Przejdź do treści
HWW Hewelt Wojnowski Lindner i Wspólnicy
Dane osobowe 9 lutego 2022 ok. 5 min czytania

Obowiązki wynikające z przepisów RODO i skutki ich naruszenia

Zuzanna Bokina-Kielbasa Autor Zuzanna Bokina-Kielbasa Radca prawny, Managing Associate
Obowiązki wynikające z przepisów RODO i skutki ich naruszenia

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, jest to ogólne rozporządzenie o ochronie danych obowiązujące w Unii Europejskiej regulujące przetwarzanie danych osobowych dotyczących osób fizycznych w UE przez osoby fizyczne, przedsiębiorstwa i organizacje. W jego zakres nie wchodzi przetwarzanie danych osobowych dotyczących osób zmarłych ani osób prawnych. Nie znajduje zastosowania również w przypadku przetwarzania danych przez osobę fizyczną w celach niezwiązanych z prowadzoną działalnością zawodową lub komercyjną.

Nowe przepisy o ochronie danych osobowych stosowane są od 25 maja 2018 r. Podmioty, które w myśl rozporządzenia przetwarzają dane osobowe, nie wiedzą często jakich obowiązków powinni dopełnić i czym takie zaniechanie może grozić.

Dane osobowe i ich przetwarzanie

Przez dane osobowe rozumiemy wszelkie informacje, dzięki którym możemy bezpośrednio lub pośrednio zidentyfikować daną osobę. Są to więc m.in. imię i nazwisko, nr PESEL, adres zamieszkania, ale też między innymi wizerunek, dane o wykształceniu, stan zdrowia, nagranie głosu, odcisk palca, czy karalność.

Przetwarzaniem danych osobowych jest natomiast zbieranie, utrwalanie, porządkowanie, przechowywanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, a także usuwanie lub niszczenie danych.

Do przetwarzania danych osobowych potrzebujemy podstawy, którą może być jedna z poniższych przesłanek:

  • zgoda osoby, której dane dotyczą,
  • wykonanie umowy, której stroną jest osoba, której dane dotyczą lub podjęcie działań na żądanie osoby, której dane dotyczą przed zawarciem umowy,
  • wypełnienie obowiązku prawnego ciążącego na administratorze,
  • ochrona żywotnych interesów osoby, której dane dotyczą lub innej osoby,
  • wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej,
  • prawnie uzasadniony interes administratora lub strony trzeciej.

Przesłanki te mają charakter samoistny, autonomiczny i niezależny, co oznacza, że wystarczy spełnienie jednej z przesłanek dla uznania przetwarzania za zgodne z prawem.

Obowiązki administratora

RODO nakłada na podmioty, które są administratorami danych osobowych szereg obowiązków, do których należą m.in.:

  • obowiązek informacyjny względem osoby, której dane są przetwarzane. Informacje, których udzielić powinien administrator ujęte zostały w art. 13 RODO. Powinny zostać one udostępnione w momencie zbierania danych lub bezpośrednio przed ich zebraniem. Dokonuje się tego poprzez przekazanie treści tzw. klauzuli informacyjnej;
  • uwzględnienie żądań osób, których dane są przetwarzane, m.in. dotyczących usunięcia danych, sprzeciwu wobec przetwarzania danych, przeniesienia danych, cofnięcia zgody, która została wyrażona;
  • ustalenie, czy konkretny incydent dotyczący przetwarzania danych osobowych stanowił naruszenie;
  • zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych.

Naruszenie przepisów RODO, może skutkować nałożeniem na administratora danych osobowych lub na podmiot przetwarzający administracyjnej kary pieniężnej. Mogą oni zostać również pociągnięci do odpowiedzialności na drodze cywilnoprawnej.

Odpowiedzialność cywilnoprawna

Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym RODO. Natomiast podmiot przetwarzający dane osobowe odpowiada za szkody spowodowane przetwarzaniem wyłącznie wtedy, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające bądź gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom.

Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna, że prawa przysługujące jej na mocy RODO zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem RODO. Również osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Administrator lub podmiot przetwarzający mogą zwolnić się od odpowiedzialności, jeśli udowodnią, że nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

Administracyjne kary pieniężne

Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie przepisy RODO, musi liczyć się z ewentualnymi sankcjami pieniężnymi. W Polsce organem uprawnionym do nakładania kar pieniężnych jest Prezes Urzędu Ochrony Danych Osobowych.

Kary pieniężne powinny być nakładane w zależności od okoliczności każdego indywidualnego przypadku (oprócz lub zamiast innych środków naprawczych), powinny być więc proporcjalne, lecz odstraszające. Przy nakładaniu kary pieniężnej bierze się pod uwagę charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody.

Wysokość kary uzależniona jest od rodzaju podmiotu i charakteru naruszenia. Naruszenie przez administratora lub podmiot przetwarzający m.in. obowiązku prowadzenia rejestru czynności przetwarzania, czy też naruszenie zasad ochrony danych osobowych w fazie projektowania, może skutkować nałożeniem kary w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czy zastosowanie ma kwota wyższa.

Natomiast karze pieniężnej do wysokości 20 000 000 euro, a w przypadku przedsiębiorstwa w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, podlega m.in naruszenie zasad przetwarzania danych, w tym warunków zgody, przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, naruszenie praw osób, których dane dotyczą, czyli np. prawo do bycia zapomnianym. W tym przypadku również zastosowanie ma kwota wyższa.

Najczęściej zadawane pytania

Czy moje dane osobowe mogą być przetwarzane bez mojej zgody?

Tak, przetwarzanie może być zgodne z prawem, jeśli spełniona jest jedna z innych przesłanek, takich jak wykonanie umowy, wypełnienie obowiązku prawnego lub ochrona żywotnych interesów. Nie jest wymagana zgoda, jeśli administrator działa w ramach prawnie uzasadnionego interesu lub realizuje zadanie w interesie publicznym.

Co muszę zrobić, jeśli administrator danych nie spełnia moich żądań dotyczących moich danych?

Administrator ma obowiązek uwzględniać Twoje żądania, w tym prośby o usunięcie danych, cofnięcie zgody czy przeniesienie danych. W przypadku naruszenia tych praw możesz skorzystać ze skutecznego środka ochrony prawnej przed sądem oraz dochodzić odszkodowania za poniesioną szkodę majątkową lub niemajątkową.

Jakie są konsekwencje prawne dla firmy, która naruszy przepisy o ochronie danych?

Naruszenie przepisów może skutkować nałożeniem administracyjnej kary pieniężnej przez Prezesa Urzędu Ochrony Danych Osobowych. Firma może również zostać pociągnięta do odpowiedzialności cywilnoprawnej i zobowiązana do naprawienia szkody, chyba że udowodni brak winy za zdarzenie, które ją spowodowało.

W jakich sytuacjach administrator może zostać ukarany wysoką grzywną?

Kary do 20 milionów euro lub 4% rocznego obrotu grożą za poważne naruszenia, takie jak łamanie zasad przetwarzania danych, nieważna zgoda czy naruszenie praw osób, których dane dotyczą. Mniejsze kary do 10 milionów euro lub 2% obrotu dotyczą np. braku rejestru czynności przetwarzania lub błędów w fazie projektowania ochrony danych.

Od czego zacząć

Masz problem z RODO lub ochroną danych?

Od tego pytania zaczyna się większość rozmów z prawnikiem. Konsultacja jest płatna, 600 zł netto. Płacisz za realną poradę: powiemy, czy masz problem prawny, co da się z nim zrobić i ile to mniej więcej kosztuje. Na nic dalej Cię to nie wiąże, a przepisy zostaw nam, od tego jesteśmy.

  1. 1
    Rozmowa

    Mówisz, co się dzieje, własnymi słowami.

  2. 2
    Co dalej

    Powiemy, jakie masz wyjścia i ile to kosztuje.

  3. 3
    Działamy

    Dajesz zielone światło i sprawa jest nasza.

Zuzanna Bokina-Kielbasa
Autor
Zuzanna Bokina-Kielbasa
Radca prawny, Managing Associate
Prawo korporacyjne i gospodarcze · Umowy · Ochrona danych osobowych

Specjalizuje się w korporacyjnej obsłudze podmiotów gospodarczych oraz ochronie danych osobowych. Wspomaga klientów kancelarii w przygotowywaniu wszelkiej dokumentacji korporacyjnej, w tym w rejestracji spółek handlowych oraz w dalszej rejestracji zmian, a także udziela bieżącego i kompleksowego doradztwa w zakresie prowadzonej działalności. Zapewnia doradztwo w przeprowadzaniu procesów transformacyjnych spółek handlowych, w tym w procesach przekształceń i połączeń. Przygotowuje oraz opiniuje umowy, regulaminy i…

Zobacz profil →
Powiązane specjalizacje
Miesięczny Legal Check

Nie przegap kolejnej analizy

Co miesiąc najważniejsze nowelizacje i ich praktyczne skutki dla biznesu, zebrane i zinterpretowane przez prawników HWW.

Powiązane publikacje

Dane osobowe 7 lutego 2023

Sporność pojęcia danych osobowych

Wobec powyższego, przede wszystkim należy wspomnieć o jednym z niedawno opublikowanych wyroków NSA, w którym stwierdził, że treść tablicy rejestracyjnej nie stanowi danych dotyczących prywatności osoby …

Martyna Dobkowska
Martyna Dobkowska
5 min czytania

Umów konsultację

Umów konsultację z prawnikiem naszej kancelarii.

Umów konsultację