Data publikacji
calendar 8 lipca 2020
Autor publikacji
calendar Zespół KIPR

W skrócie

Wytyczne związane z ochroną danych osobowych to dla wielu zbiór zagwozdek. Dlaczego trzeba poradzić sobie z jego wdrożeniem, niezależnie od rozmiarów organizacji? Ile podmiotów zostało ukaranych za brak odpowiednich działań? Gdzie szukać jasnych wskazówek? Praktyk, prawnik Łukasz Dudek, wyjaśnia i przestrzega.

Wytyczne związane z ochroną danych osobowych to dla wielu zbiór zagwozdek. Dlaczego trzeba poradzić sobie z jego wdrożeniem, niezależnie od rozmiarów organizacji? Ile podmiotów zostało ukaranych za brak odpowiednich działań? Gdzie szukać jasnych wskazówek? Praktyk, prawnik Łukasz Dudek, wyjaśnia i przestrzega.

Czym jest RODO?

„RODO” – słowo, o którym każdy z nas słyszał wielokrotnie od 2018 roku. Jednakże co ono konkretnie oznacza, czemu jest takie szczególne i dlaczego każda organizacja powinna się z nim zapoznać?

RODO jest to powszechna nazwa ogólnego rozporządzenia o ochronie danych osobowych, którego pełna nazwa brzmi: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Jest to unijne rozporządzenie (rodzaj aktu prawnego, który wywiera bezpośrednie skutki prawne w prawie krajowym, poszczególnych państw członkowskich Unii Europejskiej bez konieczności jego wcześniejszej implementacji), które w dniu 25 maja 2018 roku zastąpiło dotychczasowe polskie regulacje prawne poświęcone problematyce ochrony danych osobowych.

Główną zmianą, postrzeganą jako rewolucja w zakresie ochrony danych osobowych, wprowadzoną przez RODO, było odejście od sformalizowanych reguł i obowiązków na rzecz podejścia opartego na ryzyku.

Dane osobowe oraz przetwarzanie danych osobowych

Dane osobowe[1] są to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Przekładając z języka prawniczego – danymi osobowymi są wszelkie informacje, a więc m.in. imię, nazwisko, numer PESEL czy dane biometryczne pozwalające zidentyfikować konkretną osobę.

Przetwarzanie danych osobowych[2] oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Oznacza to, że przetwarzaniem danych osobowych będzie m.in. zbieranie, porządkowanie, utrwalanie, organizowanie czy nawet usuwanie i niszczenie danych.

Kogo dotyczy RODO?

RODO w swojej treści nie wskazuje wprost katalogu podmiotów obowiązanych do jego stosowania. Pozostaje przy enigmatycznym wskazaniu, iż adresatem jego regulacji są wszystkie podmioty (zarówno prywatne oraz publiczne), które zajmują się przetwarzaniem danych osobowych.[3]

Powyższe oznacza, iż każdy podmiot, który zajmuje się przetwarzaniem danych osobowych obowiązany jest do przestrzegania przepisów dotyczących ochrony danych osobowych. Co w konsekwencji prowadzi do prostej konkluzji, wskazującej, że praktycznie każdy podmiot obowiązany jest do stosowania przepisów RODO.

Aby lepiej zobrazować powyższe, należy wskazać, iż podmiotami obowiązanymi do przetwarzania danych osobowych będą m.in.: (i) sklepy internetowe, (ii) szkoły, (iii) szpitale, (iv) stowarzyszenia i fundacje.

Podsumowując, aby sprawdzić czy dany podmiot obowiązany jest do przestrzegania RODO, należy odpowiedzieć sobie na proste pytanie:

„Czy przetwarzam dane osobowe?”

Obowiązki związane z przetwarzaniem danych osobowych

Jak już było wspomniane w niniejszym tekście, RODO opiera się na zasadzie ryzyka. Oznacza to, iż administrator danych lub podmiot przetwarzający powinien zdecydować jakie środki bezpieczeństwa stosować w danych okolicznościach, które to minimalizowałby związane z tym przetwarzaniem ryzyko naruszenia praw i wolności osób, których dane są przetwarzane.

Wskazuje się, iż każdy podmiot powinien przeprowadzić co najmniej analizę ryzyka związaną z procesami przetwarzania danych osobowych jakich dokonuje oraz wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z przepisami. 

Sankcje związane z brakiem przestrzegania przepisów dotyczących ochrony danych osobowych

Naruszenie przepisów z zakresu ochrony danych osobowych, w wyniku, którego dojdzie do naruszenia praw i wolności osób, których dane osobowe są przetwarzane będzie wiązało się z rozpoczęciem postępowania prowadzonego przez organ nadzorczy. 

Podmiotem odpowiedzialnym za sprawowanie nadzoru nad ochroną danych osobowych w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. Dysponuje on szeroką paletą środków o charakterze perswazyjnym oraz korygującym, mającym na celu egzekwowanie obowiązków z zakresu ochrony danych osobowych. Do powyższych środków należy m.in. (i) ostrzeżenie, (ii) udzielenie upomnienia, (iii) nakazanie spełnienia żądania osoby, której dane dotyczą, (iv) nakazanie dostosowania operacji przetwarzania do przepisów RODO, czy (v) wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych osobowych. 

Jednakże w przypadku stwierdzenia przez Prezesa Urzędu Ochrony Danych Osobowych naruszenia przepisów RODO, jest on uprawniony do nałożenia administracyjnej kary pieniężnej, która to powinna być proporcjonalna do wagi naruszenia przepisów oraz odstraszająca.

Kara może być nałożona w wysokości 10.000.000 euro albo 2% całkowitego rocznego obrotu, w przypadku m.in.: nieuwzględnienie ochrony danych w fazie projektowania oraz domyślnej ochrony danych, (ii) nieprzestrzegania przepisów dotyczących rejestrowania czynności przetwarzania, (iii) niedopełnienia obowiązków oraz naruszenie przepisów przez podmiot przetwarzający czy (iv) nieodpowiednie zapewnienie poziomu bezpieczeństwa danych (np. niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa).

Kara może być również nałożona w wysokość 20.000.000 euro albo 4% całkowitego rocznego obrotu, w przypadku m.in.: (i) naruszenia podstawowych zasad przetwarzania danych osobowych, (ii) naruszenia warunków zgody, (iii) niedopełnienia obowiązku informacyjnego czy (vi) niedopełnienia obowiązków związanych z prawami jednostki, której dane są przetwarzane.

Przykłady kar nałożonych w Polsce

Dotychczas Prezes Urzędu Ochrony Danych Osobowych nałożył 8 kar finansowych. Ukarane zostały takie podmioty jak[4]:

  1. Wspólnota mieszkaniowa – na kwotę 1.973,00 zł;
  2. Dolnośląski Związek Piłki Nożnej – na kwotę 55.750,50 zł;
  3. Morele.net – na kwotę 2.830.410,00 zł.

Kancelaria DLA Piper wskazała, że najczęstszą przyczyną nałożenia przez Prezesa Urzędu Ochrony Danych Osobowych kar administracyjnych było[5]:

  1. naruszenie zasad ogólnych RODO (tj. zasady zgodności z prawem i zasady poufności);
  2. brak zawierania umów powierzenia przetwarzania danych;
  3. naruszenie zasad ograniczenia przechowywania danych osobowych oraz obowiązku wdrożenia odpowiednich polityk dotyczących przetwarzania danych osobowych w tym dot. retencji;
  4. naruszenie zasady integralności i poufności oraz obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych mających na celu zabezpieczenie danych osób fizycznych w związku z przechowywaniem nagrań;
  5. naruszenie zasady rozliczalności i ograniczonego przetwarzania oraz nieprawidłowości w rejestrze czynności przetwarzania danych dot. braku wskazania odbiorców danych oraz niewskazanie dla tych czynności przetwarzania planowanego terminu usunięcia danych

e-Poradnik RODO

RODO wprowadziło istną rewolucję w zakresie ochrony danych osobowych. Zrozumienie jego funkcjonowania oraz obowiązków stanowi podstawę prawidłowego i bezpiecznego funkcjonowania każdej organizacji.

Dlatego też zachęcam Państwa do zapoznania się z publikacją e-Poradnik „RODO dla NGO„, dostępną bezpłatnie na stronie internetowej https://rodo.konfederacjaipr.pl/eporadnik/.

Wspomniana publikacja stanowi ciekawy wstęp do szerokiej i skomplikowanej tematyki ochrony danych osobowych, pozwala zrozumieć procesy i obowiązki z tym związane oraz zawiera wskazówki związane z wdrożeniem RODO.


[1] Art. 4 pkt 1) RODO

[2] Art. 4 pkt 2) RODO

[3] Za wyjątkiem sytuacji wymienionych enumeratywnie w art. 2 ust. 2 RODO

[4] https://jamano.pl/osiem-kar-za-naruszenie-rodo-w-polsce/

[5] https://www.prawo.pl/biznes/naruszenie-rodo-ile-zgloszen-jakie-kary-raport-dla-piper-2020,497501.html


Łukasz Dudek – aplikant adwokacki oraz Wiceprezes Zarządu Fundacji Rozwoju Społeczno-Gospodarczego Prospekt. Doświadczenie społeczne i ekspercie zdobywał piastując zarządcze funkcje w organizacjach III sektora, zarządzając licznymi projektami oraz prowadząc obsługę prawną organizacji NGO.
Naukowe oraz zawodowe zainteresowania skupia wokół tematyki ochrony danych osobowych, szeroko pojętego prawa przedsiębiorców, w szczególności prawa gospodarczego i handlowego, jak również prawnych aspektów funkcjonowania organizacji NGO.
Obecnie realizuje się zawodowo w jednej z warszawskich kancelarii w obszarze prawa spółek, fuzji i przejęć oraz prawa karnego gospodarczego.

Powiązane tematy