aktywnie korzystając z serwisu zgadzasz się ...' to chyba żadnemu prawnikowi nie pokazano.

  • alicjads

    Oceniono 6 razy 2

    Mnie wkurzają smsy z ofertami od roznych podmiotów, ktorym na pewno nie podawałam swoich danych! Czy w świetle nowych przepisów da sie z tym coś zrobić.

  • maj.basia

    Oceniono 1 raz 1

    Ale jak się ma co do czego, jak cały czas pokazuje mi się "wezwanie" bym dała swoje dane osobowe, bo oni chcą 'przetwarzać" i posyłać mi "moje ulubione reklamy" (sic), a ja nie chcę żeby
    mnie "uszczęśliwiano" na siłę i kasuję te wezwania, a oni "a piać" to samo. To co jest grane ?

Aby ocenić zaloguj się lub zarejestrujX