Zapewne te, jak i wiele innych pytań dotyczących RODO zadają sobie przedsiębiorcy. Chociażby, jak będzie wyglądać kontrola Urzędu Ochrony Danych? Kiedy mogę się spodziewać kontroli w zakresie RODO? Jak wysokie będą kary finansowe?

W ostatnim tygodniu zrobiło się głośno w związku z nałożeniem przez Prezesa UODO kary finansowej na jedną z firm mających siedzibę w Polsce. I to nie byle jakiej kary, ale kwoty blisko 950 tys. zł.

Na pewno na niejednej firmie, zwłaszcza mikro, czy małej, robi to ogromnie wrażenie.

Przyznam szczerze, że z niecierpliwością czekałam na pierwsze kontrole i konsekwencje stwierdzonych nieprawidłowości.

 

Po co w ogóle kontrola przetwarzania danych?

Odpowiedź jest prosta. Kontrola jest po to, aby sprawdzić, czy regulacje RODO zostały wdrożone w danej firmie, a jeśli tak, to w jakim stopniu.

Monitorowaniem stosowania przepisów o ochronie danych zajmuje się organ nadzorczy powołany w   danym kraju unijnym, który jest Prezes Urzędu Ochrony Danych (zastąpił dotychczasowego GIODO). Prezes UODO przy pomocy pracowników urzędu ma za zadanie m.in. przeprowadzanie kontroli w przedsiębiorstwach takich jak twoje, czy moje.

Rozporządzenie nr 2016/679 przewiduje, że organ nadzorczy w swoich działaniach będzie w pełni niezależny. Chodzi tutaj o niezależność:

  • instytucjonalną czyli brak stosunku podległości wobec innych organów administracji publicznej
  • funkcjonalną czyli brak kontroli innych instytucji nad działaniem UODO (nie oznacza to jednak wyłączenia kontroli sądowo-administracyjnej)
  • materialną przez zapewnienie odpowiedniego budżetu oraz infrastruktury.

 

Co należy wiedzieć o organie nadzorczym?

Po pierwsze to, że organ nadzorczy jest uprawniony do monitorowania przestrzegania zasad ochrony danych osobowych na terytorium własnego państwa członkowskiego.

Dlatego przykładowo niemiecki odpowiednik naszego Prezesa UODO nie może kontrolować polskich przedsiębiorców w zakresie przestrzeganie przez nich ochrony danych i na odwrót.

Podstawowe uprawnienia organu nadzorczego można podzielić na 4 grupy:

  1. uprawnienie do prowadzenia postępowań
  2. naprawcze i do nakładania kar
  3. do udzielania zezwoleń i doradcze
  4. do zgłaszania naruszeń rozporządzenia organom wymiaru sprawiedliwości.

 

Jakich kontroli możesz się spodziewać?

Do prowadzenia postępowań kontrolnych organ nadzorczy także ma uprawnienia. Kontrola Prezesa Urzędu może być prowadzona w trzech sytuacjach:

  1. kontrola doraźna – będzie miała miejsce w sytuacji otrzymania konkretnej informacji o naruszeniu. Na przykład klient złoży skargę do UODO, ze nie został przez twoją firmę poinformowany, kto jest administratorem i w jakim zakresie przetwarzasz jego dane.
  2. kontrola planowa – ma na celu sprawdzenie informacji o powtarzających się w określonych sektorach naruszeń przepisów  o ochronie danych. Przykładowo, może się zdarzyć, że będzie się powtarzało przetwarzanie danych nadmiernych przez przychodnie. Wówczas może zostać podjęta decyzja o kontroli w sektorze medycznym.
  3. kontrola w toku postępowania – może być przeprowadzone w toku toczącego się już postępowania administracyjnego.

 

Oczywistą sprawą jest, że Prezes UODO nie zapuka do drzwi twojej firmy, a pewnie zrobi to rękami swoich pracowników.

 

Gdy urząd coś znajdzie

Słyszałeś powiedzenie, że jeśli urząd chce coś znaleźć to, to znajdzie. Ja dosyć często słyszę to w kontekście środków unijnych i kontroli prawidłowości realizowanych projektów dofinansowanych z UE.

Nie wiem, czy pracownicy UODO będą chcieli coś znaleźć, ale jeżeli już znajdą coś, co jest nie w porządku, będą mogli:

  1. udzielić napomnienia w przypadku naruszenia przepisów rozporządzenia o ochronie danych
  2. nakazać podjęcia określonych czynności, tj.  spełnienie żądania osoby, której dane dotyczą; dostosowania sposobu przetwarzania do przepisów rozporządzenia; zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych; sprostowanie lub usunięcie danych lub ograniczenie ich przetwarzania
  3. zakazać czasowo lub na stałe przetwarzania danych
  4. cofnąć certyfikat lub nakazać podmiotowi, które przyznało certyfikat od jego cofnięcia
  5. nakazać zawieszenie przepływu danych do odbiorcy w państwie trzecim (czyli poza Unię, np. do USA)

 

I dochodzimy do kar.

Nie ukrywam, że robią wrażenie. Mam jednak nadzieję, że organ nadzorczy miarkuje jej wysokość uwzględniając zakres naruszeń, ilość danych, czy próby podmiotu kontrolowanego do zapobiegnięciu naruszeniom.

Wysokość kary zgodnie z art. 83 ust. 4 RODO dotyczy:

  • osoby niebędącej przedsiębiorcą do 10 000 000 euro
  • przedsiębiorcy do 10 000 000 euro lub 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

Naruszenia:

a) obowiązków administratora i podmiotu przetwarzającego, warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego, przetwarzanie niewymagające identyfikacji

b) obowiązków dotyczących certyfikacji

c) obowiązków podmiotu monitorującego, w tym monitorowanie zatwierdzonych kodeksów postępowania

 

Wysokość kary zgodnie z art. 83 ust. 5 RODO dotyczy:

  • osoby niebędącej przedsiębiorcą do 20 000 000 euro
  • przedsiębiorcy do 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

Naruszenia:

a) podstawowych zasad przetwarzania

b) praw osób, których dane dotyczą, m.in. prawo do informacji, dostępu do danych, ich sprostowania

c) przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej

d) naruszenie obowiązków wynikających z prawa państwa członkowskiego

e) nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy

f) niezapewnienie organowi nadzorczemu dostępu do pomieszczeń administratora lub procesora

 

Mam nadzieję, że tym wpisem ciebie nie przestraszyłam, ale zmobilizowałam, abyś przestał odkładać wdrażanie RODO na „wieczne kiedyś”, a zajął się nim już dzisiaj.

Wykorzystano: Dominik Lubasz (red.), RODO w e-commerce, Warszawa 2018

Zdjęcie: Pexels

Jeśli spodobał ci się artykuł, koniecznie podziel się nim ze znajomymi: