Niestosowanie się do wytycznych ogólnego rozporządzenia o ochronie danych osobowych wiąże się z wysoką karą pieniężną. Niestety, wciąż mamy do czynienia z łamaniem przepisów związanych z gromadzeniem i przetwarzaniem danych, a problemy z przestrzeganiem prawa dotyczą nie tylko firm, ale również samorządów. Kto jest szczególnie narażony na karę, jaka może być jej wysokość i co zrobić, by uniknąć łamania przepisów?

Za co nakładane są kary na samorządy w związku
z RODO?

Kary RODO grożą administratorom danych oraz podmiotom, które je przetwarzają. Jak się okazuje, dotyczy to nie tylko firm oraz osób fizycznych, ale również jednostek samorządu terytorialnego. Sprawa jest jasna – nie przestrzegasz RODO? Jesteś narażony na karę, niezależnie od tego, czy pełnisz funkcję prezydenta/burmistrza /wójta, czy też kierownika innej, gminnej jednostki.

Pierwszy przypadek kary RODO dla podmiotu publicznego miał miejsce w 2019 roku, kiedy to na burmistrza Aleksandrowa Kujawskiego nałożono grzywnę w wysokości 40 tysięcy złotych. Powód? Jednym z kluczowych zaniedbań administratora było niezawarcie umowy powierzenia (art. 28 ust. 3 RODO), co wiązało się z udostępnieniem danych osobowych bez podstawy prawnej.

Mimo upływu kilku lat wciąż dochodzi do sytuacji, w których samorządy terytorialne są karane za łamanie przepisów RODO. Jednym z najświeższych przykładów jest przypadek wójta gminy Dobrzyniewo Duże, który nie zapewnił odpowiedniego bezpieczeństwa danych osobowych (skradziony został służbowy laptop, a po jego odnalezieniu okazało się, że nie został on właściwie zabezpieczony przed niepowołanym dostępem osób nieupoważnionych).

Przykłady można mnożyć i z każdym rokiem jest ich coraz więcej. Dlatego chcąc mieć pewność stosowania się do obowiązujących w naszym kraju przepisów RODO, warto dokładnie zapoznać się z obowiązującymi przepisami oraz wdrożyć wszelkie środki bezpieczeństwa, dzięki którym dane osobowe będą prawidłowo przechowywane, przetwarzane i chronione przed dostępem osób trzecich.

Kto i w jakich sytuacjach nakłada kary RODO na samorządy?

W Polsce organem posiadającym kompetencje do karania za nieprzestrzeganie lub naruszanie RODO jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Kary nakładane są w drodze decyzji administracyjnej przez Prezesa Urzędu Ochrony Danych Osobowych – od decyzji nie przysługuje odwołanie do jakiegokolwiek organu wyższej instancji, gdyż takowy nie powstał. Od decyzji Prezesa UODO przysługuje więc tylko bezpośrednia skarga do wojewódzkiego sądu administracyjnego.

Za co nakładane są kary? Za nieprzestrzeganie i naruszanie RODO, np.:

• niewdrożenie odpowiedniej dokumentacji i procedur w organizacji;
• powierzenie danych poddostawcy bez podstawy prawnej;
• zbyt długi okres retencji danych osobowych;
• brak wyznaczenia inspektora ochrony danych, jeżeli istnieje taki obowiązek;
• niewłaściwe zabezpieczanie danych osobowych;
• jednorazowe zgubienie dokumentu, zawierającego dane osobowe;
• niewłaściwe zabezpieczenie systemów IT (w tym niestosowanie odpowiedniej polityki haseł czy systemów antyspamowych /antywirusowych), czego skutkiem może być atak hakerski.

Oczywiście to tylko przykłady – karą pieniężną PUODO może ukarać w wielu innych przypadkach, gdy naruszone zostały podstawowe zasady przetwarzania danych, jak zgodność z prawem, przejrzystość i rzetelność czy minimalizacja danych, co powoduje brak rozliczalności administratora w momencie kontroli organu.

Jakie mogą być kary za nieprzestrzeganie lub naruszenie RODO?

Zgodnie z art. 102 ustawy o ochronie danych osobowych Prezes UODO może nałożyć maksymalnie 100 000 zł kary na jednostki sektora finansów publicznych.

Co ma wpływ na wysokość kary pieniężnej? Podczas jej ustalania bierze się pod uwagę między innymi:

• charakter, wagę i czas trwania naruszenia;
• umyślność lub nieumyślność działania;
• działania podjęte w celu zminimalizowania szkody;
• wcześniejsze sprawowanie administratora;
• współpracę z organem nadzorczym i poziom zaangażowania;
• kategorie danych osobowych, których dotyczyło naruszenie przepisów RODO.

Warto jednak pamiętać, że za łamanie przepisów RODO nakładane są nie tylko kary pieniężne. UODO może wydać ostrzeżenie, a także:

• nakazać spełnienia żądania osoby, której dane dotyczą;
• nakazać zawiadomienia o naruszeniu ochrony danych osoby, której te dane dotyczą;
• ograniczyć lub zakazać przetwarzania danych osobowych (czasowo lub całkowicie);
• nakazać sprostowanie lub usunięcie danych osobowych;
• cofnąć certyfikację i wiele innych.

Ponadto, RODO przewiduje również rodzaj odpowiedzialności cywilnoprawnej (odszkodowawczej) wobec osób poszkodowanych naruszeniem.

Oprócz odpowiedzialności związanej z karami finansowymi, nielegalne przetwarzanie danych osobowych jest przestępstwem na podstawie art. 107 ustawy z 10 maja 2018 r. o ochronie danych osobowych.

Jak więc widać, skutki nieprzestrzegania RODO mogą być bardzo poważne, dlatego każda firma czy podmiot publiczny muszą zadbać o wszelkie kwestie związane z gromadzeniem i przetwarzaniem danych osobowych w sposób kompleksowy.

Jak stosować się do przepisów RODO?

Nad danymi gromadzonymi i przetwarzanymi w organizacji powinien czuwać Inspektor Ochrony Danych, jeśli przepisy prawa przewidują taki obowiązek. Organy lub podmioty publiczne muszą wyznaczyć IOD, stąd współpraca ta jest kluczowa. Jeżeli chcesz zyskać pewność, że – jako administrator danych osobowych – dopełnisz wszelkich formalności, skorzystaj z naszego wsparcia.

Tworzymy niezbędną dokumentację, przeprowadzamy audyty zgodności, przeprowadzamy szkolenia, udzielamy porad oraz pomagamy w opracowaniu działań usprawniających i naprawczych. Dzięki temu jesteśmy w stanie skutecznie wspierać firmy oraz jednostki samorządu terytorialnego w stosowaniu się do obowiązujących przepisów.