Z jednej strony założeniem RODO jest rozliczanie za skuteczność ochrony danych osobowych. Ogólnie rzecz ujmując, RODO nie obliguje do prowadzenia konkretnej dokumentacji. Niemniej jednak braki w dokumentacji ODO mogą skutkować wymierzeniem administracyjnej kary pieniężnej.
W temacie tygodnia o karach pieniężnych za nieprawidłowości w dokumentacji ODO m.in. za:
Obecnie administracyjna kara pieniężna może być wymierzona bezpośrednio po zakończeniu postępowania w sprawie stwierdzenia naruszenia. Prezes UODO nie musi najpierw nakazywać usunięcia stwierdzonych nieprawidłowości. Brak dokumentacji ODO może niejako bez uprzedzenia doprowadzić do konsekwencji finansowych.
RODO wyszczególnia 2 grupy, których naruszenie skutkuje odpowiedzialnością finansową.
|
kwota kary |
przykładowe naruszenia ochrony danych |
|
uwzględnianie ochrony danych w fazie projektowania oraz przestrzegania zasady domyślnej ochrony danych |
|
wynikające ze współadministrowania danymi osobowymi |
|
|
związane z przetwarzaniem w twoim imieniu danych przez podmiot przetwarzający |
|
|
rejestrowanie czynności przetwarzania |
|
|
współpraca z organem nadzorczym |
|
|
stosowanie odpowiednich środków bezpieczeństwa zapewniających wymagany poziom ochrony danych osobowych |
|
|
zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu |
|
|
zawiadamianie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych |
|
|
związane z oceną skutków przetwarzania dla ochrony danych osobowych |
|
|
konsultacja planowanego przetwarzania danych z organem nadzorczym, jeśli była wymagana |
|
|
podstawowe zasady przetwarzania danych osobowych (W tym warunki i zasady uzyskiwania zgody osoby, której dane dotyczą) |
|
prawa osób, których dane dotyczą |
|
|
przekazywanie danych osobowych do państw trzecich |
Kary nie mogą przekroczyć 100 000 zł w przypadku:
RODO wiąże wysokość administracyjnych kar pieniężnych z określonymi kategoriami naruszeń ochrony danych. Kary są różnicowane w kontekście okoliczności faktycznych danego przypadku. Do kryteriów różnicujących zalicza się np.:
W jakich przypadkach administrator może odpowiadać za nieprawidłowości w dokumentacji? Otóż administracyjna kara pieniężna może grozić za nieprowadzenie lub nienależyte prowadzenie rejestru czynności przetwarzania danych.
Administrator może zostać ukarany np. za niepodanie wszystkich czynności przetwarzania, jakie mają miejsce w organizacji.
Bardzo często spotyka się również naruszenia w postaci niezawarcia umowy powierzenia przetwarzania danych osobowych. To bardzo popularne naruszenie ochrony danych dotyczące dokumentacji ODO.
Burmistrz zaniechał zawarcia umowy powierzenia przetwarzania danych z firmą obsługującą stronę Biuletynu Informacji Publicznej dla gminy. W efekcie Prezes UODO wymierzył karę w kwocie 40 000 zł (decyzja Prezesa UODO z 18 października 2019 r. ZSPU.421.3.2019).
Podobnym błędem w zakresie dokumentacji ODO jest niewydanie upoważnień do przetwarzania danych osobowych. Takie upoważnienia powinny zostać udzielone osobom przetwarzającym dane w imieniu administratora.
Wprawdzie takie dokumenty jak polityka bezpieczeństwa czy procedura postępowania na wypadek naruszeń nie są wprost przewidziane w RODO. Niemniej jednak ich w brak połączony z nieskutecznym działaniem administratora na tych płaszczyznach z całą pewnością może być obciążający.
W omawianej już sprawie dotyczącej Biuletynu Informacji Publicznej jednym ze stwierdzonych naruszeń był „brak odpowiednich polityk dotyczących przetwarzania danych osobowych w Biuletynie Informacji Publicznej Urzędu Miejskiego […] pod kątem ich aktualności i celowości publikacji oraz określających terminy usunięcia danych osobowych”.
Zdarza się również, że administratorzy pozyskują zgody na przetwarzanie danych osobowych niezgodnie z wymogami RODO.
Prezes UODO ukarał jedną ze szkół administracyjną karą pieniężną w wysokości 20 000 zł. Karę wymierzono za przetwarzanie danych biometrycznych uczniów na podstawie zgód ich rodziców. Tych zgód nie można było uznać za dobrowolne. Sprawa ta była przedmiotem decyzji z dnia 18 lutego 2020 r. ZSZZS.440.768.2018
Kara może być wymierzona także za braki w zawartej umowie powierzenia przetwarzania danych. Takiego uchybienia dopuściła się w przeszłości Krajowa Szkołą Sądownictwa i Prokuratury. Zawierane przez nią umowy powierzenia m.in. niewystarczająco precyzowały zakres przekazywanych danych. W efekcie KSSiP zostało ukarane sankcją w wysokości 100 tys. zł (decyzja z dnia 11 stycznia 2021 r. DKN.5130.2815.2020).
Błędy w zakresie dokumentacji ODO mogą obejmować również wykonywanie praw podmiotów danych.
Administrator nie posiada dokumentów potwierdzających obowiązek powiadomienia o:
Zdecydowanie najwięcej kar wymierzanych jest za brak sporządzania zawiadomień o naruszeniu ochrony danych osób, których te dane dotyczą.
W niedawnej decyzji z 14 października 2021 r. (DKN.5131.16.2021) Prezes UODO wymierzył karę w wysokości ponad 363 tys. zł. Bank nie powiadomił podmiotów danych o naruszeniu. Założył bowiem, że zagrożenie dla ich praw i wolności nie było wysokie. Według organu nadzorczego była to błędna ocena, choćby dlatego, że wyciek danych dotyczył m.in. numerów PESEL klientów. Za niepowiadomienie podmiotów danych ukarano też Fundację Lex Nostra (decyzja z 30 czerwca 2021 r. DKN.5131.11.2020).
Brak dokumentacji poza karami pieniężnymi może spotkać się również z innymi konsekwencjami. Wszak Prezes UODO ma stosunkowo szerokie uprawnienia kontrolne i naprawcze. W przypadku naruszeń w zakresie dokumentacji organ nadzorczy może więc, zamiast od razu wymierzać karę pieniężną:
W toku kontroli Prezes UODO stwierdził brak rejestru czynności przetwarzania. Jak się okazało, administrator pozostawał w błędnym przeświadczeniu, że z uwagi na profil działalności nie musi on prowadzić takiego rejestru. Przyjął bowiem, że jego działalność nie wiąże się z ryzykiem naruszenia praw i wolności osób fizycznych. Prezes UODO poprzestał na nakazaniu wdrożenia takiego rejestru i odstąpił od ukarania administracyjną karą pieniężną.
Oczywiście administracyjne kary pieniężne za brak dokumentacji nie wykluczają także innych konsekwencji np. odpowiedzialności odszkodowawczej administratora względem podmiotów danych za szkodę wywołaną naruszeniem ochrony danych. Odrębną kwestią są również konsekwencje porządkowe, dyscyplinarne, czy karne dla pracowników.
Nawet w przypadku ukarania administratora karą pieniężną musi on liczyć z ryzykiem dochodzenia przeciwko niemu wypłaty odszkodowania za szkodę wywołaną naruszeniem. Z takim roszczeniem może wystąpić osoba, której dane objęte były zdarzeniem.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
