Tag: Rodo

KOGO DOTYCZY RODO?

Data dodania:
RODO OBOWIĄZUJE PRZEDSIĘBIORCÓW

Ochrona danych jest obowiązkiem każdego przedsiębiorcy

Od prawie trzech lat obowiązuje Rozporządzenie o Ochronie Danych, w skrócie RODO , którego zadaniem jest ochrona danych obywateli Unii Europejskiej. Rozporządzenie zmieniło zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w firmach, znacząco zwiększając ochronę danych osobowych, w tym danych o charakterze wrażliwym, a także nałożyło wiele nowych obowiązków na administratorów tych danych.

Przepisom RODO podlega przedsiębiorca, który:

• prowadzi działalność gospodarczą na terenie Unii Europejskiej,
• ma siedzibę na terenie Unii Europejskiej,
• w firmie wykorzystuje systemy informatyczne np. program do umawiania klientów,
• tworzy firmowe bazy danych osobowych np. zgody marketingowe czy zapisy na newsletter.

Mimo to wielu przedsiębiorców, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą, nadal ma wątpliwości, jak bezpiecznie wykonywać operacje związane z przetwarzaniem danych osobowych swoich klientów, kontrahentów czy pracowników. Duża część firm ma świadomość ryzyka płynącego z braku dostosowania działalności gospodarczej do wymogów RODO, ale nie ma wystarczających środków finansowych na skorzystanie z pomocy specjalistycznych usług doradczych związanych z wdrożeniem systemu ochrony danych. Jednak spora grupa przedsiębiorców sądzi, że przepisy RODO w ogóle ich nie dotyczą lub pozostają w błędnym przekonaniu, że dane osobowe przetwarzają wyłącznie duże korporacje. Tymczasem prowadząc nawet jednoosobową działalność gospodarczą gromadzi się i przetwarza ogromną ilość danych osobowych, a taka działalność podlega kontroli ze strony Urzędu Ochrony Danych Osobowych.

Przykład:

Wyobraź sobie, że działasz w branży beauty, oferując w swoim salonie usługi fryzjerskie i kosmetyczne. Zatrudniasz trzech pracowników i masz stałą sieć dostawców. Prężnie działasz w mediach społecznościowych, a do umawiania klientów wykorzystujesz aplikację, która umożliwia klientkom i klientom umawiać się na wizyty online. W takiej sytuacji – w salonie piękności przetwarzasz dane osobowe: pracowników, dostawców i klientów.

Nowe regulacje mają zastosowanie zawsze wtedy, gdy dochodzi do przetwarzania danych osobowych w rozumieniu RODO. W świetle art. 4 ust. 2 rozporządzenia ogólnego o ochronie danych przetwarzanie to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, m.in.: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

W dzisiejszych czasach trudno wyobrazić sobie prowadzenie jakiejkolwiek działalności gospodarczej bez gromadzenia danych osobowych. Śmiało można postawić wniosek, że przetwarzanie danych osobowych towarzyszy każdemu przejawowi działalności gospodarczej – od danych osobowych klientów poczynając, poprzez dane osobowe pracowników, a na danych osobowych kontrahentów kończąc. Nie ma znaczenia czy dane osobowe przetwarza przedsiębiorca prowadzący jednoosobową działalność gospodarczą czy przez duże przedsiębiorstwo. Nie ma też znaczenia, czy przedsiębiorca zatrudnia pracowników oraz w jakiej branży działa. Przedsiębiorcy, zarówno mikroprzedsięborcy jak i duże podmioty prowadzące działalność gospodarczą, mają obowiązek dodatkowo zadbać o bezpieczne przetwarzanie danych osobowych oraz dostosować dotychczasowe procedury i dokumentację w zakresie bezpieczeństwa danych do wymogów RODO.

Przykład:
Nawet jednoosobowi przedsiębiorcy budują listy mailingowe, listy dostawców, czy osób zainteresowanych przyszłą rekrutacją. Takie zbiory danych mogą być przechowywane w segregatorze, na pliku komputerowym lub w aplikacji online.

Pamiętaj!
Każda działalność gospodarcza, która wiąże się z przetwarzaniem danych osobowych osób fizycznych, podlega przepisom RODO oraz przepisom krajowych ustaw dotyczących ochrony danych osobowych. Ignorowanie ochrony danych może wiązać się z negatywnymi konsekwencjami, które przedsiębiorca powinien wziąć pod uwagę oceniając ryzyko oraz koszty prowadzonej działalności gospodarczej.

Czego nie warto robić w trakcie postępowania przed Prezesem Urzędu Ochrony Danych Osobowych?

Data dodania:

O tym, że w postępowaniu przed Prezesem UODO, milczenie nie jest złotem świadczą wymierzone w ostatnim czasie kary pieniężne.

W ostatnim czasie obserwujemy wzrost kar nakładanych przez Prezesa Urzędu Ochrony Danych Osobowych (dalej Prezes UODO, PUODO) za brak współpracy z organem nadzorczym. W trakcie prowadzonych postępowań kontrolerzy UODO stawiali zarzuty związane z niezapewnieniem przez kontrolowanych administratorów lub podmiotów przetwarzających dostępu do informacji niezbędnych organowi nadzorczemu do realizacji jego zadań lub utrudniania postępowania. Sam urząd przyznaje, że to poważny i częsty problem, z którym zmaga się w trakcie prowadzonych postępowań.

Obowiązek współpracy z Prezesem UODO

RODO przewiduje obowiązek współpracy z Prezesem UODO w trakcie prowadzonego postępowania, tj. zapewnienia dostępu:

  • do wszelkich danych osobowych i informacji,
  • do pomieszczeń, sprzętu i środków.

Prezes UODO, pod pojęciem braku współpracy, rozumie nie udzielanie odpowiedzi na pisma urzędowe lub utrudnienie wykonywania jego zadań w inny sposób. W ocenie organu nadzorczego takie postępowanie administratorów lub podmiotów przetwarzających, utrudnia kontrolerom z ramienia UODO wykonywanie obowiązków ustawowych oraz może się przyczyniać do nadmiernego wydłużania postępowań, a w efekcie naruszać prawa obywateli do rozpatrzenia spraw związanych z ochroną danych osobowych w rozsądnym terminie.

Jakie kary zostały nałożone przez Prezesa UODO za brak współpracy?

  • Kara nałożona na spółkę z Jeleniej Góry w wysokości 15 tys. zł. Kara została nałożona za brak współpracy z organem nadzorczym w transgranicznym postępowaniu dotyczącym naruszenia jego praw do ochrony danych osobowych. Ukarana spółka dwukrotnie nie udzieliła UODO wyjaśnień. Na jedno z wezwań spółka udzieliła odpowiedzi, jednakże wyjaśnienia w niej zawarte były niepełne i wewnętrznie sprzeczne.
  • Kara w wysokości 5 tys. zł nałożona na przedsiębiorcę prowadzącego jednoosobową działalność gospodarczą w formie niepublicznego żłobka i przedszkola. Organ nadzorczy trzykrotnie skierował do przedsiębiorcy wezwania do złożenia wyjaśnień w sprawie wniesionego przez niego zgłoszenia dotyczącego naruszenia ochrony danych osobowych.
  • Kara dla Głównego Geodety Kraju w wysokości 100 tys. złotych. Kara została nałożona w związku ze stwierdzonym naruszeniem zasady zgodności z prawem przetwarzania danych osobowych oraz udostępnianiem bez podstawy prawnej na portalu GEOPORTAL2 danych osobowych w postaci numerów ksiąg wieczystych pozyskanych z ewidencji gruntów i budynków. GGK udaremnił możliwość zbadania legalności publikowania na GEOPORTAL2 informacji o numerach ksiąg wieczystych. W toku kontroli udostępnił jedynie dokumentację określającą środki organizacyjne zastosowane w celu zapewnienia bezpieczeństwa danych oraz dowody potwierdzające wyznaczenie inspektora ochrony danych.
  • Kara dla Burmistrza Aleksandrowa Kujawskiego w wysokości 40 tys. Jednym z powodów nałożenia kary na burmistrza miasta było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane. W trakcie postępowania postawiono również zarzut braku współpracy administratora. PUODO uznał, że administrator w odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego nie odniósł się do wskazanych w nim naruszeń poza kwestią związaną z terminem retencji danych udostępnionych na stronie internetowej BIP.

Cel nałożenia kary za brak współpracy z Prezesem UODO:

  • dyscyplinowanie administratorów i podmiotów przetwarzających,
  • zapobieganie utrudnianiu lub uniemożliwianiu kontroli, które są traktowane, jako naruszenia o dużej wadze skutkujące wymierzeniem kary,
  • zapobieganie lekceważeniu obowiązków związanych ze współpracą z organem, które są traktowane jako naruszenia o dużej wadze skutkujące wymierzeniem kary,
  • przeciwdziałanie nadmiernemu wydłużeniu się toczącego postępowania.

Co rzuca się w oczy?

Dla UODO duże znaczenie ma aspekt dobrej współpracy ze strony kontrolowanych podmiotów. Prześledzone powyżej decyzje – dotyczące zarówno podmiotów prywatnych jak i publicznych – wyraźnie wskazują, że lekceważenie, utrudnienie lub uniemożliwianie postępowania jest traktowane bardzo poważnie. Prezes UODO wszczyna wtedy odrębne postępowanie dotyczące ukarania kontrolowanego administratora lub podmiotu przetwarzającego. PUODO w pisemnych motywach rozstrzygnięć wskazuje, że kara ta powinna zdyscyplinować stronę do prawidłowej współpracy z Prezesem UODO, zarówno w dalszym toku trwającego postępowania w sprawie zgłoszenia naruszenia ochrony danych osobowych, jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z jego udziałem przed Prezesem UODO. Kara jest jasnym sygnałem, że lekceważenie obowiązków związanych ze współpracą z organem nadzorczym – w szczególności utrudnianie dostępu do informacji niezbędnych do realizacji jego zadań – stanowi naruszenie o dużej wadze i jako takie podlega sankcjom finansowym.

Jak tłumaczy karanie PUODO?

Kary pieniężne wymierzane za brak współpracy służą dyscyplinowaniu administratorów i podmiotów przetwarzających. Lekceważenie przez kontrolowane podmioty obowiązków związanych ze współpracą z Prezesem UODO prowadzi bowiem do przedłużania prowadzonych przez niego postępowań. W ten sposób utrudniona jest realizacja praw osób, których ochrona danych osobowych jest naruszana.

Co nam pozostaje?

Wbrew obiegowym teoriom warto postawić na dobrą współpracę z organem nadzorczym. Możemy to najłatwiej osiągnąć, gdy terminowo udzielamy wyjaśnień i udzielamy odpowiedzi Prezesowi UODO. Pamiętajmy, że administracyjna kara pieniężna nakładana przez organ nadzorczy, ma charakter zindywidualizowany i zależy od oceny okoliczności konkretnej sprawy. Przy wymierzaniu kary, organ zawsze bierze pod uwagę „stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków” oraz „sposób, w jaki Prezes UODO dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (np. czy sam zgłosił „wyciek danych”).” Dlatego też dobra współpraca z administratorem i np. jednorazowy charakter naruszenia mogą pozwolić uniknąć kary pieniężnej lub zostanie nam udzielone jedynie upomnienie. Nasza pełna współpraca z organem nadzorczym może zostać również potraktowana jako okoliczność łagodząca przy wymiarze kary (por. decyzja w sprawie spółki Morele.net).

Źródła:

Komunikat PUODO z dnia 29.07.2020 r. dostępny na oficjalnej stronie organu pt. „Współpraca z Prezesem UODO i trzy ostatnie kary”. Pełna treść dostępna: https://uodo.gov.pl/pl/138/1622

Art. 31 Rozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO).

Decyzja w sprawie East Power sp. z o.o. z siedzibą w Jeleniej Góry z dnia 10 lipca 2020 r., znak: DKE.561.1.2020. Pełna treść decyzji dostępna: https://uodo.gov.pl/decyzje/DKE.561.1.2020

Decyzja w sprawie przedsiębiorcy prowadzącego przedszkole z dnia 3 czerwca 2020 r., nr DKE.561.2.2020. Pełna treść decyzji dostępna: https://www.uodo.gov.pl/decyzje/DKE.561.2.2020

Decyzja w sprawie Głównego Geodety Kraju z dnia 28 sierpnia 2020 r., nr DKN.5112.13.2020. Pełna treść decyzji dostępna jest tutaj: https://uodo.gov.pl/decyzje/DKN.5112.13.2020

Decyzja w sprawie Aleksandrowa Kujawskiego z dnia 18 października 2019 r., nr ZSPU.421.3.2019. https://uodo.gov.pl/decyzje/ZSPU.421.3.2019

Komunikat PUODO z dnia 4.11.2019 r. dostępny na oficjalnej stronie organu pt. Jak Prezes UODO nakłada administracyjne kary pieniężne?. Pełna treść dostępna: https://uodo.gov.pl/pl/138/1244

Decyzja w sprawie Morele.net sp. z o.o. z siedzibą w Krakowie z dnia 10 września 2019 r., nr ZSPR.421.2.2019
Pełna treść decyzji dostępna: https://uodo.gov.pl/decyzje/ZSPR.421.2.2019