Zgodnie z przyjętym przez Urząd Ochrony Danych Osobowych (dalej: „UODO”) planem kontroli sektorowych na 2024 rok, m. in. podmioty prywatne będą podlegać kontroli prawidłowości spełniania obowiązku informacyjnego określonego w art. 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”).
UODO w swoim komunikacie wskazał, że konieczność przeprowadzenia takiej kontroli wynika nie tylko z coraz większego zagrożenia naruszenia ww. przepisów, lecz również z wysokiego społecznego zainteresowania tego typu problemami.
Wskazane w komunikacie UODO przepisy określają obowiązki administratorów wobec osób, których dane są przez niego przetwarzane. Zasadniczo można je podzielić na trzy grupy:
informacje o administratorze danych osobowych
informacje bezpośrednio dotyczące przetwarzania danych osobowych
informacje o prawach osoby, której dane osobowe dotyczą
Administrator danych osobowych ma obowiązek udzielenia tych informacji osobie, której dane dotyczą podczas ich pozyskiwania. W przypadku, gdy dane pozyskiwane są od podmiotu trzeciego, administrator powinien przesłać informacje w rozsądnym terminie, lecz nie później niż w ciągu miesiąca od pozyskania danych. Wyjątek stanowi sytuacja, w której administrator będzie przetwarzał dane do komunikacji z osobą, której dane dotyczą – wówczas administrator ma obowiązek udzielenia informacji najpóźniej przy pierwszej komunikacji z tą osobą.
Podmioty prywatne powinny być przygotowane na potencjalne przeprowadzenie u nich kontroli przez UODO.
Warto w tym miejscu podkreślić, że dane osobowe muszą być przetwarzane w sposób przejrzysty dla osoby której dane dotyczą, a zgodnie z zasadą ograniczenia celu, dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
Oznacza to, że informacje dotyczące przetwarzania danych osobowych przekazywane osobom, których dane dotyczą, powinny odpowiadać rzeczywistym procesom przetwarzania danych osobowych u administratora. Co więcej, RODO nakłada na administratorów obowiązek wykazania, że wyżej wskazane zasady przetwarzania danych osobowych są przez nich przestrzegane (tzw. zasada rozliczalności).
W celu upewnienia się, że obowiązki informacyjne spełniane są w sposób prawidłowy, zalecane jest przeprowadzenie audytu wewnętrznego RODO.
Przepisy RODO przewidują nałożenie kary administracyjnej w wysokości do 20 mln euro, a w przypadku przedsiębiorstw – do 4% całkowitego obrotu z poprzedniego roku obrotowego. Wysokość kary administracyjnej ustalana jest indywidualnie do każdego przypadku, uwzględniając między innymi:
charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
umyślny lub nieumyślny charakter naruszenia,
działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
stopień odpowiedzialności administratora lub podmiotu przetwarzającego,
wcześniejsze naruszenia RODO przez administratora,
stopień współpracy z UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
kategorie danych osobowych, których dotyczyło naruszenie,
sposób, w jaki UODO dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.
Należy podkreślić, że oprócz kary administracyjnej, administrator może być również obowiązany do zapłaty odszkodowania każdej osobie, która poniosła która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, chyba, że nie ponosi on winy za zdarzenie, które doprowadziło do powstania szkody.
adw. Aleksandra Skrzypczyńska
Wszystko zaczyna się od rozmowy
Po wysłaniu wiadomości skontaktuję się z Tobą
w ciągu 24 godzin.
