Rozporządzenie o Ochronie Danych Osobowych (RODO) nakłada na przedsiębiorców oraz instytucje publiczne szereg obowiązków związanych z przetwarzaniem danych osobowych. Ich naruszenie może prowadzić do poważnych konsekwencji – zarówno finansowych, jak i wizerunkowych. Poniżej wyjaśniamy, jakie kary grożą za złamanie przepisów oraz jak wygląda procedura zgłoszenia naruszenia.
Jakie dane osobowe są chronione przez RODO?
Zanim przejdziemy do kar, musimy zdefiniować przedmiot ochrony. Według RODO danymi osobowymi są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Możemy je podzielić na dwie główne kategorie:
Dane zwykłe:
-
- Imię i nazwisko,
- Numer PESEL,
- Adres zamieszkania oraz adres e-mail,
- Numer telefonu,
- Dane o lokalizacji (np. z GPS),
- Identyfikatory internetowe (adres IP, pliki cookies);
Dane szczególnych kategorii (tzw. dane wrażliwe):
-
-
- Pochodzenie rasowe lub etniczne,
- Poglądy polityczne i przekonania religijne,
- Dane dotyczące zdrowia, fizyczności i psychiki,
- Dane genetyczne i biometryczne (np. odcisk palca, skan tęczówki),
- Informacje o orientacji seksualnej.
-
Ochrona danych wrażliwych jest znacznie bardziej rygorystyczna, a ich bezprawne przetwarzanie wiąże się z najwyższym wymiarem kar.
Jakie są kary za naruszenie RODO?
Administracyjne kary pieniężne to najmocniejszy instrument w rękach PUODO. Rozporządzenie przewiduje administracyjne kary pieniężne w dwóch progach:
- do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa,
- do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa.
Wysokość kary nakładanej przez Urząd Ochrony Danych Osobowych zależy między innymi od charakteru naruszenia, jego skali, czasu trwania oraz stopnia winy administratora danych. Oprócz kar finansowych możliwe są także inne sankcje, takie jak nakaz zaprzestania przetwarzania danych czy obowiązek ich usunięcia.
Kto może nałożyć karę za złamanie RODO?
W Polsce organem odpowiedzialnym za nadzór nad przestrzeganiem przepisów RODO jest Prezes Urzędu Ochrony Danych Osobowych (UODO). To właśnie ten organ ma kompetencje do prowadzenia postępowań kontrolnych, wydawania decyzji administracyjnych oraz nakładania kar finansowych.
Postępowanie może zostać wszczęte zarówno na skutek skargi osoby fizycznej, jak i z urzędu – np. w wyniku kontroli lub zgłoszenia naruszenia przez samą firmę.
Co grozi firmie za naruszenie przepisów RODO?
Kara finansowa to dopiero wierzchołek góry lodowej. Dla firmy naruszenie przepisów o ochronie danych osobowych niesie za sobą szereg innych, często bardziej dotkliwych konsekwencji:
- utrata reputacji – informacja o nałożeniu kary przez PUODO jest publiczna. Utrata zaufania klientów i kontrahentów może być nieodwracalna,
- roszczenia cywilne – osoby, których dane zostały naruszone, mają prawo do odszkodowania przed sądem cywilnym za poniesioną szkodę majątkową lub niemajątkową (krzywdę),
- zakaz przetwarzania danych – PUODO może nakazać wstrzymanie operacji na danych, co w przypadku wielu firm (np. e-commerce, marketing) oznacza paraliż działalności,
- odpowiedzialność karna – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych przewiduje karę grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2 (lub 3 w przypadku danych wrażliwych) za nieuprawnione przetwarzanie danych.
Zobacz również: Audyt RODO dla e-commerce i firm
Naruszenie RODO zgłoszenie do UODO
Jak zgłosić naruszenie RODO do urzędu ochrony danych osobowych? Administrator danych ma obowiązek zgłosić naruszenie do UODO nie później niż w ciągu 72 godzin od jego wykrycia, jeśli istnieje ryzyko naruszenia praw lub wolności osób fizycznych.
Zgłoszenie powinno zawierać m.in.:
- opis charakteru naruszenia,
- kategorię i liczbę osób, których dotyczy incydent,
- możliwe konsekwencje naruszenia,
- środki podjęte w celu zaradzenia sytuacji.
Zgłoszenia można dokonać elektronicznie za pośrednictwem formularza dostępnego na stronie UODO lub w formie pisemnej. W niektórych przypadkach konieczne jest również poinformowanie osób, których dane zostały naruszone.
RODO to system naczyń połączonych – dbałość o dokumentację musi iść w parze z realnym bezpieczeństwem systemów IT oraz świadomością pracowników. Ryzyko nie ogranicza się tylko do gigantycznych kar finansowych, ale dotyka samej esencji biznesu: zaufania i płynności operacyjnej.
Jeśli mają Państwo wątpliwości, czy procesy w Państwa firmie są zgodne z aktualnymi wytycznymi, zapraszamy do kontaktu z naszą kancelarią.
FAQ – najczęściej zadawane pytania
Czy każda firma podlega przepisom RODO?
Tak. RODO dotyczy wszystkich podmiotów, które przetwarzają dane osobowe osób fizycznych – niezależnie od wielkości firmy. Obowiązki mają zarówno duże korporacje, jak i jednoosobowe działalności gospodarcze, jeśli gromadzą lub wykorzystują dane klientów, pracowników czy kontrahentów.
Czy zawsze trzeba poinformować osoby, których dane wyciekły?
Nie zawsze. Obowiązek poinformowania osób fizycznych powstaje wtedy, gdy naruszenie może powodować wysokie ryzyko dla ich praw lub wolności. Jeśli ryzyko jest niskie, wystarczające może być samo zgłoszenie do UODO.
Jakie są najczęstsze naruszenia RODO w firmach?
Do najczęstszych należą: brak odpowiednich zabezpieczeń danych, niewłaściwe przechowywanie dokumentów, brak podstawy prawnej do przetwarzania danych, niedopełnienie obowiązku informacyjnego oraz brak procedur reagowania na incydenty.
