{"id":370,"date":"2019-11-21T12:44:54","date_gmt":"2019-11-21T11:44:54","guid":{"rendered":"https:\/\/blog.kryptos72.com\/?p=370"},"modified":"2019-12-06T12:06:30","modified_gmt":"2019-12-06T11:06:30","slug":"jakie-sa-kary-za-nieprzestrzeganie-rodo","status":"publish","type":"post","link":"https:\/\/kryptos72.com\/blog\/jakie-sa-kary-za-nieprzestrzeganie-rodo\/","title":{"rendered":"Jakie s\u0105 kary RODO za nieprzestrzeganie przepis\u00f3w?"},"content":{"rendered":"

R<\/span><\/p>\n

ozpoczynaj\u0105c rozwa\u017canie nt. kary RODO, odpowiedzmy sobie w og\u00f3le na pytanie po co s\u0105 kary. Najlepsz\u0105 odpowiedzi\u0105 jest \u017cycie. Od 1997 roku, gdy zosta\u0142a wprowadzona pierwsza ustawa o ochronie danych osobowych w Polsce<\/strong>, pomimo istnienia kar grzywny, ograniczenia, a nawet pozbawienia wolno\u015bci, jeste\u015bmy w stanie z pami\u0119ci wyliczy\u0107 ilo\u015b\u0107 tego typu wydanych kar. Dodatkowo jako nar\u00f3d, posiadamy cechy, kt\u00f3re z jednej strony \u015bwiadcz\u0105 o naszej inteligencji, ale r\u00f3wnie\u017c czasem przebieg\u0142o\u015bci. W ochronie danych osobowych objawia\u0142o si\u0119 to nast\u0119puj\u0105co. <\/strong><\/span><\/p>\n

Przeci\u0119tny Polak, przedsi\u0119biorca, dedukowa\u0142, \u017ce je\u015bli UODO zatrudnia 100 inspektor\u00f3w<\/strong> i maj\u0105 jedynie delegatur\u0119 w Warszawie, to kontroluj\u0105c urz\u0119dy, szko\u0142y, korporacje, ca\u0142y sektor zdrowia oraz sp\u00f3\u0142dzielnie, to prawdopodobie\u0144stwo kontroli w \u201emojej firmie\u201d jest bliskie 0\/100% kontroli ko\u0144czy si\u0119 wezwaniem do podj\u0119cia dzia\u0142a\u0144 naprawczych w 14 dni i dopiero, je\u015bli tego nie zrobimy<\/strong>, mo\u017ce trafi\u0107 wniosek do s\u0105du, a od niego jeszcze 2-3 lata do grzywny, kt\u00f3ra zamknie si\u0119 w kwocie 10 000 z\u0142. Je\u015bli wi\u0119c, koszt wdro\u017cenia zgodno\u015bci z ochron\u0105 danych osobowych w mojej organizacji to 30 000 z\u0142, to nie op\u0142aca mi si\u0119\u2026<\/strong><\/span><\/p>\n

Kary, jako nieod\u0142\u0105czna cz\u0119\u015b\u0107 RODO<\/span><\/p>\n

Nawet, jako audytorzy certyfikuj\u0105cy spotkali\u015bmy kilka lat temu jeszcze ciekawsze podej\u015bcie, kt\u00f3re tyczy\u0142o si\u0119 znanej wszystkim firmy, kt\u00f3ra posiada\u0142a ISO 27001<\/strong>. W trakcie audytu szybko ustalone zosta\u0142o, \u017ce firma nie realizuje zasad przetwarzania danych osobowych tj. nie realizuje w zakresie dokumentacji, tego o czym m\u00f3wi\u0142a ustawa o ochronie danych osobowych. <\/strong><\/span><\/p>\n

Dodatkowo organizacja posiada\u0142a tzw. akceptacj\u0119 ryzyka co\u015b a la obecn\u0105 ocen\u0105 skutk\u00f3w, z kt\u00f3rej wynika\u0142o, \u017ce koszt realizacji tych obowi\u0105zk\u00f3w jest wy\u017cszy ni\u017c ewentualne kary. Dlatego wyznaczono kapita\u0142 zapasowy w wysoko\u015bci 250 000 z\u0142<\/strong>, na ewentualne poniesienie konsekwencji, jednak zarz\u0105d postanowi\u0142 nie wydawa\u0107 ani grosza na wdro\u017cenie tego, o czym m\u00f3wi\u0142a ustawa o ochronie danych oraz tzw. Rozporz\u0105dzenie MSWiA w sprawie prowadzenia odpowiedniej dokumentacji.<\/strong><\/span><\/p>\n

Wniosek:<\/strong> bez tzw. kija, ale z u\u017cyciem przys\u0142owiowej marchewki nie by\u0142o zamierzonego efektu. Ma\u0142o tego, wi\u0119kszo\u015b\u0107 obecnych problem\u00f3w jakie dostrzegamy, to problem wielu lat brak adekwatnej reakcji,<\/strong> na to co si\u0119 dzia\u0142o.<\/span><\/p>\n

\"\"<\/p>\n

Nie mam si\u0119 czego obawia\u0107?<\/h2>\n

Cz\u0119sto spotyka si\u0119 pogl\u0105d, \u017ce nie ma sensu wprowadzanie w 2020 roku odpowiednich zabezpiecze\u0144, gdy\u017c s\u0105 \u201etaaakie\u201d technologie, \u017ce je\u015bli kto\u015b chce si\u0119 w\u0142ama\u0107 i wykra\u015b\u0107 nasze dane to zrobi to, a dawniej to by\u0142o inaczej. Bzdura! Obecnie systemy informatyczne maj\u0105 wy\u017cszy wska\u017anik bezpiecze\u0144stwa<\/strong>. W latach 1997-2010, gdy prym wi\u00f3d\u0142 Windows XP, urz\u0119dy, a nawet korporacje by\u0142y zupe\u0142nie bezbronne, chocia\u017c taka informacja nie mog\u0142a by\u0107 publiczna. Pasjonat informatyki z 8 klasy podstaw\u00f3wki lub p\u00f3\u017aniejszego gimnazjum, potrafi\u0142 wyszuka\u0107 odpowiedni\u0105 informacj\u0119 w Google, by w\u0142ama\u0107 si\u0119 na dowolny komputer np. korzystaj\u0105c z publicznego protoko\u0142u polskiego komunikatora GaduGadu<\/strong>. Wysuwaj\u0105cy si\u0119 CD-ROM, odwr\u00f3cony widok pulpitu, a nawet przechwycenie obrazu z kamery lub d\u017awi\u0119ku z mikrofonu, by\u0142y dziecinnie proste. Kwestia znajomo\u015bci podstaw angielskiego i delikatne zami\u0142owanie do informatyki.<\/strong><\/span><\/p>\n

Obecnie trzeba posiada\u0107 bardziej zaawansowan\u0105 wiedz\u0119 i lepsze, cz\u0119sto p\u0142atne narz\u0119dzia, a mo\u017cliwo\u015b\u0107 w\u0142amania nie determinuje, zaprzestania implementacji zabezpiecze\u0144.<\/strong> To tak jakby\u015bmy przestali korzysta\u0107 z alarm\u00f3w w samochodzie oraz z zamykania drzwi w naszych domach. Po co?<\/strong> Przecie\u017c s\u0105 technologie by te wszystkie zabezpieczenia omin\u0105\u0107\u2026 Takie podej\u015bcie jest destrukcyjne i nie jest praktyczne, gdy\u017c wdra\u017caj\u0105c zabezpieczenia, najcz\u0119\u015bciej minimalizujemy ryzyko, a nie je wykluczamy. Na tym polega \u015bwiat. Gdy zak\u0142adamy kask czterolatkowi<\/strong>, ucz\u0105c go je\u017adzi\u0107 na rowerze, minimalizujemy ryzyko obra\u017ce\u0144, ale nie gwarantujemy pe\u0142nego bezpiecze\u0144stwa. Zostawmy ju\u017c te filozofie i wr\u00f3\u0107my do tematu kar <\/strong><\/span>?<\/strong><\/p>\n

Jeremy Bentham w pracy pod tytu\u0142em\u00a0<\/span>Panoptikon albo Dom Nadzoru opisuje ide\u0119 nowych zasad budowy wszelkich zak\u0142ad\u00f3w karnych, w kt\u00f3rych wszelkiego rodzaju osoby winny si\u0119 znajdowa\u0107 pod nadzorem, w szczeg\u00f3lno\u015bci wi\u0119zie\u0144, ale te\u017c areszt\u00f3w, fabryk, warsztat\u00f3w, przytu\u0142k\u00f3w, lazaret\u00f3w, manufaktur, szpitali, dom\u00f3w wariat\u00f3w i szk\u00f3\u0142<\/span><\/i>\u00a0(1787).<\/span><\/p><\/blockquote>\n

Alternatywa?<\/span><\/h2>\n

Organy nadzorcze, uwielbiaj\u0105 wprowadzanie zasad monitorowania na wzorze Panoptikonu<\/strong> (z gr. Wszystkowidz\u0105cy) tj. wi\u0119zienia, w kt\u00f3rym stra\u017cnicy maj\u0105 mo\u017cliwo\u015b\u0107 obserwowania osadzonych, w taki spos\u00f3b, \u017ceby oni nie wiedzieli, czy i kiedy s\u0105 obserwowani.<\/strong><\/span><\/p>\n

Takie podej\u015bcie, przek\u0142adaj\u0105c na Urz\u0105d Ochrony Danych Osobowych staje si\u0119 obecnie bardziej realne, ni\u017c w przypadku GIODO. Wzorem do na\u015bladowania mo\u017ce by\u0107 Krajowa Administracja Skarbowa. Nie wr\u00f3\u017c\u0105c z fus\u00f3w, wiemy, \u017ce w Urz\u0119dzie Ochrony Danych<\/strong> utworzono sekcj\u0119 ds. egzekucji, kt\u00f3rej powstanie gwarantuje to, \u017ce kary b\u0119d\u0105. <\/strong><\/span><\/p>\n

Ma\u0142o tego, w momencie gdy powstaje ten artyku\u0142, \u0142\u0105czna kwota na\u0142o\u017conych kar, przewy\u017csza kilka milion\u00f3w z\u0142otych.<\/strong> To wierzcho\u0142ek g\u00f3ry lodowej, w por\u00f3wnaniu do skuteczno\u015bci w nak\u0142adaniu kar przez naszych s\u0105siad\u00f3w. Berl\u0144ski, odpowiednik urz\u0119du ochrony danych osobowych, kt\u00f3ry nadzoruje przestrzeganie RODO w konkretnym landzie (co\u015b a la rejon\/wojew\u00f3dztwo), zako\u0144czy\u0142 ju\u017c set kontroli.<\/strong><\/span><\/p>\n

Czy dostan\u0119 grzywn\u0119, z tytu\u0142u RODO?<\/h3>\n

Grzywny RODO, maj\u0105 wi\u0119c na celu uczynienie niezgodno\u015bci kosztownym b\u0142\u0119dem zar\u00f3wno dla du\u017cych, jak i ma\u0142ych firm, a nawet dla jednostek samorz\u0105du terytorialnego.\u00a0Dla tych ostatnich najwi\u0119ksz\u0105 kar\u0105 RODO<\/strong>\u00a0jest uderzenie w wizerunek i zaufanie, gdy\u017c np. opozycyjna rada, mo\u017ce podnosi\u0107 nieudolno\u015b\u0107 w\u0142odarza, kt\u00f3ra doprowadzi\u0142a do kary dla samorz\u0105du.<\/strong><\/span><\/p>\n

Gdy ju\u017c wiemy, \u017ce kary to nie mit, lecz obecne realia, kt\u00f3re nale\u017cy wzi\u0105\u0107 pod uwag\u0119, realizuj\u0105c cele naszych organizacji<\/strong>, to porozmawiamy o tym, ile wynosi grzywna RODO i jak organy kontroli tj. urz\u0105d ochrony danych mo\u017ce oblicza\u0107 te konkretne kary.<\/strong><\/span><\/p>\n

Og\u00f3lne rozporz\u0105dzenie Unii Europejskiej w sprawie ochrony danych (RODO) zosta\u0142o opracowane tak, aby dotyczy\u0142o wszystkich rodzaj\u00f3w przedsi\u0119biorstw, od wielonarodowych po mikroprzedsi\u0119biorstwa.\u00a0Grzywny na\u0142o\u017cone przez RODO<\/strong> na podstawie\u00a0<\/span>art. 83<\/b>\u00a0s\u0105 elastyczne i maj\u0105 by\u0107 dostosowane do firmy.\u00a0Ka\u017cda organizacja, kt\u00f3ra dzia\u0142a niezgodnie z RODO, niezale\u017cnie od jej wielko\u015bci, ponosi ogromn\u0105 odpowiedzialno\u015b\u0107.<\/strong><\/span><\/p>\n

Poni\u017cej przyjrzymy si\u0119 grzywn\u0105 administracyjnym, kt\u00f3re zosta\u0142y na\u0142o\u017cone do tej pory, by wysun\u0105\u0107 wniosek, w jaki spos\u00f3b naliczane s\u0105 grzywny oraz jakie naruszenia mog\u0105 podlega\u0107 sankcjom karnym.<\/strong> Mamy nadziej\u0119, \u017ce ten poradnik, pomo\u017ce dzia\u0142om finansowym oraz osobom, odpowiedzialnym za obliczanie skutk\u00f3w, wynikaj\u0105cych z konkretnych ryzyk, wynikaj\u0105cych z niezgodno\u015bci.<\/span><\/p>\n

Dwie kategorie grzywien RODO<\/span><\/h2>\n

RODO wyra\u017anie stwierdza, \u017ce \u200b\u200bniekt\u00f3re naruszenia s\u0105 powa\u017cniejsze ni\u017c inne.<\/span><\/p>\n

Mniej powa\u017cne naruszenia mog\u0105 skutkowa\u0107 na\u0142o\u017ceniem grzywny w wysoko\u015bci do 10 mln EUR lub 2% rocznych \u015bwiatowych przychod\u00f3w firmy z poprzedniego roku bud\u017cetowego, w zale\u017cno\u015bci od tego, kt\u00f3ra kwota jest wy\u017csza.\u00a0<\/b>Obejmuj\u0105 one wszelkie naruszenia artyku\u0142\u00f3w reguluj\u0105cych:<\/span><\/p>\n

    \n
  • Administratorzy i podmioty przetwarzaj\u0105ce\u00a0<\/b>(\u00a0<\/span>a<\/b>rt. 8<\/b>\u00a0,\u00a0<\/span>11<\/b>\u00a0,\u00a0<\/span>25\u201339<\/b>\u00a0,\u00a0<\/span>42<\/b>\u00a0i\u00a0<\/span>43<\/b>\u00a0) – Organizacje, kt\u00f3re zbieraj\u0105 i kontroluj\u0105 dane (administratorzy) oraz te, kt\u00f3re s\u0105 zobowi\u0105zane do przetwarzania danych (podmioty przetwarzaj\u0105ce), musz\u0105 przestrzega\u0107 przepis\u00f3w dotycz\u0105cych ochrony danych, zgodnych z prawem podstaw przetwarzanie i wi\u0119cej.\u00a0Przyk\u0142ady: nieprawid\u0142owo\u015bci w zakresie wyra\u017cenia zgody przez opiekuna dziecka, nierejestrowanie operacji przetwarzania, niewyznaczenie inspektora ochrony danych pomimo obowi\u0105zku, niepoinformowanie Urz\u0119du Ochrony Danych o incydencie.<\/span><\/li>\n
  • Jednostki certyfikuj\u0105ce\u00a0<\/b>(\u00a0<\/span>art. 42<\/b>\u00a0i\u00a0<\/span>43<\/b>\u00a0) – Akredytowane jednostki odpowiedzialne za organizacje certyfikacji, winny przeprowadza\u0107 swoje oceny bez uprzedze\u0144 i w ramach przejrzystego procesu. Z niecierpliwo\u015bci\u0105 oczekujemy jak to b\u0119dzie wygl\u0105da\u0107 w Polsce. Obecnie specjali\u015bci z polski maj\u0105 problem, realizowa\u0107 us\u0142ugi w innych krajach, gdy\u017c nie spe\u0142niaj\u0105 wymaga\u0144 certyfikacji krajowego organu. Trudnym jest wyt\u0142umaczy\u0107, \u017ce nasze UODO jeszcze tego zadania nie realizuje.<\/span><\/li>\n
  • Organy monitoruj\u0105ce\u00a0<\/b>(\u00a0<\/span>art. 41<\/b>\u00a0) – Organy wyznaczone do posiadania odpowiedniego poziomu wiedzy specjalistycznej musz\u0105 wykaza\u0107 si\u0119 niezale\u017cno\u015bci\u0105 i przestrzega\u0107 ustalonej procedury rozpatrywania skarg lub zg\u0142aszanych narusze\u0144 w spos\u00f3b bezstronny i przejrzysty.<\/span><\/li>\n<\/ul>\n

    Powa\u017cniejsze naruszenia s\u0105 sprzeczne z zasadami stricte prawa do prywatno\u015bci i prawa do bycia zapomnianym, kt\u00f3re stanowi\u0105 sedno RODO.\u00a0<\/span>Tego rodzaju naruszenia mog\u0105 skutkowa\u0107 na\u0142o\u017ceniem kary RODO w wysoko\u015bci do 20 mln EUR lub 4% rocznych \u015bwiatowych przychod\u00f3w firmy z poprzedniego roku bud\u017cetowego, w zale\u017cno\u015bci od tego, kt\u00f3ra kwota jest wy\u017csza.\u00a0<\/b>Obejmuj\u0105 one wszelkie naruszenia artyku\u0142\u00f3w reguluj\u0105cych:<\/span><\/p>\n