Tradycyjnie, dzień 25 maja jest dobrą okazją do podsumowań w zakresie ochrony danych osobowych. To już 5 lat od wejścia w życie przepisów RODO! Z tej okazji chciałabym Państwu przypomnieć kilka kwestii związanych z odpowiedzialnością poszczególnych podmiotów/osób, zaangażowanych w procesy przetwarzania danych osobowych.
ADMINISTRATOR DANYCH OSOBOWYCH
KIM JEST?
Administrator danych osobowych pełni kluczową funkcję w procesie przetwarzania danych. Decyduje o przetwarzaniu danych osobowych, a także o jego zakresie oraz przeznaczeniu pozyskiwanych danych.
JAKIE MA OBOWIĄZKI I ZA CO ODPOWIADA? KILKA PRZYKŁADÓW:
- zapewnienie prawidłowości przetwarzania danych zgodnie z zasadami wymienionymi w art. 5 RODO, np. z zasadą zgodności z prawem, minimalizacji danych, ograniczenia celu oraz rozliczalności
- zapewnienie właściwej przesłanki (podstawy legalności) przetwarzania danych z art. 6 lub art. 9 RODO, np. zwarcie i realizacja umowy lub wypełnienie obowiązków wynikających z przepisów prawa
- wykonywanie obowiązku informacyjnego wobec osób, których dane są zbierane i przetwarzane oraz realizacja praw podmiotów danych
- przeprowadzenie analizy ryzyka bezpieczeństwa przetwarzania danych osobowych, a następnie wdrożenie odpowiednich środków technicznych i organizacyjnych w celu minimalizacji tego ryzyka oraz ochrony praw osób, których dane są przetwarzane
- wprowadzenie polityk ochrony danych
- udzielenie upoważnień/pełnomocnictw dla osób, które przetwarzają dane w imieniu administratora (zazwyczaj pracownicy) oraz zobowiązanie ich do zachowania danych w tajemnicy
- zawarcie umów powierzenia przetwarzania danych osobowych z podmiotami trzecimi w przypadku outsourcingu usług, np. usług księgowo-kadrowych, hostingu strony internetowej lub poczty elektronicznej
- prowadzenie wymaganych rejestrów – rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania
- zapewnienie szkoleń z ochrony danych osobowych dla personelu
- podjęcie działań w przypadku wystąpienia incydentu bezpieczeństwa lub naruszenia ochrony danych osobowych, minimalizacja skutków takiego incydentu/naruszenia, zgłoszenie do organu nadzorczego oraz zawiadomienie osób, których dotyczy naruszenie
- współpraca z organem nadzorczym – Prezesem Urzędu Ochrony Danych Osobowych
- niezwłoczne włączanie inspektora ochrony danych w sprawy związane z ochroną danych osobowych, wspieranie go w wykonywaniu zadań, nieudzielanie mu instrukcji w zakresie wykonywanych zadań oraz zapewnienie zasobów niezbędnych do wykonania zadań
JAKĄ PONOSI ODPOWIEDZIALNOŚĆ?
- administracyjna kara pieniężna nakładana przez Prezesa Urzędu Ochrony Danych Osobowych i/lub środek naprawczy o charakterze niepieniężnym (np. upomnienie)
Wysokość kar:
- kara do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa (art. 83 ust. 4 RODO)
- kara do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa (art. 83 ust. 5 RODO)
- kara w wysokości do 100 000 złotych – jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–12 i 14 ustawy o finansach publicznych (np. szkoły, szpitale, sądu, gminy), instytut badawczy i Narodowy Bank Polski (art. 102 ust. 1 ustawy o ochronie danych osobowych)
- kara w wysokości do 10 000 złotych – jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 13 ustawy o finansach publicznych np. teatry, opery, filharmonie, kina, muzea, biblioteki, domy kultury, galerie sztuki (art. 102 ust. 2 ustawy o ochronie danych osobowych)
- odpowiedzialność odszkodowawcza (cywilnoprawna) – w pełnym zakresie – wobec osób, które poniosły szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów dot. ochrony przetwarzania danych (jeżeli szkoda powstała wskutek świadomego działania lub niezachowania wymaganej w danych warunkach ostrożności)
PRZYKŁADY NAŁOŻONYCH KAR PRZEZ PREZESA UODO I ODSZKODOWAŃ NA DRODZE CYWILNOPRAWNEJ:
- Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości ponad 23 tys. zł na Rzecznika Dyscyplinarnego Izby Adwokackiej w związku z naruszeniem przepisów RODO poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzanych danych osobowych
- Prezes Urzędu Ochrony Danych Osobowych nałożył na Prokuraturę Rejonową administracyjną karę pieniężną w wysokości 20 tys. zł za niezawiadomienie organu nadzorczego o naruszeniu ochrony danych osobowych oraz niezawiadomienie osób, których dane objęto naruszeniem. Prezes UODO nakazał administratorowi powiadomienie osób o zaistniałym naruszeniu
- UODO, stwierdzając naruszenie przepisów Prawa telekomunikacyjnego, polegające na niezawiadomieniu organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych oraz braku niezwłocznego powiadomienia o naruszeniu danych osobowych abonenta, którego dotyczyło naruszenie, nałożył na P4 Sp. z o.o. karę pieniężną w wysokości 250 tys. złotych
- w Polsce pierwsze zadośćuczynienie zostało zasądzone dnia 6 sierpnia 2020 roku przez Sąd Okręgowy w Warszawie (sygn. akt XXV C 2596/19). Wyrokiem sądu została zasądzona kwota 1.500 zł za przekazanie osobie trzeciej danych osobowych (personalnych) powódki w zbyt szerokim zakresie, w wyniku czego pozwany naruszył prawo powódki do prywatności i doprowadził do powstania po jej stronie szkody niemajątkowej (krzywdy). Treść całego wyroku z uzasadnieniem można znaleźć na Portalu Orzeczeń Sądu Okręgowego w Warszawie.
PODMIOT PRZETWARZAJĄCY (PROCESOR)
KIM JEST?
Podmiot, który przetwarza dane osobowe na mocy umowy zawartej z administratorem danych oraz jedynie w zakresie i celach przewidzianych w tej umowie np. biuro rachunkowe będzie podmiotem przetwarzającym w przypadku świadczenia usług księgowo-kadrowych dla firm.
JAKIE MA OBOWIĄZKI I ZA CO ODPOWIADA? KILKA PRZYKŁADÓW:
- podmiot przetwarzający zawsze będzie przetwarzał dane na polecenie administratora, jednak decyzja o środkach przetwarzania zazwyczaj należy już do niego samego, np. wybór systemu zabezpieczającego lub wybór wykorzystywanego oprogramowania
- zabezpieczenie powierzonych do przetwarzania danych osobowych poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiedni stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych
- nadanie upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane oraz zobowiązanie do zachowania ich w tajemnicy
- w miarę możliwości, podmiot przetwarzający pomaga administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO
- prowadzenie rejestru kategorii czynności przetwarzania
- podjęcie działań w przypadku wystąpienia incydentu bezpieczeństwa lub naruszenia ochrony danych osobowych oraz niezwłoczne powiadomienie administratora danych, a następnie ścisła współpraca z nim przy minimalizacji skutków naruszenia
JAKĄ PONOSI ODPOWIEDZIALNOŚĆ?
- podmiot przetwarzający ponosi odpowiedzialność za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy powierzenia, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym
- administracyjna kara pieniężna nakładana przez Prezesa Urzędu Ochrony Danych Osobowych i/lub środek naprawczy o charakterze niepieniężnym (np. upomnienie)
Wysokość kar:
- kara do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu
z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa
(art. 83 ust. 4 RODO) - kara do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa (art. 83 ust. 5 RODO)
- odpowiedzialność odszkodowawcza (cywilnoprawna) – w ograniczonym zakresie (jest proporcjonalna do zakresu uprawnień i obowiązków nałożonych przez administratora) – wobec osób, które poniosły szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów dot. ochrony przetwarzania danych (jeżeli szkoda powstała wskutek niedopełnienia przez procesora obowiązków nałożonych na niego przez rozporządzenie lub gdy procesor działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom)
PRZYKŁADY NAŁOŻONYCH KAR PRZEZ PREZESA UODO:
- rekordowa kara ponad 4,9 mln zł dla administratora za naruszenie ochrony danych oraz kara ponad 250 tys. zł dla podmiotu przetwarzającego – Administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz nie zweryfikował, czy zapewnia on wystarczające gwarancje ich wdrożenia zgodnie z RODO. Natomiast podmiot przetwarzający nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym zapewnienie ich poufności. Pełna treść decyzji jest dostępna na stronie UODO.
WSPÓŁADMINISTRATOR
KIM JEST?
Administrator danych osobowych samodzielnie określa cele i sposoby przetwarzania danych osobowych. Istnieje jednak możliwość współpracy między dwoma (lub więcej) administratorami na równych zasadach. Jeśli podmioty wspólnie uzgadniają cele przetwarzania – stają się współadministratorami.
JAKIE MA OBOWIĄZKI I ZA CO ODPOWIADA? KILKA PRZYKŁADÓW:
- zawarcie umowy o współadministrowaniu pomiędzy podmiotami decydującymi o celach i sposobach przetwarzania danych osobowych
- ustalenie zakresów swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO
- dokonanie podziału obowiązków pomiędzy współadministratorami, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw na mocy RODO (np. prawa dostępu do danych) oraz obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14 RODO (obowiązek informacyjny względem osób, których dane dotyczą)
- w uzgodnieniach, współadministratorzy mogą podać wspólny punkt kontaktowy dla osób, których dane dotyczą
- zasadnicza treść uzgodnień jest udostępniania podmiotom, których dane dotyczą
- podjęcie działań w przypadku wystąpienia incydentu bezpieczeństwa lub naruszenia ochrony danych osobowych, minimalizacja skutków, zgłoszenie do organu nadzorczego oraz zawiadomienie osób, których dotyczy naruszenie
- rekomendowane jest również dokonanie wzajemnych ustaleń w zakresie spełniania pozostałych obowiązków wynikających z RODO, nałożonych na współadministratorów (jako jednego z typów administratorów), a wymienionych powyżej w tabeli dot. administratora danych
JAKĄ PONOSI ODPOWIEDZIALNOŚĆ?
- administracyjna kara pieniężna nakładana przez Prezesa Urzędu Ochrony Danych Osobowych i/lub środek naprawczy o charakterze niepieniężnym (np. upomnienie)
Wysokość kar:
- kara do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa
(art. 83 ust. 4 RODO) - kara do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa (art. 83 ust. 5 RODO)
- odpowiedzialność odszkodowawcza (cywilnoprawna) – solidarna – wobec osób, które poniosły szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów dot. ochrony przetwarzania danych.
OSOBA UPOWAŻNIONA DO PRZETWARZANIA DANYCH (PRACOWNIK)
KIM JEST?
Osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych. Osoba przetwarza dane wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Upoważnienie (zazwyczaj w formie pisemnej) jest wydawane każdej osobie, której administrator lub podmiot przetwarzający zlecił działania związane z przetwarzaniem danych osobowych. Oprócz pracowników, upoważnienia powinny zostać przyznane również stażystom czy praktykantom, jeżeli będą mieli dostęp do danych w związku z wykonywaniem obowiązków. Jednak nie każda osoba potrzebuje dostępu do danych, by móc w sposób prawidłowy wykonywać swoje obowiązki. Dotyczy to np. personelu sprzątającego – nie wydajemy wówczas upoważnienia do przetwarzania danych osobowych, ale odbieramy od osoby sprzątającej tzw. klauzulę poufności.
JAKIE MA OBOWIĄZKI I ZA CO ODPOWIADA? KILKA PRZYKŁADÓW:
- przestrzeganie zasad ochrony danych osobowych obowiązujących u administratora danych
- przestrzeganie wprowadzonych polityk ochrony danych
- uczestniczenie w szkoleniach z ochrony danych osobowych
- przetwarzanie danych osobowych określonych w upoważnieniu tzn. tylko tych, które pracownik może przetwarzać w zakresie pełnionych obowiązków służbowych
- niezwłoczne informowanie administratora danych/inspektora ochrony danych/ administratora systemu informatycznego w przypadku wystąpienia incydentu bezpieczeństwa lub naruszenia ochrony danych osobowych
- zachowanie w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, do których uzyskał dostęp w związku z wykonywaniem zadań służbowych lub obowiązków pracowniczych, także po ustaniu zatrudnienia
- niewykorzystywanie danych osobowych oraz innych informacji w celach pozasłużbowych
JAKĄ PONOSI ODPOWIEDZIALNOŚĆ?
- odpowiedzialność porządkowa (art. 108 Kodeksu Pracy)
- odpowiedzialność dyscyplinarna (art. 52 Kodeksu Pracy)
- odpowiedzialność karna, gdy naruszenie przepisów o ochronie danych osobowych ma charakter przestępstwa (art. 107 ustawy o ochronie danych osobowych):
- kto przetwarza dane osobowe zwykłe, mimo że ich przetwarzanie nie jest dopuszczalne albo nie jest uprawniony do ich przetwarzania – podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch
- kto przetwarza dane osobowe szczególnej kategorii (np. dane dot. zdrowia, przekonań religijnych), mimo że ich przetwarzanie nie jest dopuszczalne albo nie jest uprawniony do ich przetwarzania – podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech
- odpowiedzialność odszkodowawcza (cywilnoprawna) – pracownik, który wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych ze swej winy wyrządził pracodawcy szkodę, ponosi odpowiedzialność materialną według zasad określonych w przepisach Kodeksu pracy w granicach rzeczywistej straty poniesionej przez pracodawcę i tylko za normalne następstwa działania lub zaniechania, z którego wynikła szkoda (wina nieumyślna – odpowiedzialność w ograniczonym zakresie, wina umyślna – odpowiedzialność w pełnej wysokości).
INSPEKTOR OCHRONY DANYCH (IOD)
KIM JEST?
Osoba fizyczna powoływana przez administratora lub podmiot przetwarzający do pomocy przy kontroli przestrzegania – w firmie lub organizacji – przepisów o ochronie danych osobowych. IOD musi być niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
Kto może, a kto musi wyznaczyć IOD? Więcej na stronie UODO.
JAKIE MA OBOWIĄZKI I ZA CO ODPOWIADA? KILKA PRZYKŁADÓW:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników o obowiązkach w zakresie ochrony danych osobowych wynikających z RODO
- doradzanie, jak przestrzegać przepisów o ochronie danych osobowych
- monitorowanie przestrzegania przepisów, polityk w zakresie ochrony danych osobowych
- pomaganie przy sporządzaniu oceny ryzyka lub oceny skutków dla ochrony danych osobowych
- zachowanie poufności względem wykonywanych zadań w ramach ochrony danych osobowych
- pełni rolę punktu kontaktowego dla Urzędu Ochrony Danych Osobowych oraz osoby, której dane są przetwarzane przez administratora
- przeprowadzanie audytów ochrony danych osobowych
- działania podnoszące świadomość, a także szkolenia dla personelu zajmującego się przetwarzaniem danych
- wydawanie opinii w przypadku wystąpienia incydentu bezpieczeństwa lub naruszenia ochrony danych osobowych
JAKĄ PONOSI ODPOWIEDZIALNOŚĆ?
- w RODO nie ma regulacji dotyczących ponoszenia odpowiedzialności przez inspektora ochrony danych za działania związane z wykonywaniem lub niewykonywaniem przez niego obowiązków oraz za przypadki naruszenia przepisów dotyczących ochrony danych osobowych przez poszczególne podmioty zaangażowane w proces przetwarzania danych osobowych
- tak jak w przypadku osób upoważnionych do przetwarzania danych osobowych, IOD może ponieść odpowiedzialność porządkową „pracowniczą” określoną w Kodeksie Pracy lub odpowiedzialność odszkodowawczą materialną (cywilnoprawną) za spowodowanie szkody
- odpowiedzialność karna – to zazwyczaj IOD podczas kontroli UODO lub podczas wszczętego postępowania administracyjnego (np. w wyniku zgłoszenia naruszenia ochrony danych) będzie współpracował z organem nadzorczym – jeżeli będzie taką kontrolę udaremniał lub utrudniał podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch (art. 108 ustawy o ochronie danych osobowych).
Analizując dane statystyczne Urzędu Ochrony Danych Osobowych, można zaobserwować, że rośnie świadomość obywateli, jak i administratorów danych w tym zakresie. Ważne jest, aby cały czas budować świadomość wszystkich podmiotów i osób zaangażowanych w procesy przetwarzania danych osobowych. Tylko wówczas będą one mogły przebiegać, nie tylko w sposób zgodny z prawem, ale przede wszystkim w sposób bezpieczny dla osób, których dane przetwarzamy codziennie w swojej pracy – często w bardzo dużej ilości.
Nasze motto to „Sprawdzaj, działaj, nie ryzykuj!”
Skorzystaj z szerokiej oferty audytów i szkoleń prowadzonych przez CompNet oraz z ponad 20-letniego doświadczenia w ochronie danych osobowych i bezpieczeństwie informacji! Napisz do nas, a na pewno dopasujemy nasze działania do potrzeb Twojej organizacji.
Autor: Monika Kowalik, Dyrektor Projektu w CompNet Sp. z o.o.