Europejskie organy nadzoru wskazane w RODO powstały jako następcy prawni organów nadzorczych działających w oparciu o przepisy dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Do tej pory, każdy organ funkcjonował w oparciu o krajowe przepisy regulujące zagadnienia ochrony danych osobowych, ponieważ wspomniana dyrektywa wymagała implementacji do krajowego porządku prawnego. Wiązało się to z brakiem jednolitego podejścia organów do kwestii egzekwowania regulacji dotyczących ochrony danych.
Można było wyróżnić wiodące podejścia organów do kwestii ochrony danych osobowych – kontrolowanie i karanie (np. brytyjski ICO), kontrolowanie (np. polski GIODO) czy głównie doradzanie (np. organy skandynawskie).
Celem wprowadzenia przepisów RODO było właśnie ujednolicenie przepisów ochrony danych osobowych, w tym podejścia do ich stosowania i egzekwowania. Mamy więc do czynienia z ewolucją – od różnorodności stosowania przepisów o ochronie danych osobowych (przed majem 2018 r.) do jednolitości – jest to z pewnością fundamentalna zmiana i niewątpliwie zasługa RODO. Ponadto każde państwo jest uprawnione do wydania przepisów precyzujących działanie organu nadzorczego.
Jeśli chodzi o krajowe podwórko – Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) został następcą prawnym Generalnego Inspektora Ochrony Danych (GIODO). Urząd Ochrony Danych Osobowych zastąpił Biuro Generalnego Inspektora Ochrony Danych Osobowych.
W artykule zajmę się tematyką działania Prezesa Urzędu Ochrony Danych Osobowych, z uwzględnieniem europejskich organów nadzoru, w oparciu o przepisy Ogólnego rozporządzenia o ochronie danych (RODO) i regulację krajową.
Skupię się na najważniejszych uprawnieniach i obowiązkach wskazanych w tych przepisach, pokazując jak wpływają na codzienność osób, których dane osobowe są przetwarzane i administratorów oraz podmiotów przetwarzających, którzy te dane osobowe przetwarzają.
Krajowe organy nadzorcze
| Organ nadzorczy – definicja art. 51 RODO | jest to niezależny organ publiczny powołany w celu ochrony podstawowych praw i wolności osób w związku z przetwarzaniem danych osobowych |
| Niezależność art. 52 RODO | wymogiem jest niezależność zarówno samego organu jak i poszczególnych jego członków |
| Sposób wyboru organu art. 53 RODO | każdy członek organu powinien zostać powołany – w drodze przejrzystej procedury – np. przez parlament, rząd, głowę państwa lub niezależny organ uprawniony do powoływania członków organu nadzorczego, na podstawie przepisów krajowych |
| Zasady ustanawiania organu nadzorczego Art. 54 RODO | każde państwo wskazuje zasady i procedury powoływania członków, kwalifikacje i warunki wyboru wymagane do powoływania na stanowisko i obowiązki jakie trzeba spełnić więcej szczegółów dotyczących zasad ustanowienia Prezesa UODO znajduje się w dalszej części artykułu |
Zadania organów nadzorczych
Zakres zadań i uprawnień urzędu nadzorczego jest określony w przepisach 57 i 58 RODO. Poruszę najważniejsze zadania organów nadzorczych z punktu widzenia czytelnika.
Zadania i uprawnienia organów nadzorczych (art. 57 i 58 RODO):
- monitorowanie i egzekwowanie stosowania przepisów RODO,
- upowszechnianie wiedzy o przepisach rozporządzenia wśród społeczeństwa,
- upowszechnianie wiedzy o obowiązkach wśród administratorów danych czy podmiotów przetwarzających,
- rozpatrywanie skarg dotyczących przetwarzania,
- prowadzenie postępowań i nakładanie kar,
- zatwierdzanie kodeksów postępowania czy prowadzenie certyfikacji.
Jednym z głównych i najbardziej znanych obowiązków jest prowadzanie postępowań i nakładanie kar finansowych, które nie od dziś są bardzo nośnym tematem.
Zestawienie najbardziej dotkliwych kar nałożonych przez europejskie organy nadzoru
| Information Commissioner (ICO) – Wielka Brytania | 3 kary na łączną kwotę ponad 300 mln € *dwie z nałożonych kar tj. British Airways oraz Marriott International, Inc nie mają charakteru ostatecznego |
| Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BFDI) – Niemcy | 27 kar na kwotę ponad 61 mln € |
| Garante per la protezione dei dati personali (Garante) – Włochy | 28 kar na kwotę ponad 57 mln € |
| Commission Nationale de l’Informatique et des Libertés (CNIL) – Francja | 6 kar na kwotę ponad 50 mln € (m.in. kara nałożona na Google) |
| Agencia Espanola Proteccion Datos (AEPD) – Hiszpania | 132 – największa ilość nałożonych kar |
Na chwilę obecną europejskie organy nadzorcze nałożyły kary w wysokości ponad 500 mln euro.
Jak widać europejskie organy nadzoru nie próżnują i nakładają spore kary na podmioty, które przetwarzają dane osobowe. Listę wszystkich kar można śledzić w wyszukiwarkach pod tym linkiem oraz tu.
Jeśli chodzi o europejskie organy nadzoru i ich istotne działania, o których warto wiedzieć, to:
- ICO (brytyjski organ nadzoru) nałożył jak dotąd najwyższą karę – 204,600,000 € dla British Airways (kara ma charakter nieostateczny),
- CNIL (francuski organ nadzoru) udostępnił narzędzie do przeprowadzania Privacy Impact Assesment (dostępne tu), które jest stosowane przez wiele podmiotów i organizacji,
- holenderski organ nadzorczy (Autoriteit Persoonsgegevens) opracował jeden z pierwszych taryfikatorów kar (wskazując stawki i kategorie naruszeń) – dzięki temu administrator danych wie, jakiej orientacyjnie kary może się spodziewać, w przypadku naruszenia przetwarzania danych osobowych.
Prezes Urzędu Ochrony Danych Osobowych
Status, zadania i kompetencje, zasady oraz tryb powołania regulują przepisy Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (UODO). Należy pamiętać, że wiodące znaczenie mają przepisy RODO, natomiast w UODO uregulowano te zagadnienia, które RODO przyznało państwom członkowskim, do określenia w krajowych porządkach prawnych.
Najważniejsze procedury zawarte w UODO to:
| Powołanie art. 34 ust. 3 UODO | Prezesa Urzędu Ochrony Danych osobowych powołuje Sejm za zgodą Senatu |
| Wymogi art. 34 ust. 4 UODO | posiadanie wyższego wykształcenia oraz wiedzy i doświadczenia z zakresu ochrony danych osobowych |
| Kadencja art. 34 ust. 6 UODO | 4 lata |
| Rada do Spraw Ochrony Danych Osobowych Art. 48 UODO | Organ opiniodawczo-doradczy – wsparcie Prezesa – 8 członków |
Zadania Prezesa UODO
| Zalecenia i wytyczne co do stosowania RODO | UODO opublikował kilka poradników – m.in. „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” czy „Jak rozumieć i stosować podejście oparte na ryzku”. Poradniki dostępne są pod linkiem. |
| Wykaz rodzajów operacji przetwarzania danych | Zestawienie zostało przygotowane przez UODO i jest dostępne tutaj. (dotyczy m.in. przetwarzania danych biometrycznych w celu identyfikacji osoby fizycznej lub kontroli dostępu) |
| Rozpatrywanie skarg | Każda osoba, która uważa, że jej dane są przetwarzane w sposób nieprawidłowy czy też dany administrator nie wykonuje swoich obowiązków, ma możliwość złożenia skargi do UODO. Skargę można złożyć w formie papierowej i elektronicznej. Więcej informacji jak to zrobić można znaleźć na stronie UODO pod tym linkiem. Jeśli administrator danych naruszył twoje prawa, zgłoś się do niego, poczekaj na odpowiedź – jeśli uważasz, że twoje prawa zostały naruszone – zgłoś sprawę do Prezesa UODO. Przy okazji wspomnę, że Prezes UODO przedstawia sprawozdanie ze swojej działalności. W sprawozdaniu tym można znajdują się informacje m.in. o liczbie złożonych skarg czy przeprowadzonych kontroli. Jest to ciekawe źródło wiedzy o działaniach Prezesa UODO. Z treści sprawozdania wynika, że w 2019 r. złożono do Prezesa UODO ponad 9000 skarg (od 25.05.2018 do końca 2018 roku ponad 5500 skarg). Świadczy to o rosnącej świadomości osób, których dane dotyczą – jeśli chodzi o przetwarzanie danych osobowych. Skargi dotyczyły m.in.
Sprawozdania z 2018 r. i 2019 r. są dostępne pod tym linkiem. |
| Zgłaszanie naruszeń | Każdy podmiot, który przetwarza dane osobowe może zgłosić naruszenie – np. przy użyciu platformy biznes.gov.pl, czy ePUAP oraz w sposób tradycyjny – listem przez operatora pocztowego. Instrukcja jak to zrobić znajduje się na stronie UODO – tu. Samo zgłoszenie naruszeń nie jest przesadnie trudne, choć wymaga poświęcenia czasu. Forma elektroniczna ułatwia szybkie wypełnienie obowiązku w przypadku wystąpienia naruszenia. Zapoznaj się też z naszym artykułem dotyczącym naruszeń i o tym jak sobie z nimi radzić – dostępnym pod tym linkiem. |
| Zgłaszanie / odwoływanie IOD art. 8-11 UODO w zw. z art. 37 RODO | Powołanie i odwołanie IOD może nastąpić przy użyciu platformy biznes.gov.pl, co jest bardzo wygodnym i szybkim rozwiązaniem. Obecnie nie prowadzi się rejestru IOD, co było dość wygodnym rozwiązaniem w czasach „przed RODO”, gdy GIODO prowadził rejestr Administratorów Bezpieczeństwa Informacji. Więcej na temat zgłoszenia IODa można przeczytać na stronie UODO pod tym linkiem, a także w naszym poradniku dotyczącym wyznaczenia Inspektora Ochrony Danych dostępnym tutaj. Należy pamiętać by umieścić dane IOD na swojej stronie internetowej. |
| Prowadzenie postępowań art. 60 i następne UODO | Prezes UODO prowadzi postępowania w sprawie naruszenia przepisów o ochronie danych osobowych. W 2019 r. dokonano analizy 6000 naruszeń, gdzie niecałe 4000 dotyczyło sektora prywatnego, a pozostałe sektora publicznego (wobec prawie 2500 naruszeń w okresie 25.05.2018 r. – 31.12.2018 r.). Jeśli chodzi o sektory to były to podmioty z branży:
|
| Prowadzenie kontroli art. 78 i następne UODO | UODO jest uprawnione do prowadzenia kontroli zgodnie z planem kontroli Urzędu, na podstawie uzyskanych informacji lub w ramach monitorowania przestrzegania RODO. W 2019 roku przeprowadzono niecałe 100 kontroli przestrzegania przepisów RODO. Podobną ilość kontroli przeprowadzono w 2018 r., także jest to na chwilę obecną wartość stała. Czy ilość kontroli się zwiększy? Poczekajmy na kolejne sprawozdanie, za 2020 rok. Kontrola UODO będzie tematem artykułu dostępnego już wkrótce na naszym blogu. |
| Nakładanie kar art. 101 i następnych UODO w zw. z art. 83 RODO | UODO jest uprawnione do nakładania kar administracyjnych w wysokości:
Dla 8 podmiotów z sektora prywatnego, takie postępowanie skończyło się to nałożeniem kar administracyjnych, natomiast w sektorze publicznym w 2019 roku nałożono 4 takie kary. W ostatnich dniach, w kontekście nałożonych kar, wydarzyło się sporo – Wojewódzki Sąd Administracyjny w Warszawie utrzymał w mocy decyzję UODO w sprawie Morele.net (o decyzji UODO możecie o tym poczytać na naszym blogu pod linkiem). Czekamy na pisemne uzasadnienie rozstrzygnięcia WSA, gdyż jest to jak dotąd kara najwyższej wartości – nałożona na administratora danych. Ponadto Prezes Urzędu Ochrony Danych Osobowych nałożył 24 sierpnia 2020 r. karę w wysokości 100 000 zł na Głównego Geodetę Kraju. Powodem było naruszenie udostępnianie w sposób umyślny bez podstawy prawnej na portalu GEOPORTAL2 danych osobowych (numerów ksiąg wieczystych pozyskanych z ewidencji gruntów i budynków). Decyzja Prezesa UODO jest dostępna pod tym linkiem. Na naszym blogu prowadzimy rejestr kar finansowych Prezesa UODO wraz z kontekstem ich nałożenia oraz komentarzem ekspertów. Prezes UODO nałożył do tej pory kary w wysokości ok. 1 mln €, co jest wartością stosunkowo niską – w stosunku do kar nakładanych przez europejskich regulatorów. |
| Kodeksy postępowania | Obecnie złożonych jest 8 kodeksów postępowania, natomiast przygotowano już ponad 30 i na tę chwilę Urząd Ochrony Danych Osobowych nie zatwierdził żadnego z nich. |
| Infolinia i newsletter IOD
| Prezes UODO uruchomił infolinię telefoniczną (606 950 000) gdzie dość szybko i bez większych problemów można uzyskać informacje dotyczące m.in. stosowania RODO. Oczywiście taka forma porady może być jedynie wskazówką, a nie wiążącą regułą postępowania, ale i tak może wskazać podejście organu do danej kwestii, dotyczącej przetwarzania danych, a więc to z pewnością wygodne rozwiązania dla osób potrzebujących szybkiej pomocy ze strony organu. UODO uruchomił także specjalistyczny newsletter dla Inspektorów Ochrony Danych, gdzie można uzyskać specjalistyczną wiedzę z zakresu ochrony danych osobowych. Aby z niego skorzystać, należy zapisać się pod tym linkiem. |
Osiągnij zgodność z RODO. Zostań Super IOD!
Wiedza przekazywana w przystępny sposób przez wykładowców – praktyków (możesz spotkać ich artykuły na naszym blogu ;), kameralne grupy szkoleniowe, praktyczne wzory i szablony dokumentów i procedur, egzamin zakończony wydaniem certyfikatu. To tylko niektóre z zalet naszego kursu.
Sprawdź terminy:
Podsumowanie
Europejskie ograny nadzoru mają za zadanie służyć i upowszechniać wiedzę z zakresu RODO, wspierać administratorów danych i osoby, których dane dotyczą ale także kontrolować administratorów danych i nakładać kary. Prezes UODO nie odstaje działaniami od swoich europejskich odpowiedników, choć na pewno z krajowego punktu widzenia pożądane są nowe wytyczne i poradniki w wielu obszarach przetwarzania danych, których obecnie wydawanych jest po prostu za mało, a które są potrzebne by w prawidłowy sposób przetwarzać dane osobowe, znać swoje prawa i obowiązki. Dodatkowo przydałoby się by Prezes UODO zaczął przyjmować kodeksy postępowania, co na pewno ułatwiłoby przetwarzanie danych przez wnioskujących o akceptację kodeksów. Można także założy
Na pewno jeszcze będzie okazja by omawiać kolejne działania Prezesa UODO – chociażby nałożone kary, o których usłyszymy z pewnością nie raz.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych) – RODO
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000 ze zm.)
- Edyta Bielak-Jooma (red.), Dominik Lubasz (red.) RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. WKP 2018
- Litwiński (red). Rozporządzenie UE w sprawie osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Wydawnictwo C.H. Beck, 2018
- Strona: enforcementracker.com
- Strona: privacyaffairs.com/gdpr-fines/
- Sprawozdanie z działalności UODO z 2018 i 2019 r.
- Decyzja UODO - Kara dla GGK (24.08.2020)
- Strona Urzędu Ochrona Danych Osobowych – http://uodo.gov.pl
- Newsletter UOD - na stronie UODO
- Jak powołać IOD – informacje ze strony UODO
- Jak zgłosić skargę – informacje ze strony UODO
- Jak zgłosić naruszenie – informacje ze strony UODO
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.