Obowiązki wynikające z przepisów RODO i skutki ich naruszenia
Szybka ścieżka rozwiązania prostej spółki akcyjnej
7 lutego 2022
Nowy rok – stare inwestycje, a podatek tuż za rogiem
14 lutego 2022
Każdy z nas słyszał i z pewnością zetknął się z pojęciem RODO. Nie każdy jednak wie, z czym wiąże się jego wejście do naszego porządku prawnego.
RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, jest to ogólne rozporządzenie o ochronie danych obowiązujące w Unii Europejskiej regulujące przetwarzanie danych osobowych dotyczących osób fizycznych w UE przez osoby fizyczne, przedsiębiorstwa i organizacje. W jego zakres nie wchodzi przetwarzanie danych osobowych dotyczących osób zmarłych ani osób prawnych. Nie znajduje zastosowania również w przypadku przetwarzania danych przez osobę fizyczną w celach niezwiązanych z prowadzoną działalnością zawodową lub komercyjną.
Nowe przepisy o ochronie danych osobowych stosowane są od 25 maja 2018 r. Podmioty, które w myśl rozporządzenia przetwarzają dane osobowe, nie wiedzą często jakich obowiązków powinni dopełnić i czym takie zaniechanie może grozić.
Dane osobowe i ich przetwarzanie
Przez dane osobowe rozumiemy wszelkie informacje, dzięki którym możemy bezpośrednio lub pośrednio zidentyfikować daną osobę. Są to więc m.in. imię i nazwisko, nr PESEL, adres zamieszkania, ale też między innymi wizerunek, dane o wykształceniu, stan zdrowia, nagranie głosu, odcisk palca, czy karalność.
Przetwarzaniem danych osobowych jest natomiast zbieranie, utrwalanie, porządkowanie, przechowywanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, a także usuwanie lub niszczenie danych.
Do przetwarzania danych osobowych potrzebujemy podstawy, którą może być jedna z poniższych przesłanek:
- zgoda osoby, której dane dotyczą,
- wykonanie umowy, której stroną jest osoba, której dane dotyczą lub podjęcie działań na żądanie osoby, której dane dotyczą przed zawarciem umowy,
- wypełnienie obowiązku prawnego ciążącego na administratorze,
- ochrona żywotnych interesów osoby, której dane dotyczą lub innej osoby,
- wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej,
- prawnie uzasadniony interes administratora lub strony trzeciej.
Przesłanki te mają charakter samoistny, autonomiczny i niezależny, co oznacza, że wystarczy spełnienie jednej z przesłanek dla uznania przetwarzania za zgodne z prawem.
Obowiązki administratora
RODO nakłada na podmioty, które są administratorami danych osobowych szereg obowiązków, do których należą m.in.:
- obowiązek informacyjny względem osoby, której dane są przetwarzane. Informacje, których udzielić powinien administrator ujęte zostały w art. 13 RODO. Powinny zostać one udostępnione w momencie zbierania danych lub bezpośrednio przed ich zebraniem. Dokonuje się tego poprzez przekazanie treści tzw. klauzuli informacyjnej;
- uwzględnienie żądań osób, których dane są przetwarzane, m.in. dotyczących usunięcia danych, sprzeciwu wobec przetwarzania danych, przeniesienia danych, cofnięcia zgody, która została wyrażona;
- ustalenie, czy konkretny incydent dotyczący przetwarzania danych osobowych stanowił naruszenie;
- zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych.
Naruszenie przepisów RODO, może skutkować nałożeniem na administratora danych osobowych lub na podmiot przetwarzający administracyjnej kary pieniężnej. Mogą oni zostać również pociągnięci do odpowiedzialności na drodze cywilnoprawnej.
Odpowiedzialność cywilnoprawna
Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym RODO. Natomiast podmiot przetwarzający dane osobowe odpowiada za szkody spowodowane przetwarzaniem wyłącznie wtedy, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające bądź gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom.
Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna, że prawa przysługujące jej na mocy RODO zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem RODO. Również osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
Administrator lub podmiot przetwarzający mogą zwolnić się od odpowiedzialności, jeśli udowodnią, że nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
Administracyjne kary pieniężne
Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie przepisy RODO, musi liczyć się z ewentualnymi sankcjami pieniężnymi. W Polsce organem uprawnionym do nakładania kar pieniężnych jest Prezes Urzędu Ochrony Danych Osobowych.
Kary pieniężne powinny być nakładane w zależności od okoliczności każdego indywidualnego przypadku (oprócz lub zamiast innych środków naprawczych), powinny być więc proporcjalne, lecz odstraszające. Przy nakładaniu kary pieniężnej bierze się pod uwagę charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody.
Wysokość kary uzależniona jest od rodzaju podmiotu i charakteru naruszenia. Naruszenie przez administratora lub podmiot przetwarzający m.in. obowiązku prowadzenia rejestru czynności przetwarzania, czy też naruszenie zasad ochrony danych osobowych w fazie projektowania, może skutkować nałożeniem kary w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czy zastosowanie ma kwota wyższa.
Natomiast karze pieniężnej do wysokości 20 000 000 euro, a w przypadku przedsiębiorstwa w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, podlega m.in naruszenie zasad przetwarzania danych, w tym warunków zgody, przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, naruszenie praw osób, których dane dotyczą, czyli np. prawo do bycia zapomnianym. W tym przypadku również zastosowanie ma kwota wyższa.
Potrzebujesz pomocy w tym temacie? Napisz do nas!
