Uwaga:
14.04 | Certyfikaty zgodności PDP Group sp. z o.o.
16.03 | Przesuwamy termin szkolenia
20.02 | 18. posiedzenie plenarne Europejskiej Rady Ochrony Danych
linkedin
  1. Jesteś tutaj
  2. Blog

RODO wskazówki - nasz ekspert o karach UODO i sposobach na ich uniknięcie

16.12.2019

Pomimo krótkiego obowiązywania RODO w Polsce historia kar finansowych nakładanych na administratorów danych przez organ nadzorczy jest bardzo pouczająca, i nomen omen, niezwykle bogata. Pierwsza kara finansowa nałożona w marcu 2019 r. na administratora danych przez Prezesa Urzędu Ochrony Danych Osobowych otrzeźwiła wszystkich, nawet tych, którzy wdrażając wymagania RODO, kierowali się zimną kalkulacją i wyborem tzw. "najtańszej opcji". A stara zasada mówi: nie ma rzeczy tanich i dobrych.

Blisko milion złotych kary musi zapłacić administrator danych, z sektora prywatnego, który pomimo ciążącego na nim obowiązku prawnego, nie dopełnił obowiązku informacyjnego względem osób fizycznych, których dane osobowe przetwarzał, a które nie miały o tym wiedzy. Tym samym nie mogły one korzystać z pełni praw zagwarantowanych podmiotom danych w RODO. 

I nie miało żadnego znaczenia, że dane osobowe, przetwarzane przez ukaranego administratora pochodziły ze źródeł publicznie dostępnych, gdyż istotą RODO jest ochrona praw i wolności osób, których dane dotyczą, czego częścią jest również transparentne informowanie tych osób o fakcie przetwarzania ich danych osobowych przez administratora.

Zgodnie z decyzją Prezesa UODO z maja 2019 r. podmiot prywatny, działający na podstawie przepisów normujących działalność sportową, został ukarany karą administracyjną w wysokości ponad 55 tys. zł. Powodem nałożenia kary było z jednej strony upublicznienie na stronie internetowej administratora danych zbyt szerokiego zakresu danych osobowych, czym złamano wymagania określone w RODO. Z drugiej – nieskuteczne próby usunięcia upublicznionych danych, czym naruszono prawa i wolności osób fizycznych, a także wymagania określone w art. 5 ust. 1 lit. f RODO, których uszczegółowienie zawarte jest w art. 32 RODO opisującym bezpieczeństwo przetwarzania danych osobowych.

Określając wysokość kary administracyjnej, organ nadzorczy wziął pod uwagę okoliczności łagodzące, tzn. dobrą współpracę podczas prowadzonego postepowania wyjaśniającego, w tym samodzielne zgłoszenie potencjalnego naruszenia, nieumyślny charakter naruszenia, pomimo tego, iż źródłem naruszenia było niedochowanie przez administratora danych należytej staranności, a także usunięcie naruszenia w trakcie prowadzonego postępowania przed organem nadzorczym.

To obrazuje, jak ważne jest profesjonalne wsparcie administratora danych przez wyspecjalizowany – w zarządzaniu procesem ochrony danych osobowych – podmiot.

(…) W ocenie UODO, z mocy powszechnie obowiązującego prawa, każdy administrator danych jest zobowiązany do stosowania odpowiednich środków technicznych i organizacyjnych, by zapewnić właściwy stopień bezpieczeństwa odpowiadający ryzyku nieuprawnionego dostępu do danych osobowych. Potwierdza to, że teoria odnosząca się do zagadnień RODO, a praktyczne działania zmierzające do ochrony praw i wolności podmiotów danych dzieli przepaść.

Jednym z praw podmiotów danych, wynikającym z art. 7 ust. 3 RODO, jest prawo wycofania zgody na przetwarzanie danych osobowych, które musi być równie łatwe jak jej wyrażenie.

Nie oznacza to w praktyce, że administrator danych zobowiązany jest do wprowadzenia takich samych mechanizmów jak w przypadku zbierania zgody na przetwarzanie danych osobowych. Niezastosowanie się do tej zasady prowadzić może do naruszenia ochrony danych osobowych, a w konsekwencji do nałożenia kary przez UODO.

(…) Jak zatem uniknąć potencjalnej kary wynikającej z naruszenia ochrony danych osobowych? Proste. Nie iść na skróty. Ze zrozumieniem realizować wymagania wynikające z RODO, stale budować świadomość podmiotów uczestniczących w przetwarzaniu danych osobowych, działać transparentnie w stosunku do podmiotów danych, podejmować działania adekwatne do zdiagnozowania ryzyka, a przede wszystkim rozciągnąć na całość działania istotę zasady rozliczalności wynikającej z art. 5 ust. 2 RODO. Nie zaszkodzi także wdrożenie w proces ochrony danych osobowych złotej zasady etycznej: przetwarzaj dane osobowe tak, jak chciałbyś, by inni przetwarzali twoje.

Grzegorz Leśniewski

PDP Group sp. z o.o.

Skontaktuj się z ekspertem

Zamów nasze usługi i sprawdź sam
ile możemy dla Ciebie zrobić.

22 297 22 99 biuro@pdpgroup.pl ul. Grochowska 75/77
04-186 Warszawa
PDP Group Sp. z o.o., Grochowska 75/18, 04-186 Warszawa, (administrator danych), przetwarzał będzie Państwa dane osobowe, na podstawie art. 6 ust.1 lit F Rozporządzenia Parlamentu Europejskiego i Rady(UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1) Podanie Państwa danych osobowych jest niezbędne do prowadzenia korespondencji, które będziemy przetwarzać przez okres niezbędny do jej realizacji. Przysługuje Państwu prawo żądania dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania oraz przenoszenia Państwa danych, jak również prawo do złożenia skargi do organu nadzorczego. Dane nie będą podlegały zautomatyzowanemu podejmowaniu decyzji, ani profilowaniu. Kontakt do Inspektora Ochrony Danych: dpo@pdpgroup.pl.
www.pdpcertificates.pl PDP Certificates
© 2017 PDP Group Personal Data Protection
Wszelkie prawa zastrzeżone
Skontaktuj się z ekspertem

Chcesz o coś zapytać? Zadaj nam pytanie, chętnie pomożemy!

Skontaktuj się z nami