Za jakie naruszenia w dokumentacji ochrony danych grożą kary finansowe według rodo
Od 25 maja 2018 r. w fundamentalny sposób zmienią się zasady ponoszenia odpowiedzialności za naruszenie przepisów z zakresu ochrony danych osobowych. Ogólne rozporządzenie o ochronie danych jest w tym zakresie bardziej restrykcyjne niż polska ustawa o ochronie danych osobowych. Przepisy ogólnego rozporządzenia o ochronie danych przewidują kary pieniężne, które mogą być nakładane przez organ nadzorczy bezpośrednio po stwierdzeniu naruszenia.
W zależności od rodzaju naruszeń z zakresu ochrony danych ogólne rozporządzenie o ochronie danych przewiduje administracyjne kary pieniężne w wysokości:
- do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa,
- do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, również zastosowanie ma kwota wyższa.
W rodo nie ma przepisów, które nakładają wprost obowiązek prowadzenia określonej dokumentacji przetwarzania danych osobowych. Podobnie rzecz ma się z naruszeniami przepisów z zakresu ochrony danych, za które grozi kara pieniężna. Nie oznacza to jednak, że dokumentacja przetwarzania danych nie jest wymagana, a za nieprawidłowości w tym zakresie ADO nie poniesie żadnej odpowiedzialności.
Administrator danych będzie musiał wykazać, że przetwarza dane zgodnie z wymogami ogólnego rozporządzenia o ochronie danych. W tym celu powinien wdrożyć odpowiednie polityki i dokumentację, co potwierdzać będzie, że wypełnia obowiązki określone w rozporządzeniu. Brak dokumentacji lub nieprawidłowości w jej prowadzeniu mogą oznaczać, że nie przestrzega tych obowiązków, a zatem, że narusza przepisy rozporządzenia. Administracyjna kara pieniężna będzie grozić, jeśli administrator np.:
- nie prowadzi rejestru czynności przetwarzania danych,
- nie zawarł w formie pisemnej lub elektronicznej umowy powierzenia przetwarzania danych,
- nie wydał upoważnień dla osób przetwarzających dane,
- nie przygotował dokumentacji, która potwierdzi uzgodnienia współadministratorów danych co do zakresu odpowiedzialności dotyczącej wypełniania obowiązków wynikających z rozporządzenia,
- nie przyjął wewnętrznych polityk bezpieczeństwa potwierdzających wdrożenie odpowiednich środków technicznych i organizacyjnych ochrony danych,
- nie prowadzi dokumentacji potwierdzającej zgłoszenie incydentu ochrony danych organowi nadzorczemu.
Druga grupa obowiązków, za nieprzestrzeganie których grożą kary finansowe, to te związane z respektowaniem praw osób fizycznych. W szczególności chodzi o obowiązki, które dotyczą warunków uzyskiwania zgody na przetwarzanie danych osobowych, informowania osób fizycznych o przetwarzaniu ich danych, umożliwienia sprostowania czy usunięcia danych. Na odpowiedzialność finansową administrator może zatem narazić się, gdy:
- ma nieprawidłowe klauzule zgód na przetwarzanie danych albo gdy nie jest w stanie wykazać, że ma podstawę prawną do przetwarzania danych,
- nie dysponuje pisemnym lub elektronicznym dokumentem potwierdzającym, że wykonał obowiązek informacyjny przy gromadzeniu danych osób, których dane dotyczą,
- nie ma dokumentów, z których by wynikało, że wykonał obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania.
Tagi: porady, ochrona danych osobowych
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
