Do tej pory za naruszenie przepisów ustawy o ochronie danych osobowych groziła odpowiedzialność administracyjna, karna, cywilna oraz dyscyplinarna. Unijne rozporządzenie w sprawie ochrony danych osobowych przewiduje ogromne administracyjne kary pieniężne.
Naruszenia, za które zgodnie z rodo można dostać karę – 9 przykładów
Kategoria: Ochrona danych osobowych
Data: 16-08-2016 r.
Szeroko komentowaną i budzącą najwięcej obaw kwestią, którą zmieni ogólne rozporządzenie o ochronie danych osobowych są wysokie kary finansowe. Wielomilionowe kary będzie nakładał bezpośrednio organ ds. ochrony danych. Rozporządzenie wskazuje na naruszenia, w przypadku których można spodziewać się kar.
Za co grozi kara do 10 mln euro
Brak uwzględnienia ochrony danych w fazie projektowania
Administrator danych zobowiązany jest uwzględnić ochronę danych osobowych i prywatność na każdym etapie tworzenia i istnienia technologii obejmującej przetwarzanie danych osobowych. Podstawowym celem zasady privacy by design jest „wbudowanie” zasad ochrony prywatności w każdy projekt zakładający przetwarzanie danych osobowych w taki sposób, aby od samego początku jego istnienia ochrona prywatności stanowiła jego część składową.
Brak umowy powierzenia przetwarzania danych osobowych
Przekazanie np. dokumentacji księgowej wiąże się z powierzeniem danych osobowych. W takiej sytuacji administrator danych zobowiązany jest zawrzeć umowę powierzenia. Umowa powinna określać przedmiot oraz czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora. Administrator danych zobowiązany jest dodatkowo do prowadzenia kontroli u procesora, a także prowadzenia rejestru umów powierzenia.
Brak rejestru czynności przetwarzania danych osobowych
Administrator danych zobowiązany jest do prowadzenia rejestru czynności przetwarzania danych osobowych. Rejestr czynności przetwarzania danych osobowych może być prowadzony zarówno w wersji papierowej, jak i elektronicznej. Co prawda rozporządzenie unijne w sprawie ochrony danych osobowych przewiduje odstępstwa od obowiązku prowadzenia tego. rejestru, ale są to wyjątki od ogólnie przyjętej zasady.
Niezgłoszenie incydentu godzącego w bezpieczeństwo przetwarzania danych osobowych
Zgodnie z przepisami administrator danych ma 72 godziny na zgłoszenie organowi nadzorczemu incydentu godzącego w bezpieczeństwo przetwarzania danych.
Naruszenie zasady bezpieczeństwa
Rozporządzenie nakłada na administratora, a także osoby zaangażowane w proces przetwarzania danych, obowiązek szyfrowania danych, a także stosowania środków kryptograficznych w przypadku przesyłania danych przez sieć publiczną. Administrator zobowiązany jest do ciągłego zapewnienia poufności, integralności, dostępności przetwarzanych danych.
Naruszenie statusu inspektora ochrony danych osobowych
Decyzyjność odnośnie do procesów przetwarzania danych osobowych, zgodnie z rodo, będzie spoczywała na administratorze danych, z tym że inspektor ochrony danych powinien być niezależny w sprawowaniu swojej funkcji.
Kiedy mogę dostać 20 mln euro kary
Naruszenie zasady celowości
Zgodnie z zasadą celowości zbieranie danych osobowych może się odbywać tylko dla oznaczonych, zgodnych z prawem celów. Dane nie mogą być przetwarzane niezgodnie z tymi celami.
Łączenie zgód na przetwarzanie danych osobowych
Częstą praktyką jest łączenie zgody na przetwarzanie danych osobowych w celach marketingowych wynikającej z przepisów ustawy o ochronie danych osobowych ze zgodą na przesyłanie drogą elektroniczną informacji handlowych, o której mowa w przepisach ustawy o świadczeniu usług drogą elektroniczną.
Brak podstawy prawnej
W przypadku przetwarzania danych wrażliwych bez wyraźnej podstawy prawnej administrator danych naraża się na zarzut przetwarzania w sposób nielegalny.
Zobacz także:
Tagi: firma, ochrona danych osobowych
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
