LexDigital

Naruszenie ochrony danych osobowych

Konsekwencje, jakie grożą za naruszenie przepisów RODO to nie tylko wielomilionowe kary pieniężne, nakładane przez organ nadzoru. Należy także pamiętać, że naruszenie ochrony danych osobowych może nieść za sobą inne skutki - obowiązek zapłacenia odszkodowania, a w ściśle określonych przypadkach może się wiązać nawet z odpowiedzialnością karną.

Naruszenie ochrony danych osobowych

Naruszenie ochrony danych osobowych - definicja

Na gruncie RODO pojęcie „naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem:

  • Zniszczenia danych osobowych,
  • Utracenia danych osobowych,
  • Zmodyfikowania danych osobowych,
  • nieuprawnionego ujawnienia danych osobowych lub
  • nieuprawnionego dostępu do danych osobowych

przesyłanych, przechowywanych lub w inny sposób przetwarzanych. W związku z tym
z naruszeniem ochrony danych będziemy mieli nawet w przypadku, kiedy np. wskutek niezawinionego przez nikogo pożaru dojdzie do zniszczenia twardego dysku komputera, na którym zapisane były dane osobowe pracowników czy klientów administratora.

Skutki naruszenia ochrony

Jeżeli dojdzie do naruszenia ochrony danych osobowych, a ze strony administratora brak będzie odpowiedniej i szybkiej reakcji, mogą nastąpić różnego rodzaju, niepożądane konsekwencje, zwłaszcza powstanie uszczerbku fizycznego czy szkód majątkowych lub niemajątkowych
u osób fizycznych, takich jak:

  • utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw,
  • dyskryminacja,
  • kradzież lub sfałszowanie tożsamości,
  • strata finansowa,
  • nieuprawnione odwrócenie pseudonimizacji,
  • naruszenie dobrego imienia,
  • naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub
  • inne znaczne szkody gospodarcze lub społeczne.

RODO ma w założeniu zwracać uwagę na tego rodzaju problemy i zobowiązywać do zabezpieczenia posiadanych danych przed opisanymi skutkami. Jeśli jednak dojdzie do naruszenia, wprowadza określone rozwiązania:

Zgłoszenie naruszenia

Jednym z nowych obowiązków jest zgłaszanie naruszeń organowi nadzorczemu (na podstawie nowej ustawy o ochronie danych osobowych będzie to Prezes Urzędu Ochrony Danych Osobowych) w przypadku naruszenia ochrony danych. Jeśli więc doszło do zniszczenia danych albo ich wycieku (np. wskutek przeprowadzonego ataku hakerskiego), administrator musi bez zbędnej zwłoki, w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłosić je do PUODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób.

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

Ponadto, zgodnie z nowymi przepisami, w razie naruszenia ochrony danych osobowych, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator powinien zawiadomić o tym osobę, której dane dotyczą. Zawiadomienie takie powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać informacje i środki opisane w RODO. Nie zawsze będzie ono jednak obowiązkowe.

Co grozi za ujawnienie danych osobowych?

W przepisach RODO, poza karami administracyjnymi, przewidziano również możliwość żądania od administratora lub podmiotu przetwarzającego odszkodowania za szkodę poniesioną przez osobę, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO. Co istotne, odszkodowanie zostanie przyznane wyłącznie wtedy, gdy szkoda wynika z przetwarzania danych, które naruszało treść RODO. Jeśli więc administrator dopełnił wszelkich wymogów, a i tak doszło np. ujawnienia danych i powstania uszczerbku w majątku poszkodowanego, to wówczas administrator nie będzie zobowiązany do jego naprawienia. W RODO zastrzeżono bowiem wyraźnie, że zarówno administrator, jak i podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Dopiero więc, gdyby okazało się, że administrator nie zabezpieczył przetwarzanych danych, albo zabezpieczył je w niewystarczającym stopniu, będzie on zobowiązany do wypłaty odszkodowania.

Co grozi za ujawnienie danych osobowych?

Opisane powyżej środki wydają się jednak nie być tak przerażające, jak wręcz już mityczne
i bardzo wysokie kary pieniężne. Na gruncie RODO zostały określone dwie główne grupy naruszeń, które wiążą się ze zróżnicowanymi karami. W pierwszym przypadku, administracyjna kara pieniężna może wynosić do 10 000 000 euro, a w przypadku przedsiębiorstwa - do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Kara taka jest nakładana za m.in. naruszenie określonych obowiązków administratora i podmiotu przetwarzającego, np. powierzanie przez administratora przetwarzania danych podmiotom, które nie zapewniają wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą.

Możliwa jest również kara pieniężna w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Przewidziano ją za m.in. naruszenie podstawowych zasad przetwarzania, w tym warunków zgody (np. nie sposób odróżnić zapytania o zgodę od innych treści oświadczenia, a później nie można jej wycofać, pomimo że powinno być to możliwe).

Zgodnie z RODO, organ nadzorczy powinien zapewnić, aby kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę m.in. na:

  • charakter, wagę i czas trwania naruszenia, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
  • umyślny lub nieumyślny charakter naruszenia;
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych przez nich wdrożonych;
  • wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  • kategorie danych osobowych, których dotyczyło naruszenie;
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.

Przykładowo, obiektywnie o wiele niższa kara powinna zostać nałożona na administratora, który pomimo tego, że wdrożył liczne zabezpieczenia, przypadkowo zniszczył przetwarzane dane osobowe, lecz natychmiast podjął stosowne działania, by osoby, których dane dotyczą nie poniosły z tego powodu żadnej szkody oraz w pełni współpracował z Prezesem Urzędu Ochrony Danych Osobowych, niż na administratora, który nie wdrożył żadnych zabezpieczeń, a po utracie przetwarzanych danych nie podjął żadnych działań i nie współpracował z organem nadzoru.

Warto również odnotować, że jeśli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów RODO, całkowita wysokość administracyjnej kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze naruszenie.

 Odpowiedzialność karna na podstawie UODO

Poza wskazanymi konsekwencjami, za konkretne naruszenia związane z ochroną danych osobowych można ponieść odpowiedzialność karną, w tym nawet trafić do więzienia. Projekt nowej ustawy o ochronie danych osobowych przewiduje dwa główne przestępstwa:

  • przetwarzanie danych osobowych, gdy ich przetwarzanie nie jest dopuszczalne albo
    w sytuacji braku uprawnienia do przetwarzania – zagrożone grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat dwóch (jeśli czyn ten dotyczy danych wrażliwych, kara pozbawienia wolności jest podniesiona do lat trzech),
  • udaremnianie lub utrudnianie kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych – zagrożone grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Katalog konsekwencji wynikających z naruszenia ochrony danych osobowych jest więc szeroki i w interesie każdego administratora powinno być zapewnienie, by nie narażać się na żaden ze wskazanych rodzajów odpowiedzialności.



Sprawdź również:


Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.