Jedną z większych zmian, którą wprowadzi nowe unijne rozporządzenie w sprawie ochrony danych osobowych, jest możliwość nakładania wysokich kar pieniężnych przez organ nadzorczy za naruszenia przepisów o ochronie danych osobowych. Będą mogły one sięgać nawet 20 mln euro, a w przypadku firm do 4% rocznego obrotu.
Do tej pory w polskim porządku prawnym za naruszenie przepisów ustawy o ochronie danych osobowych groziła odpowiedzialność administracyjna, karna, cywilna oraz dyscyplinarna. Kary pieniężne, które do tej pory wchodziły w grę, groziły administratorowi danych, jeśli nie wykonał obowiązków nałożonych przez GIODO. Organ nakładał je w drodze decyzji administracyjnej. Były to środki egzekucyjne – grzywna w celu przymuszenia.
W przypadku jednorazowego naruszenia kara może sięgać do 50 tys. złotych, a w przypadku wielokrotnego niewykonywania decyzji łącznie kary grzywny nie powinny przekraczać 200 tys. zł. W stosunku do osób fizycznych może być wymierzona grzywna o maksymalnej wysokości 10 tys. złotych. Natomiast grzywny takie nakładane wielokrotnie nie mogą łącznie przekroczyć kwoty 50 tys. zł.
Unijne rozporządzenie w sprawie ochrony danych osobowych przewiduje ogromne administracyjne kary pieniężne dla przedsiębiorstw. Jest to bagatela:
1) do 10 mln euro, a także kara sięgająca do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego oraz
2) do 20 mln euro, a także kara sięgająca do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Do tej pory pozaprawne skutki naruszeń przepisów o ochronie danych osobowych (utrata renomy, utrata kosztownych baz danych) były niejednokrotnie bardziej dolegliwe niż te prawne. Od maja 2018 roku pozaprawne skutki naruszeń będą jedynie wierzchołkiem góry lodowej.
Wysokość kar oraz katalog naruszeń, w przypadku których kary pieniężne mogą zostać nałożone, zostały opisane w art. 83 ogólnego rozporządzenia o ochronie danych osobowych.
Administrator danych zobowiązany jest uwzględnić ochronę danych osobowych i prywatność na każdym etapie tworzenia i istnienia technologii obejmującej przetwarzanie danych osobowych. Podstawowym celem zasady privacy by design jest „wbudowanie” zasad ochrony prywatności w każdy projekt zakładający przetwarzanie danych osobowych w taki sposób, aby od samego początku jego istnienia ochrona prywatności stanowiła jego część składową.
Administrator danych nie może traktować prywatności jako elementu zbędnego. Zobowiązany jest do prowadzenia analizy ryzyka przetwarzania danych osobowych, oceny zagrożeń, audytu, certyfikacji oraz przygotowywania materiałów szkoleniowych dla pracowników. Działania te mają na celu zwiększenie świadomości w zakresie ochrony danych.
Administrator danych powinien wykazać się w tym przypadku podejściem proaktywnym, a nie naprawczym w sytuacji, kiedy dojdzie do naruszenia prywatności. Administrator danych powinien zapewnić ochronę prywatności od początku do końca cyklu życia informacji, nie zapominając o transparentności i przejrzystości przetwarzanych danych.
Administrator danych powierzając firmie zewnętrznej prowadzenie obsługi księgowej, nie zawarł z nią umowy powierzenia przetwarzania danych osobowych.
Przekazanie dokumentacji księgowej wiąże się nierozerwalnie z powierzeniem danych osobowych. W takiej sytuacji administrator danych zobowiązany jest zawrzeć stosowną umowę powierzenia. Umowa powinna określać przedmiot oraz czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora. Administrator danych zobowiązany jest dodatkowo do prowadzenia kontroli u procesora, a także prowadzenia rejestru umów powierzenia.
Firma ubezpieczeniowa zatrudnia ponad 250 osób. Zajmuje się przetwarzaniem danych wrażliwych na szeroką skalę. Przetwarzanie wiąże się z wysokim ryzykiem naruszenia praw i wolności osób, których dane dotyczą. W przeszłości zdarzały się już incydenty godzące w bezpieczeństwo przetwarzanych danych. Firma nie prowadzi rejestru czynności przetwarzania danych osobowych.
Administrator danych zobowiązany jest do prowadzenia rejestru czynności przetwarzania danych osobowych. W rejestrze zamieszcza się informacje dotyczące:
1) imienia i nazwiska lub nazwy oraz danych kontaktowych administratora oraz wszelkich współadministratorów, a także inspektora ochrony danych,
2) celu przetwarzania,
3) opisu kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
4) kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
5) planowanych terminów usunięcia poszczególnych kategorii danych,
6) ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa.
Rejestr czynności przetwarzania danych osobowych może być prowadzony zarówno w wersji papierowej, jak i elektronicznej. Co prawda rozporządzenie unijne w sprawie ochrony danych osobowych przewiduje odstępstwa od obowiązku prowadzenia tego rejestru, ale są to wyjątki od ogólnie przyjętej zasady.
W gabinecie lekarskim doszło do wycieku informacji o pacjentach w zakresie imienia, nazwiska, a także ich stanu zdrowia. Osoby te korzystały z pomocy lekarza psychiatry.
Administrator danych nie zgłosił incydentu godzącego w bezpieczeństwo danych pacjentów do organu nadzorczego. Nie zawiadomił także osoby, której dane dotyczą, że wyciek danych może powodować wysokie ryzyko naruszenia jej praw i wolności.
Administrator danych ma 72 godziny na zgłoszenie organowi nadzorczemu incydentu godzącego w bezpieczeństwo przetwarzania danych. W zgłoszeniu powinien przedstawić:
1) opis charakteru takiego naruszenia,
2) dane kontaktowe osoby odpowiedzialnej za utrzymanie zasad bezpieczeństwa,
3) informacje o środkach, które mają zapobiegać w przyszłości tego typu problemom,
4) informacje o działaniach, które zostały podjęte przez administratorów danych, aby zlikwidować problem, który się pojawił.
Administrator danych nie będzie musiał zgłaszać incydentu godzącego w bezpieczeństwo przetwarzanych danych w sytuacji, kiedy jest mało prawdopodobne, że naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Jeden z pracowników firmy marketingowej sporządził tabelę w programie Microsoft Excel. W tabeli zawarł imiona i nazwiska klientów wraz z miejscem ich zamieszkania, numerem telefonu i adresem poczty elektronicznej.
Pracownik nie zabezpieczył w sposób odpowiedni tabeli z danymi, nie zaszyfrował jej. Przez pomyłkę wysłał ją do jednego z klientów. Zaczął on szantażować pracownika, że jeżeli nie zapłaci mu za milczenie, to upubliczni dane i firma marketingowa straci zaufanie w klientów.
Jedną z podstawowych zasad przetwarzania danych jest zasada bezpieczeństwa. Rozporządzenie nakłada na administratora, a także osoby zaangażowane w proces przetwarzania danych, obowiązek szyfrowania danych osobowych, a także stosowania środków kryptograficznych w przypadku przesyłania danych przez sieć publiczną. Administrator zobowiązany jest do ciągłego zapewnienia poufności, integralności, dostępności przetwarzanych danych.
Administrator danych osobowych (firma farmaceutyczna) powołał inspektora ochrony danych osobowych, ale nie zapewnił jego niezależności w strukturze organizacyjnej. Administrator wydaje mu instrukcje co do tego, w jaki sposób ma postępować w przypadku wystąpienia naruszeń zasad przetwarzania danych osobowych.
Decyzyjność odnośnie do procesów przetwarzania danych osobowych, zgodnie z rodo, ciągle będzie spoczywała na administratorze danych, z tym że inspektor ochrony danych powinien być niezależny w sprawowaniu swojej funkcji. Nie można wydawać mu instrukcji co do wykonywania zadań i obowiązków z zakresu ochrony danych osobowych. Rozporządzenie wskazuje dodatkowo na ochronę zatrudnienia inspektora. Co ważne, na inspektora ochrony danych nie mogą być nałożone inne obowiązki niż te związane z ochroną danych osobowych.
Kara finansowa do 20 mln euro może być w przypadku firm zastąpiona karą do wysokości 4% rocznego obrotu. Zastosowanie będzie miała wyższa kwota.
Dane klientów operatora telekomunikacyjnego są zbierane w celu zawarcia i realizacji umowy o świadczenie usług telekomunikacyjnych. Klient nie wyraził zgody na przetwarzanie danych osobowych dla potrzeb działań marketingowych. Po zakończeniu umowy na usługi telekomunikacyjne operator zaczął wysyłać byłemu już klientowi swoje oferty marketingowe.
Po wygaśnięciu umowy o świadczenie usług telekomunikacyjnych ustaje cel, dla którego dane zostały zebrane, i tym samym ich przetwarzanie może odbywać się wyłącznie ze względu na dochodzenie roszczeń lub wykonywanie innych zadań przewidzianych w ustawie Prawo telekomunikacyjne lub przepisach odrębnych, a nie dla działań marketingowych. Administrator danych osobowych zobowiązany jest do przetwarzania danych zgodnie z zasadami:
Zgodnie z zasadą celowości, zwaną również zasadą związania z celem, zbieranie danych osobowych może się odbywać tylko dla oznaczonych, zgodnych z prawem celów. Dane nie mogą być przetwarzane niezgodnie z tymi celami. Oznacza to, że zbierający dane, nie może pominąć ani zataić tego celu. Nie może określać celu przetwarzania danych w sposób ogólnikowy. Niedopuszczalne jest także uzależnianie zawarcia umowy od wyrażenia zgody na przetwarzanie danych w zupełnie innych celach.
Jedna z agencji kreatywnych zbiera od klientów zgody na przetwarzanie danych osobowych w celach marketingowych oraz na przesyłanie informacji handlowych drogą elektroniczną. Zgody te zawarte są łącznie w jednej klauzuli.
Częstą praktyką jest łączenie zgody na przetwarzanie danych osobowych w celach marketingowych wynikającej z przepisów ustawy o ochronie danych osobowych ze zgodą na przesyłanie drogą elektroniczną informacji handlowych, o której mowa w przepisach uśude. W tej sytuacji trudno mówić o możliwości podjęcia swobodnej i nieskrępowanej decyzji co do przetwarzania danych osobowych. Klauzula zgody musi być skonstruowana i przedstawiona w sposób jasny i przejrzysty, w tym pozwalający na identyfikację czy też odróżnienie od innych składanych w tym samym czasie i miejscu oświadczeń.
Mówiąc najogólniej, osoba musi wiedzieć, że jej zgoda jest wyrażona na konkretną czynność, np. na przetwarzanie danych w celach rekrutacyjnych, marketingowych czy promocyjnych administratora danych. Z rozporządzenia wynika także, że jeśli podmiot danych ma udzielić zgodę w odpowiedzi na elektroniczne zapytanie, musi być ono jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.
Fundacja działająca na rzecz osób chorych i niepełnosprawnych przetwarza dane o stanie zdrowia w celu organizacji specjalnego turnusu wypoczynkowego. Od osób ubiegających się o zakwalifikowanie do wyjazdu nie są zbierane zgody na przetwarzanie danych szczególnie chronionych w formie pisemnej. Osoby zainteresowane wypełniają standardowy formularz, który nie zawiera tej zgody.
W przypadku przetwarzania danych wrażliwych bez wyraźnej podstawy prawnej (w tym zgody wyrażonej w formie pisemnej) administrator danych naraża się na zarzut przetwarzania w sposób nielegalny.
Ustawodawca unijny wskazał, że zastosowane administracyjne kary pieniężne muszą być w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Organ nadzorczy decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, powinien zwracać w każdym indywidualnym przypadku uwagę na:
Pod uwagę brane powinny być także wszelkie wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego oraz kategorie danych osobowych, których dotyczyło naruszenie. Warto zauważyć, że w przypadku ewentualnej kontroli inspektorzy będą mieli prawo do nałożenia kilku kar pieniężnych za każde z wykrytych uchybień.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl