5 lat RODOdpowiedzialności za nami! Ważne przypomnienie od CompNet

5 lat RODOdpowiedzialności za nami! Ważne przypomnienie od CompNet

Tradycyjnie, dzień 25 maja jest dobrą okazją do podsumowań w zakresie ochrony danych osobowych. To już 5 lat od wejścia w życie przepisów RODO! Z tej okazji chciałabym Państwu przypomnieć kilka kwestii związanych z odpowiedzialnością poszczególnych podmiotów/osób, zaangażowanych w procesy przetwarzania danych osobowych.

ADMINISTRATOR DANYCH OSOBOWYCH

KIM JEST?

Administrator danych osobowych pełni kluczową funkcję w procesie przetwarzania danych. Decyduje o przetwarzaniu danych osobowych, a także o jego zakresie oraz przeznaczeniu pozyskiwanych danych.

JAKIE MA OBOWIĄZKI I ZA CO ODPOWIADA? KILKA PRZYKŁADÓW:
  • zapewnienie prawidłowości przetwarzania danych zgodnie z zasadami wymienionymi w art. 5 RODO, np. z zasadą zgodności z prawem, minimalizacji danych, ograniczenia celu oraz rozliczalności
  • zapewnienie właściwej przesłanki (podstawy legalności) przetwarzania danych z art. 6 lub art. 9 RODO, np. zwarcie i realizacja umowy lub wypełnienie obowiązków wynikających z przepisów prawa
  • wykonywanie obowiązku informacyjnego wobec osób, których dane są zbierane i przetwarzane oraz realizacja praw podmiotów danych
  • przeprowadzenie analizy ryzyka bezpieczeństwa przetwarzania danych osobowych, a następnie wdrożenie odpowiednich środków technicznych i organizacyjnych w celu minimalizacji tego ryzyka oraz ochrony praw osób, których dane są przetwarzane
  • wprowadzenie polityk ochrony danych
  • udzielenie upoważnień/pełnomocnictw dla osób, które przetwarzają dane w imieniu administratora (zazwyczaj pracownicy) oraz zobowiązanie ich do zachowania danych w tajemnicy
  • zawarcie umów powierzenia przetwarzania danych osobowych z podmiotami trzecimi w przypadku outsourcingu usług, np. usług księgowo-kadrowych, hostingu strony internetowej lub poczty elektronicznej
  • prowadzenie wymaganych rejestrów – rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania 
  • zapewnienie szkoleń z ochrony danych osobowych dla personelu
  • podjęcie działań w przypadku wystąpienia incydentu bezpieczeństwa lub naruszenia ochrony danych osobowych, minimalizacja skutków takiego incydentu/naruszenia, zgłoszenie do organu nadzorczego oraz zawiadomienie osób, których dotyczy naruszenie 
  • współpraca z organem nadzorczym – Prezesem Urzędu Ochrony Danych Osobowych
  • niezwłoczne włączanie inspektora ochrony danych w sprawy związane z ochroną danych osobowych, wspieranie go w wykonywaniu zadań, nieudzielanie mu instrukcji w zakresie wykonywanych zadań oraz zapewnienie zasobów niezbędnych do wykonania zadań
JAKĄ PONOSI ODPOWIEDZIALNOŚĆ?
  • administracyjna kara pieniężna nakładana przez Prezesa Urzędu Ochrony Danych Osobowych i/lub środek naprawczy o charakterze niepieniężnym (np. upomnienie) 

Wysokość kar:

  • kara do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa (art. 83 ust. 4 RODO)
  • kara do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa (art. 83 ust. 5 RODO)
  • kara w wysokości do 100 000 złotych – jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–12 i 14 ustawy o finansach publicznych (np. szkoły, szpitale, sądu, gminy), instytut badawczy i Narodowy Bank Polski (art. 102 ust. 1 ustawy o ochronie danych osobowych)
  • kara w wysokości do 10 000 złotych – jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 13 ustawy o finansach publicznych np. teatry, opery, filharmonie, kina, muzea, biblioteki, domy kultury, galerie sztuki (art. 102 ust. 2 ustawy o ochronie danych osobowych)
  • odpowiedzialność odszkodowawcza (cywilnoprawna) – w pełnym zakresie – wobec osób, które poniosły szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów dot. ochrony przetwarzania danych (jeżeli szkoda powstała wskutek świadomego działania lub niezachowania wymaganej w danych warunkach ostrożności)
PRZYKŁADY NAŁOŻONYCH KAR PRZEZ PREZESA UODO I ODSZKODOWAŃ NA DRODZE CYWILNOPRAWNEJ:

PODMIOT PRZETWARZAJĄCY (PROCESOR)

KIM JEST?

Podmiot, który przetwarza dane osobowe na mocy umowy zawartej z administratorem danych oraz jedynie w zakresie i celach przewidzianych w tej umowie np. biuro rachunkowe będzie podmiotem przetwarzającym w przypadku świadczenia usług księgowo-kadrowych dla firm.

JAKIE MA OBOWIĄZKI I ZA CO ODPOWIADA? KILKA PRZYKŁADÓW:
  • podmiot przetwarzający zawsze będzie przetwarzał dane na polecenie administratora, jednak decyzja o środkach przetwarzania zazwyczaj należy już do niego samego, np. wybór systemu zabezpieczającego lub wybór wykorzystywanego oprogramowania 
  • zabezpieczenie powierzonych do przetwarzania danych osobowych poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiedni stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych
  • nadanie upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane oraz zobowiązanie do zachowania ich w tajemnicy
  • w miarę możliwości, podmiot przetwarzający pomaga administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO
  • prowadzenie rejestru kategorii czynności przetwarzania 
  • podjęcie działań w przypadku wystąpienia incydentu bezpieczeństwa lub naruszenia ochrony danych osobowych oraz niezwłoczne powiadomienie administratora danych, a następnie ścisła współpraca z nim przy minimalizacji skutków naruszenia
JAKĄ PONOSI ODPOWIEDZIALNOŚĆ?
  • podmiot przetwarzający ponosi odpowiedzialność za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy powierzenia, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym
  • administracyjna kara pieniężna nakładana przez Prezesa Urzędu Ochrony Danych Osobowych i/lub środek naprawczy o charakterze niepieniężnym (np. upomnienie) 

Wysokość kar:

  • kara do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu
    z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa
    (art. 83 ust. 4 RODO)
  • kara do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa (art. 83 ust. 5 RODO)
  • odpowiedzialność odszkodowawcza (cywilnoprawna) – w ograniczonym zakresie (jest proporcjonalna do zakresu uprawnień i obowiązków nałożonych przez administratora) – wobec osób, które poniosły szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów dot. ochrony przetwarzania danych (jeżeli szkoda powstała wskutek niedopełnienia przez procesora obowiązków nałożonych na niego przez rozporządzenie lub gdy procesor działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom)
PRZYKŁADY NAŁOŻONYCH KAR PRZEZ PREZESA UODO:
  • rekordowa kara ponad 4,9 mln zł dla administratora za naruszenie ochrony danych oraz kara ponad 250 tys. zł dla podmiotu przetwarzającego – Administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz nie zweryfikował, czy zapewnia on wystarczające gwarancje ich wdrożenia zgodnie z RODO. Natomiast podmiot przetwarzający nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym zapewnienie ich poufności. Pełna treść decyzji jest dostępna na stronie UODO.

WSPÓŁADMINISTRATOR

KIM JEST?

Administrator danych osobowych samodzielnie określa cele i sposoby przetwarzania danych osobowych. Istnieje jednak możliwość współpracy między dwoma (lub więcej) administratorami na równych zasadach. Jeśli podmioty wspólnie uzgadniają cele przetwarzania – stają się współadministratorami.

JAKIE MA OBOWIĄZKI I ZA CO ODPOWIADA? KILKA PRZYKŁADÓW:
  • zawarcie umowy o współadministrowaniu pomiędzy podmiotami decydującymi o celach i sposobach przetwarzania danych osobowych 
  • ustalenie zakresów swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO 
  • dokonanie podziału obowiązków pomiędzy współadministratorami, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw na mocy RODO (np. prawa dostępu do danych) oraz obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14 RODO (obowiązek informacyjny względem osób, których dane dotyczą)
  • w uzgodnieniach, współadministratorzy mogą podać wspólny punkt kontaktowy dla osób, których dane dotyczą
  • zasadnicza treść uzgodnień jest udostępniania podmiotom, których dane dotyczą
  • podjęcie działań w przypadku wystąpienia incydentu bezpieczeństwa lub naruszenia ochrony danych osobowych, minimalizacja skutków, zgłoszenie do organu nadzorczego oraz zawiadomienie osób, których dotyczy naruszenie
  • rekomendowane jest również dokonanie wzajemnych ustaleń w zakresie spełniania pozostałych obowiązków wynikających z RODO, nałożonych na współadministratorów (jako jednego z typów administratorów), a wymienionych powyżej w tabeli dot. administratora danych
JAKĄ PONOSI ODPOWIEDZIALNOŚĆ?
  • administracyjna kara pieniężna nakładana przez Prezesa Urzędu Ochrony Danych Osobowych i/lub środek naprawczy o charakterze niepieniężnym (np. upomnienie) 

Wysokość kar:

  • kara do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa
    (art. 83 ust. 4 RODO)
  • kara do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa (art. 83 ust. 5 RODO)
  • odpowiedzialność odszkodowawcza (cywilnoprawna) – solidarna – wobec osób, które poniosły szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów dot. ochrony przetwarzania danych.

OSOBA UPOWAŻNIONA DO PRZETWARZANIA DANYCH (PRACOWNIK)

KIM JEST?

Osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych. Osoba przetwarza dane wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Upoważnienie (zazwyczaj w formie pisemnej) jest wydawane każdej osobie, której administrator lub podmiot przetwarzający zlecił działania związane z przetwarzaniem danych osobowych. Oprócz pracowników, upoważnienia powinny zostać przyznane również stażystom czy praktykantom, jeżeli będą mieli dostęp do danych w związku z wykonywaniem obowiązków. Jednak nie każda osoba potrzebuje dostępu do danych, by móc w sposób prawidłowy wykonywać swoje obowiązki. Dotyczy to np. personelu sprzątającego – nie wydajemy wówczas upoważnienia do przetwarzania danych osobowych, ale odbieramy od osoby sprzątającej tzw. klauzulę poufności.

JAKIE MA OBOWIĄZKI I ZA CO ODPOWIADA? KILKA PRZYKŁADÓW:
  • przestrzeganie zasad ochrony danych osobowych obowiązujących u administratora danych
  • przestrzeganie wprowadzonych polityk ochrony danych
  • uczestniczenie w szkoleniach z ochrony danych osobowych
  • przetwarzanie danych osobowych określonych w upoważnieniu tzn. tylko tych, które pracownik może przetwarzać w zakresie pełnionych obowiązków służbowych
  • niezwłoczne informowanie administratora danych/inspektora ochrony danych/ administratora systemu informatycznego w przypadku wystąpienia incydentu bezpieczeństwa lub naruszenia ochrony danych osobowych
  • zachowanie w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, do których uzyskał dostęp w związku z wykonywaniem zadań służbowych lub obowiązków pracowniczych, także po ustaniu zatrudnienia
  • niewykorzystywanie danych osobowych oraz innych informacji w celach pozasłużbowych
JAKĄ PONOSI ODPOWIEDZIALNOŚĆ?
  • odpowiedzialność porządkowa (art. 108 Kodeksu Pracy)
  • odpowiedzialność dyscyplinarna (art. 52 Kodeksu Pracy)
  • odpowiedzialność karna, gdy naruszenie przepisów o ochronie danych osobowych ma charakter przestępstwa (art. 107 ustawy o ochronie danych osobowych):
  • kto przetwarza dane osobowe zwykłe, mimo że ich przetwarzanie nie jest dopuszczalne albo nie jest uprawniony do ich przetwarzania – podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch
  • kto przetwarza dane osobowe szczególnej kategorii (np. dane dot. zdrowia, przekonań religijnych), mimo że ich przetwarzanie nie jest dopuszczalne albo nie jest uprawniony do ich przetwarzania – podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech
  • odpowiedzialność odszkodowawcza (cywilnoprawna) – pracownik, który wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych ze swej winy wyrządził pracodawcy szkodę, ponosi odpowiedzialność materialną według zasad określonych w przepisach Kodeksu pracy w granicach rzeczywistej straty poniesionej przez pracodawcę i tylko za normalne następstwa działania lub zaniechania, z którego wynikła szkoda (wina nieumyślna – odpowiedzialność w ograniczonym zakresie, wina umyślna – odpowiedzialność w pełnej wysokości).

INSPEKTOR OCHRONY DANYCH (IOD)

KIM JEST?

Osoba fizyczna powoływana przez administratora lub podmiot przetwarzający do pomocy przy kontroli przestrzegania – w firmie lub organizacji – przepisów o ochronie danych osobowych. IOD musi być niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

Kto może, a kto musi wyznaczyć IOD? Więcej na stronie UODO.

JAKIE MA OBOWIĄZKI I ZA CO ODPOWIADA? KILKA PRZYKŁADÓW:
  • informowanie administratora, podmiotu przetwarzającego oraz pracowników o obowiązkach w zakresie ochrony danych osobowych wynikających z RODO
  • doradzanie, jak przestrzegać przepisów o ochronie danych osobowych
  • monitorowanie przestrzegania przepisów, polityk w zakresie ochrony danych osobowych
  • pomaganie przy sporządzaniu oceny ryzyka lub oceny skutków dla ochrony danych osobowych
  • zachowanie poufności względem wykonywanych zadań w ramach ochrony danych osobowych
  • pełni rolę punktu kontaktowego dla Urzędu Ochrony Danych Osobowych oraz osoby, której dane są przetwarzane przez administratora
  • przeprowadzanie audytów ochrony danych osobowych
  • działania podnoszące świadomość, a także szkolenia dla personelu zajmującego się przetwarzaniem danych
  • wydawanie opinii w przypadku wystąpienia incydentu bezpieczeństwa lub naruszenia ochrony danych osobowych
JAKĄ PONOSI ODPOWIEDZIALNOŚĆ?
  • w RODO nie ma regulacji dotyczących ponoszenia odpowiedzialności przez inspektora ochrony danych za działania związane z wykonywaniem lub niewykonywaniem przez niego obowiązków oraz za przypadki naruszenia przepisów dotyczących ochrony danych osobowych przez poszczególne podmioty zaangażowane w proces przetwarzania danych osobowych
  • tak jak w przypadku osób upoważnionych do przetwarzania danych osobowych, IOD może ponieść odpowiedzialność porządkową „pracowniczą” określoną w Kodeksie Pracy lub odpowiedzialność odszkodowawczą materialną (cywilnoprawną) za spowodowanie szkody
  • odpowiedzialność karna – to zazwyczaj IOD podczas kontroli UODO lub podczas wszczętego postępowania administracyjnego (np. w wyniku zgłoszenia naruszenia ochrony danych) będzie współpracował z organem nadzorczym – jeżeli będzie taką kontrolę udaremniał lub utrudniał podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch (art. 108 ustawy o ochronie danych osobowych).

Analizując dane statystyczne Urzędu Ochrony Danych Osobowych, można zaobserwować, że rośnie świadomość obywateli, jak i administratorów danych w tym zakresie. Ważne jest, aby cały czas budować świadomość wszystkich podmiotów i osób zaangażowanych w procesy przetwarzania danych osobowych. Tylko wówczas będą one mogły przebiegać, nie tylko w sposób zgodny z prawem, ale przede wszystkim w sposób bezpieczny dla osób, których dane przetwarzamy codziennie w swojej pracy – często w bardzo dużej ilości.

Nasze motto to „Sprawdzaj, działaj, nie ryzykuj!”

Skorzystaj z szerokiej oferty audytów i szkoleń prowadzonych przez CompNet oraz z ponad 20-letniego doświadczenia w ochronie danych osobowych i bezpieczeństwie informacji! Napisz do nas, a na pewno dopasujemy nasze działania do potrzeb Twojej organizacji.

Autor: Monika Kowalik, Dyrektor Projektu w CompNet Sp. z o.o.