Kiedy można spodziewać się kontroli?

Od momentu obowiązku stosowania RODO, administratorzy obawiali się najbardziej 2 rzeczy – kontroli ze strony Urzędu Ochrony Danych Osobowych oraz nałożenia w wyniku takiej kontroli kary pieniężnej. Te obawy nie ustały, ale zakres wiedzy i praktycznych rozwiązań, jakie są wdrażane od paru lat u administratorów, wpłynęły na zmniejszenie tego lęku.

Możemy wyróżnić dwa rodzaje kontroli prowadzonych przez organ nadzorczy:

  • kontrola planowa, realizowana na podstawie publikowanego na początku każdego roku tzw. planu sektorowych kontroli UODO – takie kontrole prowadzone są zazwyczaj w siedzibie administratora;
  • kontrola doraźna, będąca co do zasady wynikiem złożonej na administratora skargi o naruszenie przepisów ochrony danych osobowych - w tym przypadku kontrola najczęściej ma charakter korespondencyjny i obejmuje wymianę pism i innych dokumentów (a także dowodów dokumentujących naruszenie bądź też ukazujących poziom stosowanych u administratora zabezpieczeń).

Pamiętać także należy, że kontrola może być wynikiem zgłoszenia naruszenia przez samego administratora danych. Przepisy RODO nakazują administratorowi zgłoszenie stwierdzonego naruszenia nie później niż w terminie 72 godzin po jego stwierdzeniu.

Kary (nie tylko) pieniężne

Wysokość kar, jakie wprowadziło RODO, zmroziła krew w żyłach administratorów danych. Wizja wielomilionowych sankcji finansowych spowodowała, że cały obszar ochrony danych osobowych został objęty szczególną troską i uwagą. Dzisiaj, gdy Prezes UODO nałożył już kilkanaście takich kar, wiemy trochę więcej o zasadach ich wymierzania. Wiemy także, że nawet wielokrotne naruszenie przepisów RODO nie musi wcale skończyć się karą finansową. Wszystko zależy od wielu czynników, takich jak m.in.:

  • skala i charakter naruszenia oraz czas jego trwania;
  • umyślny lub nieumyślny charakter naruszenia;
  • działania podjęte przez administratora w celu zminimalizowania ryzyka naruszenia (w tym stosowanych metod zabezpieczeń przed naruszeniem i ich adekwatności do oceny ryzyka wystąpienia naruszenia);
  • poziomu zaangażowania i współpracy z organem nadzorczym podczas trwającego postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.

Jednak kara pieniężna to nie jedyna sankcja, jaką może nałożyć Prezes UODO, a która może odbić się na finansach administratora. Samo nakazanie określonego zachowania może skutkować ogromnymi kosztami w firmie czy urzędzie (np. nakaz realizacji obowiązku informacyjnego wobec wszystkich osób, których dane administrator przetwarza, nakaz udostępnienia danych osobom, których dane dotyczą).

W LEX Ochrona Danych Osobowych znajdziesz:
LEX Ochrona Danych Osobowych
Umów się na bezpłatną prezentację produktu.