Wiedza

  1. Start
  2. /
  3. Wiedza
  4. /
  5. Kary RODO: jak i gdzie zgłosić naruszenie...

Kary RODO: jak i gdzie zgłosić naruszenie danych osobowych, by ich uniknąć?

gru 14, 2023 | Wiedza

Kary RODO bez wątpienia należą do jednych z najbardziej dotkliwych, które mogą dotknąć przedsiębiorcę. Co zrobić, aby ich uniknąć? Jak prawidłowo dbać o ochronę danych osobistych oraz jak postępować w wypadku tzw. incydentów RODO. Tę kwestię wyjaśnia ekspert!

Z tekstu dowiesz się:

  • Co zrobić, aby uniknąć kar RODO?
  • Z jakimi karami RODO trzeba się liczyć przy nieprawidłowym przetwarzaniu danych osobowych?
  • Jak zminimalizować ryzyko otrzymania kary za złamanie RODO?

Spis treści:

  1. Jak legalnie przetwarzać dane osobowe? Najważniejsze zasady RODO
  2. Kary RODO – z jakimi sankcjami trzeba się liczyć?
  3. Zasady prawidłowego przetwarzania danych osobowych
  4. Najważniejsze rodzaje naruszeń RODO
  5. Kary za naruszenie poszczególnych obowiązków przez przetwarzającego dane
  6. Zgłoszenie naruszenia RODO – gdzie go dokonać?
  7. Jak bronić się przed karami RODO?
  8. Zasady przeprowadzania kontroli przestrzegania RODO
  9. Kary za załamanie RODO: to warto wiedzieć

Praktycznie wszystkie dane osobowe należą do kategorii informacji wrażliwych. W końcu, jeżeli w ich posiadanie wejdzie osoba lub podmiot nieuprawniony może dojść do bardzo poważnego naruszenia praw osoby, której dane dotyczą. Wystarczy wskazać tu chociażby na możliwość posługiwania się cudzymi danymi przy zaciąganiu pożyczek czy innego rodzaju zobowiązań. Dlatego dane osobowe zawsze muszą być przestrzeganie w ścisłym reżimie prawnym i przy zagwarantowaniu najwyższych standardów bezpieczeństwa tego procesu. 

Naruszenia zaś w tym obszarze zawsze wiążą się z zagrożeniem surowymi karami – zwłaszcza finansowymi. Czy można ich uniknąć, a przynajmniej zmniejszyć ich wartość? Okazuje się, że kluczem do osiągnięcia tego celu jest poinformowanie właściwych osób i instytucji. 

KPR – baner formularz kontaktowy

Jak legalnie przetwarzać dane osobowe? Najważniejsze zasady RODO

Kara za nieprzestrzeganie RODO może być naprawdę dotkliwa, dlatego każdy, kto w jakikolwiek sposób przetwarza dane osobowe powinien wiedzieć nie tylko jakie dokładnie są kary za nieprzestrzeganie RODO i gdzie zgłosić naruszenie RODO, ale również jakie zasady regulują przetwarzanie danych osobowych. Warto rozpocząć od zapoznania się z kluczowymi definicjami. Zgodnie z RODO:

  • dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  • przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  • administrator danych osobowych oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Złamanie zasad RODO

Złamanie RODO – kara wówczas bywa nieunikniona – przeważnie dotyczy nieprzestrzegania zasad przetwarzania danych osobowych. Zgodnie z przepisami RODO dane osobowe muszą być: 

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Kary RODO – z jakimi sankcjami trzeba się liczyć?

Kara RODO może wynieść nawet 20 000 000 euro, a w przypadku przedsiębiorcy do 4% jego całkowitego obrotu – przy czym zawsze zastosowanie ma kwota wyższa. Oczywiście jest to maksymalna wysokość kary za uchybienia przy legalności przetwarzania danych osobowych, jednak inne stawki kar wcale nie są niższe. Wystarczy wspomnieć, że inna stawka opiewa na 10 000 000 euro bądź do 2% całkowitego obrotu przedsiębiorcy. 

Przy czym należy pamiętać, że są to stawki maksymalne, a więc nie organ ma prawo nałożyć sankcje w mniejszej wysokości. Wszystko zależy od wagi naruszenia oraz rozmiaru wyrządzonych w jego wyniku szkód – a więc jednym słowem od okoliczności konkretnego przypadku. W związku z tym, aby dobrze wyjaśnić mechanizm nakładania kary za RODO, najpierw trzeba przedstawić najważniejsze zasady regulujące przetwarzanie danych osobowych i określające legalność tego procesu. Kara za złamanie RODO – a zwłaszcza jej wysokość w konkretnych okolicznościach – jest uzależniona przede wszystkim od złamania tych zasad.

Zasady prawidłowego przetwarzania danych osobowych

Do najważniejszych zasad przetwarzania danych osobowych – z punktu widzenia polskiego i europejskiego prawa – zalicza się następujące zasady:

  • zgodności z prawem, przejrzystości i rzetelności;
  • ograniczania celu przetwarzania danych;
  • minimalizacji danych;
  • prawidłowości danych;
  • integralności i poufności;
  • rozliczalności;
  • ograniczenia przechowywania danych;
  • prawa wglądu do danych przez osobę, których dane dotyczą.

Zasady te przekładają się na szereg regulacji, wynikających zarówno z przepisów RODO, jak i ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych

Z punktu widzenia każdego podmiotu przetwarzającego dane osobowe kluczowe znaczenie ma zarówno przestrzeganie wszystkich przepisów prawa odnoszących się do przetwarzania danych, jak i zagwarantowanie możliwości wykazania – w razie potrzeby przed stosownymi organami kontroli, że proces ten rzeczywiście jest przeprowadzany w sposób legalny. Kary za nieprzestrzeganie RODO dotyczą obydwu tych aspektów. 

Jak uniknąć kary RODO?

Najważniejsze rodzaje naruszeń RODO

Każdy – czy to osoba fizyczna nieprowadząca działalności gospodarczej, czy też przedsiębiorca bądź jakikolwiek inny podmiot – kto przetwarza dane osobowe powinien pamiętać, że jest to proces legalny jedynie wówczas, gdy:

  • przetwarzanie dokonuje się na podstawie świadomej zgody osoby, której dane dotyczą:
  • przetwarzanie dokonuje się na cele jasno wskazane przez przepisy obowiązującego prawa.

W praktyce najczęściej przepisy RODO są naruszane poprzez:

  • naruszenie poufności, a więc np. upublicznienie adresu maila lub miejsca zamieszkania osoby, której dane dotyczą;
  • naruszenie dostępności, np. poprzez udzielenie dostępu do numeru PESEL osobie nieuprawnionej;
  • naruszenie integralności, przykładowo przez „przekręcenie” nazwiska. 

Kary za naruszenie poszczególnych obowiązków przez przetwarzającego dane

Z punktu widzenia przepisów RODO najwyższa możliwa kara za uchybienia przy legalności przetwarzania danych osobowych została zastrzeżona za:

  • naruszenie podstawowych zasad przetwarzania – w tym m.in. zasad wyrażania zgody przez osobę, której dane dotyczą;
  • naruszenie najważniejszych praw osób, których dane dotyczą;
  • niezgodne z prawem przekazanie danych osobowych  odbiorcy w państwie trzecim lub organizacji międzynarodowej;
  • naruszenie obowiązków wynikających z przepisów prawa krajowego, a dotyczących szczególnych sytuacji związanych z przetwarzaniem danych osobowych;
  • nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy.

Natomiast kara za złamanie RODO wynosząca maksymalnie 10 000 000 euro bądź 2% całkowitego obrotu przedsiębiorcy została określona za:

  • naruszenie obowiązków administratora i podmiotu przetwarzającego w zakresie m.in. wyrażania zgody przez dziecko, rejestrowania czynności przetwarzania, zagwarantowania bezpieczeństwa danych czy zgłoszenia faktu naruszenia zasad ochrony danych osobowych;
  • naruszenie obowiązków podmiotu certyfikującego w zakresie nadawania certyfikatów;
  • naruszenie obowiązków podmiotu monitorującego poprzez niepodjęcie właściwych działań w przypadku naruszenia zasad przetwarzania danych przez podmiot podlegających monitoringowi. 

Przy ocenie naruszenia zasad ochrony danych bierze się pod uwagę przede wszystkim takie okoliczności, jak czas trwania naruszenia, działania podjęte w celu usunięcia naruszenia, usunięcie ewentualnych negatywnych skutków naruszenia oraz to, czy podmiot przetwarzający zgłosili naruszenie. Administracyjną karę pieniężną można nałożyć dopiero po dokładnym przeanalizowaniu wszystkich okoliczności konkretnego przypadku.

Jak uniknąć kary RODO?

Zgłoszenie naruszenia RODO – gdzie go dokonać?

Aby kara za złamanie RODO była jak najniższa zawsze należy odpowiednio zareagować na fakt naruszenia zasad przetwarzania danych osobowych. Przede wszystkim należy podjąć dwojakiego rodzaju działania:

  • poinformować osoby, których dane dotyczą o fakcie naruszenia, jego możliwych skutkach oraz działania, jakie osoby te mogą podjąć, aby ochronić swoje prawa;
  • zgłoszenie faktu naruszenia odpowiednim organom.

W polskich warunkach złamanie przepisów RODO należy zgłosić do Prezesa Urzędu Ochrony Danych Osobowych. W zgłoszeniu trzeba przedstawić stan faktyczny sprawy – a więc po prostu opisać, w jaki sposób doszło do naruszenia regulacji odnoszących się do przetwarzania danych osobowych. Można tego dokonać zarówno osobiście – poprzez wizytę w urzędzie i złożenie zawiadomienia na dzienniku podawczym – jak i listownie bądź elektronicznie. 

W analogiczny sposób skargę na naruszenie zasad przetwarzania danych osobowych może złożyć ten, czyje dane osobowe zostały naruszone. Co za tym idzie – w pierwszej kolejności osoba, której dane dotyczą. Oczywiście skarga ta może zostać także za pośrednictwem wyznaczonego w sprawie pełnomocnika. 

Jak bronić się przed karami RODO?

Naruszenie przepisów RODO nie musi od razu spowodować nałożenia kary. Przetwarzający dane, który dopuścił się naruszenia bądź został o nie posądzony, ma prawo się bronić. Jeżeli do naruszenia faktycznie doszło, to zawsze dobrym pomysłem jest podjęcie działań w celu zminimalizowania szkody poniesionej przez tego, kogo dane dotyczą. Warto podkreślić, że kary za naruszenie przepisów RODO nałożone przez Prezesa Urzędu Ochrony Danych Osobowych nie wyłączają możliwości dochodzenia roszczeń cywilnoprawnych przez posiadacza danych, który został poszkodowany dany charakter naruszenia. Jednak nie oznacza to, że przetwarzający dane może dwa razy ponieść odpowiedzialność za dane naruszenie. 

Zgodnie z przepisami ustawy o ochronie danych osobowych sąd cywilny umarza postępowanie w zakresie, w jakim prawomocna decyzja Prezesa Urzędu o stwierdzeniu naruszenia przepisów o ochronie danych osobowych lub prawomocny wyrok wydany w wyniku wniesienia skargi uwzględnia roszczenie dochodzone na drodze cywilnej. Z drugiej jednak strony ustalenia, jakie zostały poczynione w prawomocnej decyzji wydanej przez Prezesa Urzędu Ochrony Danych Osobowych, wiążą sąd w postępowaniu o naprawienie szkody wyrządzonej przez naruszenie przepisów o ochronie danych osobowych co do stwierdzenia naruszenia tych przepisów.

Z tych względów podjęcie odpowiedniej obrony w postępowaniu przed Prezesem Urzędu jest niezwykle istotne. Nie tylko z powodu kar, które – przypomnijmy – oblicza się jako procent całkowitego rocznego światowego obrotu. Postępowanie to toczy się w myśl przepisów Kodeksu postępowania administracyjnego, RODO oraz ustawy o ochronie danych osobowych. 

W każdym razie podmiot objęty tymi postępowaniami ma możliwość m.in. składanie wniosków, żądania przeprowadzanie dowodów, czy wypowiadania się o każdej czynności przeprowadzanej w sprawie. Poza tym od decyzji Prezesa Urzędu Ochrony Danych Osobowych stronie przysługuje skarga do Wojewódzkiego Sądu Administracyjnego w Warszawie. Składa się ją za pośrednictwem Prezesa Urzędu w terminie 30 dni od dnia doręczenia decyzji. Jest to najlepszy sposób, aby uniknąć administracyjnych kar pieniężnych bądź przynajmniej zminimalizować ich wysokość.

Kary RODO – cytat

Zasady przeprowadzania kontroli przestrzegania RODO

Jedną z najważniejszych informacji dla administratora lub podmiotu przetwarzającego jest ta, że Urząd Ochrony Danych Osobowych ma prawo prowadzić kontrolę przestrzegania przepisów RODO. Dlatego nałożyć administracyjną karą pieniężną można nie tylko na podstawie doniesienia złożonego np. przez tego, kogo dane dotyczą.  Jest to szczególnie istotne w przypadku przedsiębiorstwa. Wskazana tu kontrola jest kolejną, z którą musi liczyć się prowadzący własną działalność gospodarczą. 

Zgodnie z przepisami o ochronie danych osobowych:

  • kontrolę przeprowadza upoważniony przez Prezesa pracownik Urzędu albo organ nadzorczy (w grę wchodzi prowadzenie kontroli przez jego członka lub pracownika);
  • kontrolujący podlega wyłączeniu m.in., gdy zachodzą uzasadnione wątpliwości co do jego bezstronności;
  • kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową;
  • czynności kontrolne zawsze muszą być przeprowadzane w obecności kontrolowanego lub upoważnionej przez niego osoby.

Prawa osoby przeprowadzającej kontrolę

Podmiot kontrolowany powinien wiedzieć, że osoba przeprowadzająca kontrolę ma prawo:

  • wstępu w godzinach od 600 do 2200 na grunt oraz do budynków, lokali lub innych pomieszczeń;
  • wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;
  • przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
  • żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
  • zlecać sporządzanie ekspertyz i opinii;
  • przesłuchać pracownika kontrolowanego w charakterze świadka.

Cały przebieg kontroli musi zostać szczegółowo zaprotokołowany, a sam protokół podpisany przez kontrolującego. Natomiast ten, kto był kontrolowany, ma siedem dni – od dnia przedstawienia protokołu kontroli do podpisu – na podpisanie protokołu lub złożenie zastrzeżeń do jego treści. Jeżeli w sprawie zostały złożone takie zastrzeżenia, to kontrolujący dokonuje ich analizy i, w razie potrzeby, podejmuje dodatkowe czynności kontrolne. W przypadku stwierdzenia zasadności zastrzeżeń zmienia lub uzupełnia odpowiednią część protokołu kontroli w formie aneksu do protokołu kontroli. Gdyby zaś zastrzeżenia nie zostały uwzględnione, to kontrolujący przekazuje kontrolowanemu informacje o tym fakcie oraz uzasadnia przyczyny nieuwzględnienia zastrzeżeń.

Kary za załamanie RODO: to warto wiedzieć

Wszystkie regulacje dotyczące przetwarzania danych osobowych sprowadzają się do dwóch podstawowych zasad. Przetwarzania na podstawie i w granicach prawa lub zgody udzielonej przez posiadacza danych oraz zapewnienia przetwarzania danych jedynie na ściśle określone cele z ich jednoczesnym zabezpieczeniem przed dostępem do nich przez osoby nieuprawnione. 

Naruszenie zasad przetwarzania danych zawsze powinno zostać zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych. Jest to także organ uprawniony do rozpatrywania indywidualnych skarg osób, których dane dotyczą, a które stały się ofiarami różnego rodzaju naruszeń. Jeżeli administrator nie wywiąże się z obowiązku zgłoszenia faktu naruszenia musi liczyć się z surowszymi karami za tego rodzaju zdarzenie. Oczywiście o naruszeniu należy powiadomić także tych, których dane dotyczą. Podając im, jakie środki mogą zostać przez nich podjęte, aby zaradzić skutkom tego zdarzenia.

    Rozpoczęcie restrukturyzacji i zatrzymanie egzekucji komorniczej nawet w 2 dni. Wypełnij formularz kontaktowy.

    Prowadzisz firmę lub spółkę i borykasz się z problemami finansowymi? Rozwiązaniem może okazać się restrukturyzacja! Skontaktuj się z nami - możesz zredukować swój dług nawet o 50%!

      Zredukuj zadłużenie swojej firmy o 50%

      Rozpoczniemy restrukturyzację i wstrzymamy egzekucję komorniczą w ciągu 2 dni. Wypełnij krótki formularz:

      Rodzaj działalności
      Kwota zadłużenia

      Zostaw kontakt

      Imię*
      Numer telefonu*
      Adres e-mail*

      close-link

        Zredukuj zadłużenie swojej firmy o 50%

        Rozpoczniemy restrukturyzację i wstrzymamy egzekucję komorniczą w ciągu 2 dni. Wypełnij krótki formularz:

        Rodzaj działalności
        Kwota zadłużenia

        Zostaw kontakt

        Imię*
        Numer telefonu*
        Adres e-mail*

        close-link