RODO- odpowiedzialność za naruszenie danych osobowych
Wielu pracodawców chcąc spełniać wymogi dotyczące ochrony danych osobowych zapisuje wybranego pracownika na kurs Inspektora Ochrony Danych Osobowych. Jednak czym dokładnie zajmuje się taka osoba i na kim spoczywa odpowiedzialność w przypadku, gdy dojdzie do naruszenia danych osobowych?
Inspektor Ochrony Danych Osobowych
Zgodnie z art. 39 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) do zadań Inspektora Ochrony Danych Osobowych należą:
a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
b) monitorowanie przestrzegania rozporządzenia RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO,
d) współpraca z organem nadzorczym,
e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Kto ponosi odpowiedzialność za naruszenia?
Podmiotem ponoszącym odpowiedzialność za naruszenie danych osobowych jest administrator danych osobowych, lub podmiot przetwarzający dane osobowe. Inspektor ochrony danych jest tylko organem pomocniczym, który zajmuje się monitorowaniem przestrzegania RODO przez jednostkę, sugeruje wdrożenie zmian mających na celu poprawę ochrony danych i wskazuje potencjalne zagrożenia.
Co zrobić w momencie, gdy stwierdzono naruszenie danych osobowych?
Administrator Danych Osobowych jest zobligowany do zgłoszenia organowi nadzorczemu naruszeń ochrony danych osobowych bez zbędnej zwłoki- nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykujemy naruszenia praw lub wolności osób fizycznych.
Zgodnie z art. 33 RODO zgłoszenie naruszenia musi co najmniej:
a)opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
b)zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
c)opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
d)opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Administrator ma obowiązek dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.
Jakiej wysokości kary można nałożyć?
Omawiając to zagadnienie należy już na wstępie zaznaczyć, że nie każde zgłoszone naruszenie będzie podlegało karze pieniężnej. Samo stwierdzenie naruszenia przepisów RODO nie obliguje organu administracji publicznej do nakładania sankcji finansowych. Oznacza to, że w przypadku, gdy naruszenie jest niewielkie lub kara, która grozi za to naruszenie jest nieproporcjonalnie wysoka i stanowiłaby dla administratora danych osobowych zbyt duże obciążenie, organ może udzielić upomnienia.
W przypadku naruszeń przepisów ochrony danych osobowych RODO przewiduje odnośnie przedsiębiorstw surowe sankcje finansowe. W zależności od rodzaju naruszenia przewiduje dwa pułapy kar:
• do 10 mln euro, a w przypadku przedsiębiorstwa do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego,
• do 20 mln euro, a w przypadku przedsiębiorstwa do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.