Za naruszenie zasad rozporządzenia o ochronie danych osobowych (RODO) grożą zarówno sankcje administracyjne, jak i kary finansowe. Wśród sankcji administracyjnych dla administratora lub podmiotu przetwarzającego są m.in.:
Organem odpowiedzialnym za egzekwowanie w Polsce przestrzegania zasad RODO będzie Prezes Urzędu Ochrony Danych Osobowych, który zastąpi funkcję Generalnego Inspektora Ochrony Danych Osobowych.
W zależności od artykułu RODO, który zostanie naruszony, kara finansowa może sięgnąć:
Kara do 10 mln euro lub 2 proc. rocznego obrotu będzie groziła za naruszenia przepisów RODO dotyczących m.in.:
Lista jest długa, ale chodzi o takie przewinienia jak np. niepoinformowanie danej osoby o wycieku jej danych, nierejestrowanie czynności przetwarzania czy brak wdrożenia odpowiednich środków technicznych i organizacyjnych.
Kara do 20 mln euro lub 4 proc. rocznego obrotu będzie groziła za naruszenia przepisów RODO dotyczących m.in.:
Znów - lista możliwych przewinień jest długa, ale chodzi m.in. o nieprzestrzeganie warunków zgody czy nierespektowanie praw osób, których dane dotyczą - w tym do prawa dostępu do danych, prawa do sprostowania, prawa do bycia zapomnianym czy prawa do ograniczenia przetwarzania.
Warto jednak zaznaczyć, że drakońsko wyglądające kary idące w dziesiątki milionów złotych to górny limit, a ustalając ich wysokość pod uwagę będzie brane mnóstwo czynników, m.in. waga i czas trwania naruszenia, umyślność/nieumyślność przewinienia, stopień współpracy z Prezesem Urzędu Ochrony Danych Osobowych czy kategorie danych osobowych, których dotyczyło naruszenie.
Ze szczegółami można zapoznać się w rozporządzeniu RODO.
RODO ma na celu ujednolicenie przepisów dotyczących zbierania i przetwarzania danych osobowych przez firmy, fundacje, sklepy i strony internetowe i wszelkie inne podmioty i instytucje. Dane osobowe mają być lepiej chronione, rozporządzenie ma chronić przed handlem nimi. Uwaga, chodzi nie tylko o tak oczywiste dane osobowe jak m.in. imię, nazwisko, numer PESEL czy numer dokumentu tożsamości, ale także o wszelkie informacje pozwalające na naszą identyfikację, także w przestrzeni cyfrowej.
Firmy zatrudniające więcej niż 250 osób będą też musiały prowadzić Rejestr Czynności Przetwarzania - czyli wykaz wszelkich czynności dokonywanych w związku z danymi osobowymi. Niektóre podmioty muszą też powołać Inspektora Danych Osobowych.
Zgodnie z przepisami RODO, będziemy musieli wyraźnie zgodzić się na przetwarzanie naszych danych, będziemy mogli zażądać ich usunięcia z bazy albo podania informacji komu i kiedy dane zostały przekazane, będziemy musieli być informowani o ich wycieku. Dostaniemy też m.in. prawo „do bycia zapomnianym” czy prawo do przenoszenia danych pomiędzy podmiotami.
Czytaj też: RODO oznacza nowe uciążliwe obowiązki dla firm? Ministerstwo Cyfryzacji uspokaja: to mit
***