RODO: kary mogą być bardzo dotkliwe. Już od piątku duże zmiany

Kary za złamanie zasad RODO mogą sięgnąć 20 mln euro, a w przypadku największych firm nawet więcej. Już od piątku 25 maja przedsiębiorcy i inne instytucje muszą dostosować się do wymogów rozporządzenia.

Za naruszenie zasad rozporządzenia o ochronie danych osobowych (RODO) grożą zarówno sankcje administracyjne, jak i kary finansowe. Wśród sankcji administracyjnych dla administratora lub podmiotu przetwarzającego są m.in.:

  • ostrzeżenia i upomnienia,

  • nakazanie spełnienia żądania osoby, której dane dotyczą,

  • nakazanie zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych,

  • wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania,

  • nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania,

  • cofnięcie certyfikacji.

Organem odpowiedzialnym za egzekwowanie w Polsce przestrzegania zasad RODO będzie Prezes Urzędu Ochrony Danych Osobowych, który zastąpi funkcję Generalnego Inspektora Ochrony Danych Osobowych.

W zależności od artykułu RODO, który zostanie naruszony, kara finansowa może sięgnąć:

  • 10 mln euro lub - w przypadku przedsiębiorstw - do 2 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. UWAGA, zastosowanie ma kwota wyższa!

  • 20 mln euro lub - w przypadku przedsiębiorstw - do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. UWAGA, zastosowanie ma kwota wyższa!

Kara do 10 mln euro lub 2 proc. rocznego obrotu będzie groziła za naruszenia przepisów RODO dotyczących m.in.:

  • obowiązków administratora i podmiotu przetwarzającego,

  • obowiązków podmiotu certyfikującego (jeśli jakaś firma będzie chciała mieć "papier", że przestrzega zasad RODO, będzie mogła wystąpić o stosowny certyfikat do takiego "podmiotu certyfikującego" wskazanego przez Prezesa Urzędu Ochrony Danych Osobowych; Uzyskanie certyfikatu jest NIEOBOWIĄZKOWE),

  • obowiązków podmiotu monitorującego.

Lista jest długa, ale chodzi o takie przewinienia jak np. niepoinformowanie danej osoby o wycieku jej danych, nierejestrowanie czynności przetwarzania czy brak wdrożenia odpowiednich środków technicznych i organizacyjnych.

Kara do 20 mln euro lub 4 proc. rocznego obrotu będzie groziła za naruszenia przepisów RODO dotyczących m.in.:

  • podstawowych zasad przetwarzania, w tym warunków zgody,

  • praw osób, których dane dotyczą,

  • przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej,

  • nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych.

Znów - lista możliwych przewinień jest długa, ale chodzi m.in. o nieprzestrzeganie warunków zgody czy nierespektowanie praw osób, których dane dotyczą - w tym do prawa dostępu do danych, prawa do sprostowania, prawa do bycia zapomnianym czy prawa do ograniczenia przetwarzania.

Warto jednak zaznaczyć, że drakońsko wyglądające kary idące w dziesiątki milionów złotych to górny limit, a ustalając ich wysokość pod uwagę będzie brane mnóstwo czynników, m.in. waga i czas trwania naruszenia, umyślność/nieumyślność przewinienia, stopień współpracy z Prezesem Urzędu Ochrony Danych Osobowych czy kategorie danych osobowych, których dotyczyło naruszenie.

Ze szczegółami można zapoznać się w rozporządzeniu RODO.

O co chodzi w RODO?

RODO ma na celu ujednolicenie przepisów dotyczących zbierania i przetwarzania danych osobowych przez firmy, fundacje, sklepy i strony internetowe i wszelkie inne podmioty i instytucje. Dane osobowe mają być lepiej chronione, rozporządzenie ma chronić przed handlem nimi. Uwaga, chodzi nie tylko o tak oczywiste dane osobowe jak m.in. imię, nazwisko, numer PESEL czy numer dokumentu tożsamości, ale także o wszelkie informacje pozwalające na naszą identyfikację, także w przestrzeni cyfrowej. 

Firmy zatrudniające więcej niż 250 osób będą też musiały prowadzić Rejestr Czynności Przetwarzania - czyli wykaz wszelkich czynności dokonywanych w związku z danymi osobowymi. Niektóre podmioty muszą też powołać Inspektora Danych Osobowych.

Zgodnie z przepisami RODO, będziemy musieli wyraźnie zgodzić się na przetwarzanie naszych danych, będziemy mogli zażądać ich usunięcia z bazy albo podania informacji komu i kiedy dane zostały przekazane, będziemy musieli być informowani o  ich wycieku. Dostaniemy też m.in. prawo „do bycia zapomnianym” czy prawo do przenoszenia danych pomiędzy podmiotami.

Czytaj też: RODO oznacza nowe uciążliwe obowiązki dla firm? Ministerstwo Cyfryzacji uspokaja: to mit

***

Dominika Nowak: Czasem tylko dzięki szalonej odwadze, można zacząć działać [NEXT TIME]