Za naruszenie zasad rozporządzenia o ochronie danych osobowych (RODO) grożą zarówno sankcje administracyjne, jak i kary finansowe. Wśród sankcji administracyjnych dla administratora lub podmiotu przetwarzającego są m.in.:
- ostrzeżenia i upomnienia,
- nakazanie spełnienia żądania osoby, której dane dotyczą,
- nakazanie zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych,
- wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania,
- nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania,
- cofnięcie certyfikacji.
Organem odpowiedzialnym za egzekwowanie w Polsce przestrzegania zasad RODO będzie Prezes Urzędu Ochrony Danych Osobowych, który zastąpi funkcję Generalnego Inspektora Ochrony Danych Osobowych.
W zależności od artykułu RODO, który zostanie naruszony, kara finansowa może sięgnąć:
- 10 mln euro lub - w przypadku przedsiębiorstw - do 2 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. UWAGA, zastosowanie ma kwota wyższa!
- 20 mln euro lub - w przypadku przedsiębiorstw - do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. UWAGA, zastosowanie ma kwota wyższa!
Kara do 10 mln euro lub 2 proc. rocznego obrotu będzie groziła za naruszenia przepisów RODO dotyczących m.in.:
- obowiązków administratora i podmiotu przetwarzającego,
- obowiązków podmiotu certyfikującego (jeśli jakaś firma będzie chciała mieć "papier", że przestrzega zasad RODO, będzie mogła wystąpić o stosowny certyfikat do takiego "podmiotu certyfikującego" wskazanego przez Prezesa Urzędu Ochrony Danych Osobowych; Uzyskanie certyfikatu jest NIEOBOWIĄZKOWE),
- obowiązków podmiotu monitorującego.
Lista jest długa, ale chodzi o takie przewinienia jak np. niepoinformowanie danej osoby o wycieku jej danych, nierejestrowanie czynności przetwarzania czy brak wdrożenia odpowiednich środków technicznych i organizacyjnych.
Kara do 20 mln euro lub 4 proc. rocznego obrotu będzie groziła za naruszenia przepisów RODO dotyczących m.in.:
- podstawowych zasad przetwarzania, w tym warunków zgody,
- praw osób, których dane dotyczą,
- przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej,
- nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych.
Znów - lista możliwych przewinień jest długa, ale chodzi m.in. o nieprzestrzeganie warunków zgody czy nierespektowanie praw osób, których dane dotyczą - w tym do prawa dostępu do danych, prawa do sprostowania, prawa do bycia zapomnianym czy prawa do ograniczenia przetwarzania.
Warto jednak zaznaczyć, że drakońsko wyglądające kary idące w dziesiątki milionów złotych to górny limit, a ustalając ich wysokość pod uwagę będzie brane mnóstwo czynników, m.in. waga i czas trwania naruszenia, umyślność/nieumyślność przewinienia, stopień współpracy z Prezesem Urzędu Ochrony Danych Osobowych czy kategorie danych osobowych, których dotyczyło naruszenie.
Ze szczegółami można zapoznać się w rozporządzeniu RODO.
O co chodzi w RODO?
RODO ma na celu ujednolicenie przepisów dotyczących zbierania i przetwarzania danych osobowych przez firmy, fundacje, sklepy i strony internetowe i wszelkie inne podmioty i instytucje. Dane osobowe mają być lepiej chronione, rozporządzenie ma chronić przed handlem nimi. Uwaga, chodzi nie tylko o tak oczywiste dane osobowe jak m.in. imię, nazwisko, numer PESEL czy numer dokumentu tożsamości, ale także o wszelkie informacje pozwalające na naszą identyfikację, także w przestrzeni cyfrowej.
Firmy zatrudniające więcej niż 250 osób będą też musiały prowadzić Rejestr Czynności Przetwarzania - czyli wykaz wszelkich czynności dokonywanych w związku z danymi osobowymi. Niektóre podmioty muszą też powołać Inspektora Danych Osobowych.
Zgodnie z przepisami RODO, będziemy musieli wyraźnie zgodzić się na przetwarzanie naszych danych, będziemy mogli zażądać ich usunięcia z bazy albo podania informacji komu i kiedy dane zostały przekazane, będziemy musieli być informowani o ich wycieku. Dostaniemy też m.in. prawo „do bycia zapomnianym” czy prawo do przenoszenia danych pomiędzy podmiotami.
Czytaj też: RODO oznacza nowe uciążliwe obowiązki dla firm? Ministerstwo Cyfryzacji uspokaja: to mit
***
