Kontrola RODO w firmie

Ostatnia aktualizacja: 2019-02-14 | Średni czas czytania: 03:07

Artykuł reklamowy

25 maja ubiegłego roku weszło w życie rozporządzenie o ochronie danych osobowych, na mocy którego podmioty przetwarzające dane osobowe mogą spodziewać się kontroli z Urzędu Ochrony Danych Osobowych. Sankcje za ewentualne naruszenia przepisów mogą być bardzo srogie. Jak wygląda kontrola RODO i kto ją przeprowadza? Jakie sankcje grożą za naruszenia? Czy kary finansowe są wysokie? Jak uniknąć kar przy ewentualnej kontroli?

Kontrola RODO - kto i jak ją przeprowadza?

Kontrolę przestrzegania przepisów o ochronie danych osobowych przez przedsiębiorców może przeprowadzić Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO). Kontrolują też pracownicy Generalnego Inspektoratu Ochrony Danych Osobowych, pracownicy Państwowej Inspekcji Pracy oraz Państwowej Inspekcji Handlowej. Postępowanie odbywa się na podstawie planu kontroli zatwierdzonego wcześniej przez Prezesa UODO. Podstawą do podjęcia procedur mogą być także zebrane przez Urząd informacje i przeprowadzone analizy. Uwaga, kontrola może być niezapowiedziana.

Przebieg kontroli RODO

Przed rozpoczęciem swojej pracy kontrolujący powinien przedstawić stosowne upoważnienie (z datą rozpoczęcia i przewidywaną datą zakończenia procedur) oraz legitymację służbową. Ma prawo wstępu na tereny kontrolowanej firmy w godzinach 6:00 - 22:00.

Jakie działania może podjąć kontrolujący w ramach swoich obowiązków?

Przedsiębiorca jest zobowiązany udostępnić do wglądu kontrolującemu całą dokumentację, która bezpośrednio związana jest z zakresem przedmiotowym kontroli. Dotyczy się to również wszelkich informacji, urządzeń, przedmiotów, nośników, systemów informatycznych, teleinformatycznych służących do przetwarzania danych osobowych. Kontrolujący może wymagać od przedsiębiorcy i jego pracowników składania pisemnych lub ustnych wyjaśnień, zlecać wykonanie ekspertyz i opinii w związku ze sprawą.

Protokół kontroli RODO

Protokół stanowi dokument stworzony na podstawie zebranych dowodów w postępowaniu kontrolnym. W jego skład wchodzą dokumenty, oświadczenia, wyjaśnienia, wydruki dokumentów przedsiębiorstwa (kopie potwierdzone za zgodność z oryginałem) i inne przedmioty. Urzędnik kontrolujący podpisuje protokół i przedstawia go kontrolowanemu, który ma 7 dni na podpisanie lub pisemne zgłoszenie swoich zastrzeżeń. Zastrzeżenia mogą być uwzględnione lub odrzucone (częściowo lub w całości), o czym przedsiębiorca zostaje stosownie poinformowany. Niepodpisanie protokołu ani niezłożenie zastrzeżeń do dokumentu w przeciągu wspomnianych wyżej 7 dni oznacza odmowę podpisania protokołu.

Naruszenia RODO - jakich sankcji można się spodziewać?

Za naruszenia RODO Prezes UODO może zastosować dwa rodzaje sankcji: administracyjne i finansowe. Przez pierwsze miesiące obowiązywania RODO, pomimo zgłaszanych naruszeń, organ kontrolny nie stosował kar finansowych, których tak bardzo obawiają się przedsiębiorcy. Można założyć, że był to okres przejściowy, ponieważ dzisiaj pojawiają się informacje o bardzo wysokich karach nakładanych w innych europejskich krajach.

RODO kary finansowe

Od czego zależy wysokość kary finansowej za naruszenia ochrony danych osobowych? Istotny jest fakt czy podmiot przetwarzający dane dopuścił się naruszenia umyślnie czy nieumyślnie. Znaczenie mają też kategorie danych osobowych, których dotyczy naruszenie oraz działania, jakie podjął administrator bezpieczeństwa informacji w celu zminimalizowania szkody osoby, której one dotyczą. Brane są pod uwagę okoliczności, w jakich organ kontrolujący dowiedział się o naruszeniu, a także współpraca podmiotu kontrolowanego przy usunięciu naruszenia i złagodzenia jego skutków. Ile wynosi kara finansowa?

Naruszenia przepisów RODO przez administratora lub przez podmiot przetwarzający, podlegają karze pieniężnej w wysokości do 10 000 000 Euro (20 000 000 Euro w przypadku poważnych naruszeń), w przypadku przedsiębiorstwa jest to 2% (4% w przypadku poważnych naruszeń) jego całego rocznego światowego obrotu z poprzedniego roku, przy czym zastosowanie ma kwota wyższa. Karę należy uiścić w przeciągu 14 dni od dnia wpływu skargi do sądu administracyjnego.

RODO kary administracyjne

W przypadku sankcji administracyjnych stosowane są środki prawne, które bezpośrednio wpływają na funkcjonowanie przedsiębiorstwa. Tego typu kary mogą mieć znacznie poważniejsze konsekwencje niż sankcje finansowe. W przypadku naruszeń przestrzegania RODO, Prezes UODO może nałożyć na kontrolowanego następujące kary administracyjne m. in.: ostrzeżenia, upomnienia, nakazanie poinformowania osoby, której dane dotyczą, o naruszeniu przepisów oraz spełnienia jej żądań, wynikających z praw przysługujących jej na mocy aktualnego rozporządzenia o danych osobowych.

Prezes UODO może nakazać czasowe lub całkowite ograniczenie przetwarzania, w tym zakazu przetwarzania danych, również ich sprostowania lub usunięcia, o czym także należy poinformować osobę, której dane dotyczą. Jedną z kar może być też cofnięcie certyfikatu lub nakazanie instytucji certyfikującej cofnięcia albo nieudzielenia certyfikacji, jeżeli jej wymogi nie są czy też przestały być przestrzegane.

Podmiot kontrolowany, który dopuścił się naruszeń RODO, musi liczyć się z możliwością nałożenia przez urząd kontrolujący zarówno kary administracyjnej, jak i finansowej. Nałożone sankcje powinny odpowiadać wadze naruszeń, a w przyszłości powinna zapobiegać kolejnym.

Przepisy RODO - kompleksowa pomoc specjalistów

Kontrola przestrzegania przepisów RODO wcale nie musi być zmorą każdego przedsiębiorcy. Jeżeli nowe przepisy są wdrażane prawidłowo, nie ma powodów do obaw. Jednak cały proces to nie lada wyzwanie, zakres zmian jest bardzo szeroki i dotyczy zarówno kwestii prawnych jak i organizacyjnych firmy, dlatego nietrudno o błędy, które później mogą okazać się bardzo kosztowne. Rozwiązaniem jest pomoc profesjonalnych firm jak IT Law Solutions (itls.pl), która specjalizuje się w ochronie danych osobowych oraz stałej obsłudze prawnej podmiotów gospodarczych. Przeprowadza również audyty RODO. Oprócz kompleksowego wsparcia w zakresie wdrażania procedur zgodnych z RODO, można zainwestować w wygodny i bezpieczny system informatyczny Securio24.pl służący do prowadzenia rejestru czynności przetwarzania danych.

Konsekwencje naruszeń przepisów RODO mogą być bardzo poważne, dla niektórych mogą oznaczać nawet koniec działalności firmy. Każdy przedsiębiorca powinien wprowadzić odpowiednie rozwiązania oraz zmiany, które zapewnią spełnianie wszystkich obowiązków wynikających z rozporządzenia RODO. Warto skorzystać z porad i usług specjalistów w tym zakresie, wtedy kontrola z urzędu nie będzie powodem do obaw.