Naruszenie ochrony danych osobowych może zdarzyć się w każdej firmie – od małej działalności po duże przedsiębiorstwo. RODO dokładnie określa, jak należy reagować w takich sytuacjach, gdzie zgłosić incydent i jakie konsekwencje grożą za brak działania. Warto również wiedzieć, czym są dane wrażliwe i kiedy ich przetwarzanie jest dozwolone. Zrozumienie tych zasad pozwala uniknąć wysokich kar i budować zaufanie klientów.
Gdzie zgłosić naruszenie danych osobowych?
RODO nakłada na administratorów danych osobowych obowiązek zgłaszania naruszeń ochrony danych. W przypadku ich wystąpienia administrator powinien bezzwłocznie poinformować Prezesa Urzędu Ochrony Danych Osobowych (UODO), nie później jednak niż w ciągu 72 godzin od stwierdzenia naruszenia.
Jeśli zgłoszenie nastąpi po tym terminie, należy dołączyć wyjaśnienie przyczyny opóźnienia. Gdy naruszenie może powodować wysokie ryzyko dla praw lub wolności osób fizycznych, administrator ma obowiązek niezwłocznie poinformować także osoby, których dane dotyczą.
Podmiot przetwarzający dane, jeśli stwierdzi naruszenie, musi niezwłocznie poinformować o tym administratora. Z kolei administrator ma obowiązek dokumentować wszystkie naruszenia, ich okoliczności, skutki oraz podjęte działania naprawcze.
Zgłoszenie do Prezesa UODO, zgodnie z art. 33 ust. 3 RODO, powinno zawierać m.in.
- ✔️ środki podjęte lub planowane w celu ograniczenia skutków zdarzenia.
- ✔️ środki podjęte lub planowane w celu ograniczenia skutków zdarzenia.
- ✔️ opis charakteru naruszenia oraz przybliżoną liczbę osób, których dane dotyczą,
- ✔️ dane kontaktowe inspektora ochrony danych lub innej osoby odpowiedzialnej,
- ✔️ możliwe konsekwencje naruszenia.
W praktyce RODO kluczowa jest nie tylko ochrona danych, ale przede wszystkim szybka i właściwa reakcja na ich naruszenie – to ona najczęściej decyduje o wysokości kary.
– Łukasz Pyjek
Kary za naruszenie przepisów RODO
Kary finansowe za naruszenie przepisów RODO mogą być bardzo dotkliwe. Zależnie od rodzaju naruszenia mogą wynosić:
- ✔️ do 10 000 000 EUR lub do 2% rocznego obrotu – dla mniej poważnych naruszeń,
- ✔️ do 20 000 000 EUR lub do 4% obrotu – dla najpoważniejszych naruszeń.
Organ nadzorczy przy ustalaniu wysokości kary uwzględnia m.in.:
- ✔️ charakter, wagę i czas trwania naruszenia,
- ✔️ liczbę osób, których dane dotyczą, oraz rozmiar szkody,
- ✔️ to, czy naruszenie było umyślne, czy nieumyślne,
- ✔️ działania naprawcze podjęte przez administratora lub podmiot przetwarzający,
- ✔️ wcześniejsze naruszenia,
- ✔️ stopień współpracy z organem nadzorczym,
- ✔️ kategorię danych, których dotyczyło naruszenie,
- ✔️ sposób, w jaki organ dowiedział się o naruszeniu (czy zostało ono zgłoszone przez administratora),
- ✔️ stosowanie kodeksów postępowania lub mechanizmów certyfikacji,
- ✔️ korzyści finansowe lub uniknięte straty wynikające z naruszenia.
W praktyce oznacza to, że wysokość kary zależy od realnych działań administratora – odpowiednie zabezpieczenia i szybka reakcja mogą istotnie złagodzić konsekwencje finansowe.
Przeczytaj także: Procedury przetwarzania danych osobowych – wymysł czy obowiązek?
Czym są dane wrażliwe?
Zgodnie z art. 9 RODO, danymi wrażliwymi są informacje ujawniające m.in. pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, przynależność związkową, a także dane genetyczne, biometryczne, dotyczące zdrowia, seksualności lub orientacji seksualnej.
RODO co do zasady zakazuje przetwarzania danych wrażliwych. Dopuszcza to jednak w ściśle określonych sytuacjach, np. gdy:
- ✔️ osoba wyraziła wyraźną zgodę na przetwarzanie w konkretnym celu,
- ✔️ przetwarzanie odbywa się w ramach uprawnionej działalności,
- ✔️ jest niezbędne do realizacji obowiązków prawnych lub ochrony żywotnych interesów osoby,
- ✔️ dane zostały dobrowolnie upublicznione przez osobę, której dotyczą.
Przetwarzanie danych wrażliwych może również powodować dodatkowe obowiązki – np. konieczność powołania Inspektora Ochrony Danych (IOD), szczególnie gdy takie dane są przetwarzane na dużą skalę lub stanowią główną działalność administratora.
Rozporządzenie 2016/679 (RODO) i akty towarzyszące
Podsumowanie
RODO wymaga od przedsiębiorców nie tylko znajomości zasad ochrony danych, ale też umiejętności reagowania w razie ich naruszenia. Terminowe zgłoszenie incydentu, właściwa dokumentacja i współpraca z organem nadzorczym mogą znacząco zmniejszyć ryzyko kary.
Dodatkowo szczególnej ostrożności wymagają dane wrażliwe, których przetwarzanie dopuszczalne jest jedynie w wyjątkowych przypadkach.
Potrzebujesz wsparcia przy wdrożeniu lub audycie RODO w firmie?
Skontaktuj się z nami – pomożemy Ci w prawidłowym zgłoszeniu naruszeń, opracowaniu dokumentacji i ochronie danych osobowych w zgodzie z przepisami: kancelaria@kancelariailt.pl
AUTOR:
Łukasz Pyjek – radca prawny w Kancelarii ILT