Wyciek danych? Ooops! I did it again
Niby sprawy nie ma, przecież kupisz nowy pendrive, lepszy, większy.
Co na to RODO?
Dla Rozporządzenia takie sytuacje, jak opisane powyżej to nie jest „byle co”. Nowa regulacja ma na celu zminimalizowanie sytuacji, w których dojdzie do wycieku danych.
Zadaniem administrator jest podjęcie niezbędnych działań, aby do takiej sytuacji nie doszło. Dotyczy to także wyboru podmiotu przetwarzającego, czyli tego, który przetwarza dane dostarczone mu przez inne firmy. Dla przykładu taką odpowiedzialność będzie ponosiła firma hostingowa.
Dlatego na administratorze ciąży obowiązek, aby wybrać podmiot przetwarzający, który wdrożył RODO i gwarantuje wysoki poziom ochrony danych.
Jak to sprawdzić?
Zanim podpiszesz umowę warto zapytać, wysłać maila w jaki sposób dana firma przygotowała się na RODO? Co więcej RODO wprowadza bardziej restrykcyjne niż dotychczas obowiązki w zakresie tworzenia umów o przetwarzaniu, co też ma za zadanie zabezpieczenia danych przed ich naruszeniem.
Bezpośrednia odpowiedzialność podmiotu przetwarzającego dane
Podmioty przetwarzające dane osobowe pochodzące z innych firm, w trakcie świadczenia usług na ich rzecz, jak przykładowo firmy dostarczające rozwiązania w chmurze czy firmy hostingowe, będą ponosić bezpośrednią odpowiedzialność za złamanie zapisów RODO.
Konsekwencją będzie możliwość nałożenia na taką firmę kar finansowych.
W Rozporządzeniu przyjęto dwa pułapy kar:
1) 2% całkowitego rocznego światowego obrotu przedsiębiorstwa lub do 10 mln euro (dotyczy np. zgłaszania GIODO i osobie, której dane dotyczą o przypadku naruszeń)
2) 4% całkowitego rocznego światowego obrotu przedsiębiorstwa lub do 20 mln euro (dotyczy np. realizacji do bycia zapomnianym).
Jednocześnie chcę podkreślić, że podjęte działania przez administratora, które będą miały na celu wdrożenie RODO, w konsekwencji mogą stanowić element łagodzący i powodujący miarkowanie kary.
Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:
|
a) |
charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody; |
|
b) |
umyślny lub nieumyślny charakter naruszenia; |
|
c) |
działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą; |
|
d) |
stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32; |
|
e) |
wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego; |
|
f) |
stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków; |
|
g) |
kategorie danych osobowych, których dotyczyło naruszenie; |
|
h) |
sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie; |
|
i) |
jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków; |
|
j) |
stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz |
|
k) |
wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty. |
Co w sytuacji, gdy dojdzie do naruszeń?
Obowiązkiem administratorów danych będzie zgłaszanie naruszenia w ciągu 72 godzin od zaistnienia tego naruszenia.
Zgłoszenia takie będzie trzeba kierować do właściwego organu nadzoru.
Administrator musi także prowadzić rejestr naruszeń oraz podjętych działań naprawczych, jak i raporty naruszeń.
Może także wystąpić konieczność zawiadomienia konkretnej osoby o przypadku wystąpienia dużego ryzyka naruszenia jej praw lub swobód.
Rozporządzenie daje także konkretne narzędzia osobie, która uzna, że jej dane są przetwarzane niezgodnie z prawem. Będzie ona mogła:
- złożyć skargę do organu nadzorczego
- żądać skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego dotyczącej użytkownika (osoby fizycznej)
- skorzystać ze środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu dane.
Administrator oraz podmiot przetwarzający muszą się liczyć z realną możliwością poniesienia odpowiedzialności administracyjnej, karnej oraz cywilnej.