Fakturowanie           |           Księgowość           |           Magazyn

RODO – jakie kary za nieprzestrzeganie przepisów dla przedsiębiorców?

13 Lut, 2020
Natalia Zbierska-Palma

Ponad dwa lata temu weszło w życie unijne rozporządzenie dotyczące przepisów o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych (RODO). Wprowadzeniu nowych przepisów towarzyszyły duże emocje, pojawiało się sporo wątpliwości i kontrowersji. Wokół wielomilionowych kar finansowych narosło wiele mitów. Czy mali i średni przedsiębiorcy mają się czego obawiać, czy coś im grozi np. za wyrzucenie na śmieci notatek z danymi pracowników albo wysłanie bazy klientów na zły adres mailowy

Co to jest przetwarzanie danych osobowych?

Przetwarzanie danych osobowych to jakiekolwiek operacje wykonywane na danych osobowych, czyli zbieranie, utrwalanie, przechowanie, opracowywanie, zmienianie, udostępnianie, czy usuwanie. Za przetwarzanie danych zgodnie z prawem odpowiedzialny jest administrator danych, do którego obowiązków należy sprawdzenie, że spełnione zostały odpowiednie warunki, w tym dopełnienie obowiązku informacyjnego i zapewnienie jakości przetwarzanych danych.

Kary za naruszenie przepisów

Jeśli osoba fizyczna uzna, że przetwarzanie jej danych osobowych nastąpiło z naruszeniem przepisów RODO to może wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). PUODO każdą sytuację sprawdza indywidualnie. Analizuje stan faktyczny i prawny na dzień wydania decyzji. Oznacza to, że dwa podobne zdarzenia mogą być ocenione inaczej ze względu na ich indywidualny charakter. Za naruszenie przepisów przewidziano środki o charakterze administracyjnym oraz kary pieniężne.

Środki o charakterze administracyjnym obejmują:

  • uwzględnienie żądań zawartych w skardze osoby, której dane dotyczą;
  • dostosowanie operacji przetwarzania danych osobowych do przepisów RODO, ze wskazaniem sposobu i terminu dostosowania;
  • zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych;
  • wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych osobowych lub zakazu przetwarzania;
  • sprostowanie lub usunięcie danych osobowych;
  • powiadomienie odbiorców, którym dane osobowe zostały ujawnione, o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych;
  • zawieszenie przepływu danych do odbiorców w państwie trzecim lub do organizacji międzynarodowej.

Jeśli chodzi o karę finansową to jej wysokość jest uzależniona od tego, jakiego rodzaju obowiązki naruszył administrator i podmiot przetwarzający dane.

Wysokość kar:

  • do 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa  (m.in. za naruszenie obowiązków administratora i podmiotu przetwarzającego, obowiązków podmiotu certyfikującego, obowiązków podmiotu monitorującego),
  • do 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa (m.in. za naruszenie podstawowych zasad przetwarzania, w tym warunków zgody, praw osób, których dane dotyczą, przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, wszelkich obowiązków wynikających z prawa państwa członkowskiego, nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy).

Polskie kary przewidziane na administrację publiczną lub instytucję kultury są znacznie niższe – do 100 tys. i 10 tys. zł.

Środki z kary pieniężnej stanowią dochód budżetu państwa. Na wniosek ukaranego podmiotu kara może być odroczona lub rozłożona na raty.

Kiedy przedsiębiorca może się spodziewać kontroli UODO?

Raczej nie należy się obawiać tzw. kontroli prewencyjnej. W niektórych przypadkach kontrola jednak możliwa. Do takich sytuacji należy m.in. utrata bazy danych klientów np. na skutek kradzieży, przypadkowe ujawnienie bazy, np. poprzez wysłanie ich na błędny adres mailowy, utrata sprzętu komputerowego np. w wyniku włamania, czy uszkodzenie bazy danych związane z awarią sprzętu. Zaistnienie takiego incydentu należy niezwłocznie zgłosić (do 72h), chyba że przedsiębiorca jest w stanie udowodnić, że to mało prawdopodobne, by naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Warto pamiętać, że urząd nie nakłada kary za konkretne zdarzenie, ale za ewentualne nieprzestrzeganie przepisów, które w konsekwencji doprowadziły do naruszenia praw.

Należy jednak tutaj uspokoić drobnych przedsiębiorców, np. mechaników samochodowych, kara finansowa jest uzależniona od wielu czynników, a na jej wysokość ma m.in. wpływ wielkość biznesu przedsiębiorcy. Należy więc jako mit potraktować ostrzeżenia przed wielomilionowymi karami.

Jak Comarch ERP XT pomaga w ochronie danych osobowych?

We wszystkich systemach Comarch ERP wdrożono funkcjonalności, które umożliwiają realizację wymagań RODO w firmie. Dla klientów systemów Comarch ERP pracujących w chmurze lub na aktualnej wersji oprogramowania funkcjonalności te są udostępnione bez żadnych dopłat.

Siedem funkcjonalności:

  1. Rejestr czynności przetwarzania danych osobowych – umożliwi prowadzenie i aktualizację rejestru przetwarzania danych osobowych w systemie
  2. Rejestr zgód na przetwarzanie danych osobowych – zawiera informacje o udzieleniu lub cofnięciu zgód na przetwarzanie danych, jak również zgód na przesyłanie informacji handlowych wraz z historią ich udzielenia tzn. treścią udzielonego oświadczenia, datą oraz źródłem pozyskania takiej zgody
  3. Rejestr upoważnień przetwarzania danych osobowych – zbiór informacji o tym, kto wewnątrz oraz spoza danej firmy otrzymał prawo do wglądu w dane osobowe, w jakim zakresie i na jaki okres
  4. Rejestr naruszeń przetwarzania danych osobowych – umożliwi zapisanie incydentów, gdyby dane nie były przetwarzane zgodnie z prawem
  5. Wgląd do danych osobowych – czyli czytelny wydruk danych dla osoby fizycznej oraz eksport tych danych w postaci XML, konieczne do udostępnienia osobie na jej wyraźną prośbę
  6. Możliwość anonimizacji danych – możliwość trwałego usunięcia danych osobowych na żądanie osoby uprawnionej, pod warunkiem, że w systemie nie istnieją dokumenty, których przechowywanie jest wymagane prawnie
  7. Opcję logowania działań operatorów – zapisywanie informacji o tym, jakie czynności wykonywał operator, np. jakich zmian w danych osobowych czy jakich wydruków dokonywał.

Jedną z dostępnych opcji jest możliwość definiowania treści (definicji) zgód, które firma gromadzi od swoich kontrahentów, a także pracowników i właścicieli.

Dostępne są następujące kategorie zgód:

  • Zgody użytkownika
  • Regulamin
  • Marketing (tutaj dodatkowo możliwe jest wskazanie form kontaktu: e-mail, sms, list, telefon)
  • Przetwarzanie danych osobowych
  • Przekazywanie danych do serwisów zewnętrznych
  • Profilowanie
  • Prawo do odstąpienia od umów

Inną istotną funkcją jest możliwość cofnięcia zgody wyrażonej wcześniej przez kontrahenta. Jeżeli chcemy wycofać zgodę kontrahenta należy wejść na kartę kontrahenta i z poziomu zakładki Zgody wybrać Cofnij zgodę. Po zapisaniu zmian cofnięta zgoda będzie widoczna na formularzu kontrahenta w sekcji Zgody nieudzielone oraz w Rejestrze zgód ze statusem Wycofane.

Więcej informacji o dostępnych funkcjonalnościach tutaj.

Zachęcamy do poznania całego systemu Comarch ERP XT.

Natalia Zbierska-Palma

W Comarch ERP odpowiada za przygotowywanie treści marketingowych: artykułów, case studies, scenariuszy filmów i animacji i innych form. Wcześniej przez niemal dziesięć lat pracowała w jednym z największych portali horyzontalnych w Polsce, gdzie była redaktorem serwisu Wiadomości. Absolwentka Uniwersytetu Jagiellońskiego.

Natalia Zbierska-Palma

W Comarch ERP odpowiada za przygotowywanie treści marketingowych: artykułów, case studies, scenariuszy filmów i animacji i innych form. Wcześniej przez niemal dziesięć lat pracowała w jednym z największych portali horyzontalnych w Polsce, gdzie była redaktorem serwisu Wiadomości. Absolwentka Uniwersytetu Jagiellońskiego.

Testuj za darmo!

Pełna funkcjonalność
do 10 dokumentów bez opłat