Sprawdź, jakich naruszeń się nie dopuszczać, by nie zostać ukaranym przez prezesa UODO

Czy o wykrytych w firmie naruszeniach trzeba zawiadamiać Urząd Ochrony Danych Osobowych? Czy w niektórych przypadkach można swobodnie podchodzić do własnych procedur? Na te i inne pytania odpowiadamy, analizując niektóre decyzje wydane przez organ nadzorczy.

Prezes Urzędu Ochrony Danych Osobowych, który jest organem właściwym w sprawie ochrony danych osobowych, może – jako organ nadzorczy – udzielać upomnień, ostrzeżeń i nakazów oraz nakładać administracyjne kary pieniężne. Reakcja prezesa powinna uwzględniać m.in.: charakter i wagę czynu, liczbę poszkodowanych osób, rozmiar poniesionej przez nich szkody, kategorie danych osobowych, których dotyczyło naruszenie, oraz rodzaj działań podjętych w celu zminimalizowania szkody. Przy czym prawodawca unijny wprowadził w RODO dwa maksymalne progi kar pieniężnych, tj.:

• do 10 mln euro,
• a w przypadku przedsiębiorstwa – do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) oraz ich dwukrotność w przypadku ciężkich naruszeń.

NIEWŁAŚCIWE ZABEZPIECZENIA

Każdy podmiot, który przetwarza dane, zarówno administrator (podmiot decydujący o celach i środkach przetwarzania danych osobowych), jak i procesor (przetwarza dane osobowe w imieniu administratora), powinien wdrożyć właściwe środki, by zapewnić bezpieczeństwo przetwarzanym danym.

• Zgubienie nośnika pamięci

Zacznijmy od sytuacji, która pozwoli na uświadomienie sobie, jakie środki należy stosować, by właściwie zabezpieczyć dane. Otóż w jednym z sądów doszło do zgubienia trzech nośników danych typu pendrive: jednego służbowego – szyfrowanego – oraz dwóch prywatnych – nieszyfrowanych. Na zagubionych urządzeniach znajdowały się projekty orzeczeń wraz z uzasadnieniami z okresu prawie 16 lat. W wyniku incydentu naruszono poufność przetwarzanych danych.