rodo-online.eu | RODO Online | Program do RODO dla firm i Inspektorów Ochrony Danych Osobowych (IOD)

Dwa lata obowiązywania RODO – kary nałożone w Polsce

Dodano 25 maja 2020 | przez rodo-online.eu

W dniu dzisiejszym 25.05.2020 r. mija dwa lata obowiązywania w Polsce Ogólnego rozporządzenia o ochronie danych (tzw. RODO). Chciałbym dziś przedstawić ilość i wielkość kar nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych. Artykuł 83 RODO wskazuje ogólne warunki nakładania kar pieniężnych, nałożenie każdej kary łączy się z wydaniem decyzji administracyjnej wraz z uzasadnieniem. Pragnę przypomnieć o trzech przedziałach kar pieniężnych, które wyróżnia RODO:

Kary do 10 mln. EUR a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – za naruszenia w zakresie: rejestrowania czynności przetwarzania, współadministrowania, współpracy z UODO oraz z podmiotem przetwarzającym, upoważniania, wdrożenia zabezpieczeń, zgłaszania naruszeń, oceny skutków, pracy IOD
Kary do 20 mln. EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego za naruszenia w zakresie: legalności przetwarzania, warunków zgód, celowości, adekwatności, czasowości, obowiązku informacyjnego, praw osób, niezgodnego z prawem przetwarzania oraz ochrony przed utratą, zniszczeniem lub uszkodzeniem danych
Kary do 100.000 PLN dla podmiotów publicznych

Kary dot. przestrzegania RODO nałożone w Polsce (stan na dzień 01.05.2020):

Bisnode Polska sp. z o.o. – 943 470 PLN – naruszenie: art. 14 ust. 1 – 3
Dolnośląski Związek Piłki Nożnej – 55 750,50 PLN – naruszenie: 5 ust. 1 lit. f / 32 ust. 1 lit. b / 32 ust. 2
Morele.net sp. z o.o. – 2 830 410 PLN – naruszenie: 5 ust. 1 lit. a / 5 ust. 1 lit. f / 5 ust. 2 / 6 ust. 1 / 7 ust. 1 / 24 ust. 1 / 25 ust. 1 / 32 ust. 1 lit. b / 32 ust. 1 lit. d / 32 ust. 2
Burmistrz Aleksandrowa Kujawskiego – 40 000 PLN – naruszenie: 5 ust. 1 lit. a / 5 ust. 1 lit. f / 5 ust. 1 lit. e / 5 ust. 2 / 24 ust. 1 oraz 2 / 28 ust. 3 / 30 ust. 1 lit. d oraz f / 32 ust. 1 lit. b / 32 ust. 1 lit. c
ClickQuickNow sp. z o.o. – 201 559,50 PLN – naruszenie: 5 ust 1 lit. a w zw. z art. 5 ust. 2 / 7 ust. 3 / 12 ust. 2 / 17 ust. 1 lit. b / 24 ust. 1 / art. 6 ust. 1
Szkoła Podstawowa nr 2 w Gdańsku – 20 000,00 PLN – naruszenie: 5 ust. 1 lit. c / art. 9 ust. 1
Vis Consulting Sp. z o.o. – 20 000,00 PLN – naruszenie: 31 RODO / art. 58 ust. 1 lit. e oraz f

Rejestrowanie czynności przetwarzania

Dodano 22 maja 2020 | przez rodo-online.eu

Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych mają obowiązek prowadzenia rejestru czynności. Art. 30 RODO wskazuje obligatoryjne składniki. Rejestr ten stanowi dokument związany z przetwarzaniem danych. Formą przewidzianą prowadzenia tego typu dokumentu jest forma pisemna. Rejestr więc może być prowadzony w zwykłej papierowej formie, jak i elektronicznej np. za pomocą systemu RODO-ONLINE.EU.

Cele prowadzenia rejestru czynności przetwarzania wskazuje głównie art. 82 RODO:

zachowanie przez Administratora (ADO) zgodności z RODO – stała możliwość weryfikacji swojej działalności w odniesieniu do przetwarzania danych osobowych jak również podanie ocenie każdego procesu.
umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania danych osobowych. Przepisy mówią, że administrator zobowiązany jest udostępnić organowi kontrolującemu informacje o przetwarzaniu w sposób jednolity i czytelny by możliwe było dokonanie szybkiej weryfikacji i przeglądu.

Rejestr czynności prowadzony w systemie RODO-ONLINE.EU zawiera wszystkie obligatoryjne składniki wskazane w RODO i Poradniku Prezesa UODO. Prowadząc rejestr w naszym systemie osiągniesz miedzy innymi wskazane jw. cele.

Upoważnienia i zestawienie uprawnień

Dodano 20 maja 2020 | przez rodo-online.eu

Zgodnie z art. 32 ust. 4 to administrator oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający charakterowi prowadzonego przetwarzania i związanego z nim ryzyka, podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. Z powyższych informacji wynika, że dane mogą być przetwarzane wyłącznie na polecenie administratora, przez osoby działające z jego upoważnienia lub podmiotu przetwarzającego.

Administrator musi zapewnić i mieć kontrolę nad tym kto i w jakim zakresie ma dostęp do danych osobowych i na jakich zasadach je przetwarza. Wprowadzone przez administratora środki bezpieczeństwa muszą służyć zapobieganiu pracy na danych osobowych, wglądu, jak również usuwania i modyfikowania tych danych przez osoby nieuprawnione. Zatem osoby, które będą przetwarzały dane osobowe zgodnie ze swoim wykazem obowiązków zostają poinformowane jaki jest zakres ich uprawnień. Dotyczy to osób na stałe zatrudnionych u administratora, ale także osób którym zlecono pracę, która będzie wiązała się z dostępem do danych osobowych (np. praktykanci, stażyści). Wydawanie upoważnień jest jednym z środków organizacyjnych, którego celem jest zapewnienie odpowiedniej ochrony danych osobowych i kontroli nad procesem ich przetwarzania.

Do przetwarzania danych osobowych dopuszczone mogą być wyłącznie osoby posiadające pisemne upoważnienie wydane przez administratora. Nadawanie upoważnień w postaci elektronicznej należy uznać za wykonanie obowiązku nadania upoważnień w formie pisemnej. W świetle zasady rozliczalności jakakolwiek postać, w tym elektroniczna, która pozwala na udokumentowanie spełnienia obowiązków celem wykazania przestrzegania przepisów, a w tym przypadku wykonania obowiązku wynikającego z art. 29 RODO należy uznać za prawidłową (źródło https://uodo.gov.pl/pl/225/1278).

W systemie RODO-ONLINE.EU w upoważnieniu („Pracownicy” / „Wygeneruj dokumenty” / „Upoważnienie”) w jednym miejscu możemy przypisać uprawnienia zgodnie z zakresem obowiązków służbowych. Upoważnienie jest ważne do czasu zakończenia stosunku pracy, stosunku cywilnoprawnego lub odwołania. Sprawdzenie aktualnego zestawienia uprawnień dla wszystkich pracowników, można również łatwo wygenerować; klikamy w „Raporty” / „Zestawienie uprawnień”; zaznaczamy interesujące nas kolumny / „Wygeneruj”). Dzięki takiemu rozwiązaniu Administrator ma pełną kontrole nad uprawnieniami dostępu do danych.

Wewnętrzne rejestrowanie incydentów

Dodano 14 maja 2020 | przez rodo-online.eu

Klienci dzwoniąc lub pisząc często zadają pytania dotyczące incydentu/naruszenia danych osobowych, który się u nich zdarzył. Bywa i tak, że nie wiedzą co robić i jak sobie poradzić z zastaną sytuacją. Często pośpiech lub błąd ludzki powoduje to, że może dojść do np. spakowania ważnej dokumentacji zawierającej dane osobowe i wysłania jej za potwierdzeniem odbioru ale… nie do tego klienta/petenta, do którego miała być adresowana. Co wtedy zrobić, gdy złamiemy zasadę poufności danych? Pomocne okazuje się narzędzie zawarte w systemie RODO-ONLINE.EU (zakładka „Incydenty”).

Zgodnie z art. 4 pkt 12 RODO naruszenie bezpieczeństwa prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Najczęściej w swojej pracy spotykamy się z naruszeniem poufności. Możemy w dowolnym momencie wprowadzić incydent/naruszenie zgodnie z zastaną sytuacją do RODO-ONLINE.EU. Może go wprowadzić każda osoba mająca uprawniania do systemu: konto IOD, konto ADO lub konto dostępowe (np. pracownik).

Wprowadzenie nowego incydentu/naruszenia do systemu RODO-ONLINE.EU jest bardzo proste. Jeżeli ryzyko jest wysokie, można również odznaczyć czy zawiadomiono i kiedy organ nadzorczy (prezesa UODO), osobę której dane dotyczą lub administratora danych powierzonych.

Możemy również dodać notatki i załączniki związane z naruszeniem/incydentem. Jeżeli wszystko się dobrze zakończy (np. zwrócono nam korespondencję, która była źle nadana) można zmienić status na „zakończony”, w przeciwnym razie mamy ukazane nasze działania, gdy status jest „w toku”. Administrator danych, zgodnie z art. 33 ust. 5 ogólnego rozporządzenia o ochronie danych powinien dokumentować wszelkie naruszenia ochrony danych osobowych. Trzeba zatem prowadzić rejestr naruszeń. Ważne, aby organ nadzorczy mógł zweryfikować, czy administrator danych realizuje ten obowiązek. W celu rozliczalności każdy korzystający z RODO-ONLINE.EU może mieć go pod ręką i wracać do niego w razie potrzeby. Jest to nieodzowne narzędzie, które przydaje się w pracy przy ochronie danych osobowych. Wiadomo nie od dziś, że kto nie pracuje ten nie popełnia błędów, zatem zawsze może się zdarzyć coś incydentalnego na co niestety nie mamy wpływu prowadząc firmy, mając nawet najlepiej przeszkoloną załogę i wprowadzone regulaminy oraz zabezpieczenia, ten rejestr incydentów/naruszeń może okazać się bardzo pomocny w skomplikowanej dla nas sytuacji.