Kiedy można spodziewać się kontroli?

Od momentu obowiązku stosowania RODO, administratorzy obawiali się najbardziej 2 rzeczy – kontroli ze strony Urzędu Ochrony Danych Osobowych oraz nałożenia w wyniku takiej kontroli kary pieniężnej. Te obawy nie ustały, ale zakres wiedzy i praktycznych rozwiązań, jakie są wdrażane od paru lat u administratorów, wpłynęły na zmniejszenie tego lęku.

Możemy wyróżnić dwa rodzaje kontroli prowadzonych przez organ nadzorczy:

  • kontrola planowa, realizowana na podstawie publikowanego na początku każdego roku tzw. planu sektorowych kontroli UODO – takie kontrole prowadzone są zazwyczaj w siedzibie administratora;
  • kontrola doraźna, będąca co do zasady wynikiem złożonej na administratora skargi o naruszenie przepisów ochrony danych osobowych - w tym przypadku kontrola najczęściej ma charakter korespondencyjny i obejmuje wymianę pism i innych dokumentów (a także dowodów dokumentujących naruszenie bądź też ukazujących poziom stosowanych u administratora zabezpieczeń).

Pamiętać także należy, że kontrola może być wynikiem zgłoszenia naruszenia przez samego administratora danych. Przepisy RODO nakazują administratorowi zgłoszenie stwierdzonego naruszenia nie później niż w terminie 72 godzin po jego stwierdzeniu.

Kary (nie tylko) pieniężne

Wysokość kar, jakie wprowadziło RODO, zmroziła krew w żyłach administratorów danych. Wizja wielomilionowych sankcji finansowych spowodowała, że cały obszar ochrony danych osobowych został objęty szczególną troską i uwagą. Dzisiaj, gdy Prezes UODO nałożył już kilkanaście takich kar, wiemy trochę więcej o zasadach ich wymierzania. Wiemy także, że nawet wielokrotne naruszenie przepisów RODO nie musi wcale skończyć się karą finansową. Wszystko zależy od wielu czynników, takich jak m.in.:

  • skala i charakter naruszenia oraz czas jego trwania;
  • umyślny lub nieumyślny charakter naruszenia;
  • działania podjęte przez administratora w celu zminimalizowania ryzyka naruszenia (w tym stosowanych metod zabezpieczeń przed naruszeniem i ich adekwatności do oceny ryzyka wystąpienia naruszenia);
  • poziomu zaangażowania i współpracy z organem nadzorczym podczas trwającego postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.

Jednak kara pieniężna to nie jedyna sankcja, jaką może nałożyć Prezes UODO, a która może odbić się na finansach administratora. Samo nakazanie określonego zachowania może skutkować ogromnymi kosztami w firmie czy urzędzie (np. nakaz realizacji obowiązku informacyjnego wobec wszystkich osób, których dane administrator przetwarza, nakaz udostępnienia danych osobom, których dane dotyczą).

LEX Ochrona Danych Osobowych
Umów się na bezpłatną prezentację produktu.