Unijna reforma ochrony danych osobowych, znana powszechnie jako RODO, była jednym z najważniejszych tematów 2018 roku. Choć jej zapisy obowiązują oficjalnie od maja 2018, wiele firm w dalszym ciągu zaniedbuje swoje obowiązki względem nowych przepisów.

Narzucają one na przedsiębiorców szereg obowiązków, wśród których pojawia się między innymi odpowiedzialność za wdrożenie procedur i zabezpieczeń przez administratorów danych osobowych. Za niewdrożenie w firmie odpowiednich systemów zgodnych z założeniami RODO, przedsiębiorcy mogą zostać ukarani i zobowiązani do zapłacenia kary w wysokości do 20 milionów Euro. Na czym polega jednak system kar RODO i jakie są podstawy nałożenia tak wysokich kar?

Na czym polega system kar za brak wdrożenia RODO?

Środki dyscyplinujące wg RODO, czyli przewidziane kary za nieprzestrzeganie obowiązujących przepisów dotyczących przetwarzania i ochrony danych osobowych podzielono na dwie główne kategorie: środki administracyjne oraz kary pieniężne. Choć to o tych drugich wspomina się w kontekście RODO znacznie częściej, a pierwsze kary finansowe zaczynają być nakładane na bardzo duże przedsiębiorstwa, sankcje administracyjne mogą być dla firm znacznie bardziej dotkliwe i wpłynąć na funkcjonowanie całego przedsiębiorstwa, a nie tylko zasobność jego środków finansowych.

Wśród sankcji administracyjnych wskazanych w art. 58 rozporządzenia o ochronie danych osobowych, wymienione zostały między innymi formalne ostrzeżenia i upomnienia administratorów danych za naruszenie przepisów RODO, odgórne nakazy spełnienia przez administratora żądań osoby, której dane dotyczą, wynikające z praw przysługujących jej na mocy rozporządzenia, nakazy dostosowania swoich działań do wymogów RODO w określonym administracyjnie terminie, oraz nakazy zawiadamiania osób, których dane dotyczą, o naruszeniu ochrony ich danych. Dodatkowo, w przypadku niewykazania chęci do zmian i dostosowania się do obowiązującego prawa, przewidziano możliwość wprowadzenia czasowego lub całkowitego ograniczenia lub zakazu przetwarzania danych, nakazania sprostowania lub usunięcia danych osobowych, a nawet cofnięcia certyfikacji dla przedsiębiorstwa.

Niestosowanie się do zasad RODO może być obciążone także karami finansowymi. Te, zgodnie z ustalonymi zasadami, mogą wynosić nawet 20 milionów Euro, a w przypadku przedsiębiorstw do 4% ich całkowitego, rocznego światowego obrotu z poprzedniego roku, przy czym zastosowanie ma kwota wyższa spośród dwóch powyższych. Co dla przedsiębiorstw jednak najtrudniejsze, kary administracyjne i finansowe mogą być ze sobą łączone.

Podstawy do nałożenia kary za brak wdrożenia RODO

Wprowadzona przez Unię Europejską reforma dotycząca zarządzania, przetwarzania i przechowywania danych osobowych, miała na celu przede wszystkim wzmocnienie praw osób fizycznych, dotyczących ich własnych danych osobowych, harmonizację przepisów na terenie państw Unii Europejskiej, ogólną poprawę mechanizmów umożliwiających międzynarodową wymianę danych osobowych, a także zwiększenie odpowiedzialności administratorów danych za to, co dzieje się z nimi w różnorodnych procesach przetwarzania. Często to właśnie niestosowane przez nich środki ostrożności wpływają na utratę danych osobowych, których zobowiązali się zabezpieczyć w momencie pozyskania ich od osoby fizycznej. Do tej pory dociekanie praw odnośnie własnych danych nie było tak proste.

Zgodnie z RODO, administratorzy ponoszą teraz pełną odpowiedzialność za dane, które przetwarzają i za wdrożenie wszelkich rozwiązań mających na celu zagwarantowanie ich bezpieczeństwa oraz możliwość całkowitego usunięcia danych z bazy na prośbę osoby, której dotyczą.

Jak podają specjaliści – za nieprzestrzeganie zasad RODO, w tym naruszenia obowiązków administratora, możliwe jest nałożenie kar finansowych zgodnych z ustalonymi w reformie wytycznymi. Kary te nałożone będą nie tylko wtedy, gdy dane znajdą się w bezpośrednim niebezpieczeństwie lub zostaną przez administratora utracone, ale też wtedy, gdy na podstawie audytu lub odgórnej kontroli zostaną wykryte nieprawidłowości związane z zabezpieczaniem danych.

Jak wdrożyć RODO w firmie?

Ze względu na konieczność wdrożenia nowych przepisów związanych z ochroną i przetwarzaniem danych przez wszystkie przedsiębiorstwa działające na rynku, firmy mają dziś możliwość skorzystania z pomocy wielu jednostek oferujących pomoc w przygotowaniu i wdrożeniu nowych zasad do struktur. Często zdarza się jednak, że niektóre jednostki oferują gotowy zestaw dokumentów i rozwiązań niekoniecznie sprawdzających się w każdym przedsiębiorstwie. Dobrym rozwiązaniem jest więc zasięgnięcie pomocy u doświadczonej kancelarii prawnej obsługującej stowarzyszenia, która będzie w stanie nie tylko przygotować indywidualny program opracowania i wdrożenia RODO w firmie, ale też przygotować ją pod kątem prawnym, tak, by ryzyko nałożenia kar za błędy w bezpieczeństwie danych były całkowicie zminimalizowane.