Kary za nieprzestrzeganie RODO w praktyce
RODO weszło w życie 25 maja 2018 roku, jednakże dla niektórych jego postanowienia wciąż pozostają niejasne. Sprawdźmy, co może spotkać firmę za nieprzestrzeganie postanowień RODO? Czy stopień i celowość uchybień w przetwarzaniu danych osobowych mają przełożenie na wielkość kar? I wreszcie, jak przetwarzać, archiwizować i niszczyć dokumenty, aby uniknąć kar?
Przetwarzanie dokumentacji zgodnie z RODO
W myśl ustawy za przetwarzanie danych osobowych uchodzą jakiekolwiek operacje wykonywane na danych osobowych. Przetwarzaniem danych będzie więc: zbieranie, utrwalanie, ujawnianie, gromadzenie, przechowywanie, opracowywanie, modyfikowanie, udostępnianie, przeglądanie i niszczenie dokumentów. W każdym z tych zakresów możliwe są nadużycia lub procedury niezgodne z prawem, często mogące wynikać z zaniedbań, a nie celowych działań. Przedsiębiorcy najczęściej kładą nacisk na prawidłowe przechowywanie, udostępnianie i zbieranie informacji, zapominając o kluczowym działaniu, jakim jest niszczenie dokumentacji. Tutaj zawodnym czynnikiem jest brak jednoznacznych instrukcji lub samej kontroli nad przebiegiem tego procesu. Często dokumenty zamiast do niszczarki zostają wyrzucane do kosza. Zgodnie z prawem utylizacja dokumentów oznacza destrukcję nośników, na których zostały zapisane w taki sposób, aby niemożliwe było ponowne odczytanie ich treści. Niszczenie małej ilości papierowych dokumentów nie powinno stanowić większych problemów, gdyż do tego celu świetnie nada się niszczarka biurowa zgodna z normą DIN 66399. Schody mogą pojawić się w sytuacji wymagającej zniszczenia magnetycznych lub elektronicznych nośników danych, z którymi biurowa niszczarka nie da sobie rady albo w przypadku, gdy proces niszczenia będzie dotyczył dużych ilości dokumentacji. W takiej sytuacji konieczna może okazać się pomoc firmy z branży niszczenia dokumentów, która we właściwy i bezpieczny sposób dokona za nas utylizacji niepotrzebnych materiałów.
Zasady działania zgodnie z RODO
RODO nie daje gotowych instrukcji postępowania z dokumentacją, a jedynie zwraca uwagę na kluczowe sfery przetwarzania danych osobowych. Aby prawidłowo przetwarzać dane osobowe należy kierować się następującymi zasadami:
- Zasada przejrzystości, rzetelności i legalności – w skrócie oznacza przetwarzanie danych w zgodzie prawem.
- Zasada celowości – dane należy przetwarzać zgodnie celem, do którego zostały pozyskane.
- Zasada minimalizacji danych – należy pozyskiwać tylko dane niezbędne do wykonania zamierzonego celu.
- Zasada prawidłowości – dane powinny być aktualne i kompletne, aktualne.
- Zasada ograniczenia przechowywania – dane nie powinny być przechowywane dłużej niż jest to konieczne.
- Zasada integralności i poufności – dane powinny być przetwarzane w sposób gwarantujący ich bezpieczeństwo we wszystkich sferach.
- Zasada rozliczalności – administrator danych jest odpowiedzialny za przestrzeganie wszystkich zasad.
Kary za niezastosowanie się do wytycznych RODO
RODO nakazuje przechowywanie danych osobowych przez okres nie dłuższy niż jest to konieczne. W praktyce oznacza to, że dokumenty zawierające dane osobowe powinny zostać niezwłocznie zniszczone po upływie okresu ich karencji, a całość procesu ich przetwarzania powinna odbywać się w zgodzie z głównymi zasadami rozporządzenia. Niezastosowanie się do tych postanowień może skutkować wysokimi karami pieniężnymi. W swoim asortymencie Generalny Inspektor Danych osobowych może nałożyć na firmę nieprzestrzegającą zaleceń RODO karę nawet do 10 mln Euro lub do 2% rocznych dochodów firmy, a w przypadku rażących naruszeń karę do 20 mln Euro, bądź 4% rocznych dochodów przedsiębiorstwa.
System kar w praktyce
System kar za nieprzestrzeganie RODO wydaje się być dość surowy. Czy jest taki w rzeczywistości? Pierwsza kara wymierzona w Polsce została w marcu bieżącego roku. Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości prawie 950 tysięcy złotych na toruńską spółkę za niespełnienie obowiązku informacyjnego. Z tego tytułu osoby, których dane były przetwarzane, nie mogły zrealizować praw wynikających z przepisów RODO, czyli prawa do bycia zapomnianym, czy też sprostowania danych. W Europie nałożono już przeszło kilkaset kar za uchybienia różnego typu na tle RODO. Choć w Polsce ukarano dopiero jednego przedsiębiorcę, należy się spodziewać kolejnych kar wraz z upływem czasu. Lepiej zabezpieczyć się przed stratami, wdrażając zasady prawidłowego archiwizowania, udostępniania i niszczenia dokumentów z danymi osobowymi zgodnie z RODO.
Źródło: Essi – niszczenie i utylizacja dokumentów