Prawo

Surowe kary za niestosowanie się do nowego prawa ochrony danych osobowych

2 min.
1 174

Za naruszenie istotnych przepisów ochrony danych osobowych RODO przewiduje grzywnę do 20 mln EUR, a w przypadku przedsiębiorstwa – do 4% całkowitego światowego obrotu z poprzedniego roku. Niższe kary do 10 mln EUR lub do 2% światowego obrotu, przewidziane są w sprawach mniejszej wagi. Jednak czy rzeczywiście spowodują one, że firmy zaczną bardziej dbać o ochronę naszych informacji? Czy polscy przedsiębiorcy oraz instytucje sektora publicznego mają się czego obawiać?

RODO wprowadza bardzo surowe kary

Przed 25 maja br. przedsiębiorcy straszeni byli ogromnymi sankcjami, które będą im grozić za niestosowanie się do nowego prawa. Zgodnie z przepisami przed nałożeniem kary każdy przypadek ma być rozpatrywany indywidualnie. Przy czym istotne będą elementy takie jak np. skala naruszenia, umyślność działań, co zrobiono, żeby zminimalizować szkody poniesione przez osoby, których dane dotyczą, czy jest to pierwsze, czy kolejne przewinienie. Warto pamiętać, że organ nadzorczy może uwzględniać wszelkie okoliczności obciążające lub łagodzące. Należy pamiętać również, że nie każde postępowanie musi zakończyć się karą finansową.

Jeśli działanie było celowe, nie zdarzyło się pierwszy raz, a winny nie będzie chciał współpracować z UODO, to można zakładać, że dana firma otrzyma wyższe sankcje. Trzeba jednak pamiętać, że według art. 83 ust. 3: „jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie”. Niestety przesłanki ustalania finansowych kar administracyjnych są nieostre i tego powinny obawiać się organizacje. Oczywiście decyzje administracyjne będą podlegały kontroli sądowo-administracyjnej.

Ponadto, należy pamiętać, że każda osoba której dane są przetwarzane i w związku z tym przetwarzaniem (niezgodnym z przepisami RODO) poniosła szkodę majątkową lub niemajątkową ma możliwość dochodzenia przed sądem okręgowym naprawienia szkody od administratora lub podmiotu, któremu dane zostały powierzone przez administratora. Z tym zastrzeżeniem, że administrator danych powinien wybierać takie podmioty przetwarzające, które zapewniają gwarancje właściwych zabezpieczeń danych – mówi adw. Marcin Zadrożny ODO 24. Nasze dane to również nasza prywatność i bezpieczeństwo. Nieprawidłowe przetwarzanie danych i niewłaściwe ich zabezpieczanie naraża nas na bardzo negatywne konsekwencje, w tym na szkody majątkowe, a nawet na kradzież tożsamości. Bezpośrednia podstawa prawna do dochodzenia roszczeń od podmiotów, które spowodowały szkodę lub krzywdę była nam potrzebna – dodaje.

Często organizacje przetwarzające dane nie zdaja sobie sprawy jak cenne informacje o nas przetwarzają.

Czy coś się zmieni

W Polsce liczba osób korzystających codziennie z Internetu stale rośnie (64%). Co więcej ¾ obawia się, że dostawcy usług posiada zbyt dużo ich danych osobowych – wynika z badania przeprowadzonego przez Kantar Public. Od 25 maja 2018 do końca czerwca 2018 roku do Urzędu Ochrony Danych Osobowych wpłynęło ponad 750 skarg w związku z nieprzestrzeganiem przepisów o ochronie danych osobowych.

Warto zwrócić uwagę, że górne limity kar są dość przerażające i obowiązują we wszystkich państwach Unii Europejskiej. W Polsce sankcje będą nakładane przez Prezesa Urzędu Ochrony Danych Osobowych (UODO). Przedsiębiorcy, którzy wcześniej mieli „apetyt na ryzyko”, zmuszeni zostali do ponownej jego kalkulacji. Można założyć, że wysokie kary zmotywują organizacje do przykładania większej wagi i respektowania przepisów o ochronie danych osobowych, a także – co za tym idzie – do inwestycji w bezpieczeństwo – wskazuje adw. Marcin Zadrożny, ODO 24.

Organizacje muszą zastanowić się nad zwiększeniem budżetów na zabezpieczenie danych z uwagi na ryzyka występujące dla tych danych, a w szczególności nad rozwiązaniami informatycznymi, m.in. systemy monitorowania zdarzeń w systemach (SIEM – Security Information and Event Management) i zapobiegania wyciekom informacji (tzw. DLP – ang. Data Lost Prevention) oraz rozwiązania wykrywające i blokujące ataki sieciowe (IDS/IPS – Intrusion Detection/PreventionSystems), mechanizmy wspierające zarządzanie dostępami (IdM – Identity Management).

Podziel się:
biznes Marcin Zadrożny ochrona danych ODO 24 sp. z o.o. prawo RODO sankcje Technologie
Podobne artykuły
Dyrektywa PSD2 a księgowość Dyrektywa PSD2 a księgowość Prawo
Kontrolujesz swój PIT? Rozlicz się, żeby zyskać Kontrolujesz swój PIT? Rozlicz się, żeby zyskać Wiadomości
Czy nadchodzą ciężkie czasy dla małych sklepów? Czy nadchodzą ciężkie czasy dla małych sklepów? Wiadomości
Wysyp regulacji prawnych dla nieruchomości Wysyp regulacji prawnych dla nieruchomości Nieruchomości