Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Urząd Ochrony Danych Osobowych (UODO) i europejskie organy nadzoru

Europejskie organy nadzoru wskazane w RODO powstały jako następcy prawni organów nadzorczych działających w oparciu o przepisy dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Do tej pory, każdy organ funkcjonował w oparciu o krajowe przepisy regulujące zagadnienia ochrony danych osobowych, ponieważ wspomniana dyrektywa wymagała implementacji do krajowego porządku prawnego. Wiązało się to z brakiem jednolitego podejścia organów do kwestii egzekwowania regulacji dotyczących ochrony danych.

Można było wyróżnić wiodące podejścia organów do kwestii ochrony danych osobowych – kontrolowanie i karanie (np. brytyjski ICO), kontrolowanie (np. polski GIODO) czy głównie doradzanie (np. organy skandynawskie).

Celem wprowadzenia przepisów RODO było właśnie ujednolicenie przepisów ochrony danych osobowych, w tym podejścia do ich stosowania i egzekwowania. Mamy więc do czynienia z ewolucją – od różnorodności stosowania przepisów o ochronie danych osobowych (przed majem 2018 r.) do jednolitości – jest to z pewnością fundamentalna zmiana i niewątpliwie zasługa RODO. Ponadto każde państwo jest uprawnione do wydania przepisów precyzujących działanie organu nadzorczego.

Jeśli chodzi o krajowe podwórko – Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) został następcą prawnym Generalnego Inspektora Ochrony Danych (GIODO). Urząd Ochrony Danych Osobowych zastąpił Biuro Generalnego Inspektora Ochrony Danych Osobowych.

W artykule zajmę się tematyką działania Prezesa Urzędu Ochrony Danych Osobowych, z uwzględnieniem europejskich organów nadzoru, w oparciu o przepisy Ogólnego rozporządzenia o ochronie danych (RODO) i regulację krajową.

Skupię się na najważniejszych uprawnieniach i obowiązkach wskazanych w tych przepisach, pokazując jak wpływają na codzienność osób, których dane osobowe są przetwarzane i administratorów oraz podmiotów przetwarzających, którzy te dane osobowe przetwarzają.

Krajowe organy nadzorcze

Organ nadzorczy – definicja

art. 51 RODO

jest to niezależny organ publiczny powołany w celu ochrony podstawowych praw i wolności osób w związku z przetwarzaniem danych osobowych
Niezależność

art. 52 RODO

wymogiem jest niezależność zarówno samego organu jak i poszczególnych jego członków
Sposób wyboru organu

art. 53 RODO

każdy członek organu powinien zostać powołany – w drodze przejrzystej procedury – np. przez parlament, rząd, głowę państwa lub niezależny organ uprawniony do powoływania członków organu nadzorczego, na podstawie przepisów krajowych
Zasady ustanawiania organu nadzorczego

Art. 54 RODO

każde państwo wskazuje zasady i procedury powoływania członków, kwalifikacje i warunki wyboru wymagane do powoływania na stanowisko i obowiązki jakie trzeba spełnić

więcej szczegółów dotyczących zasad ustanowienia Prezesa UODO znajduje się w dalszej części artykułu

Zadania organów nadzorczych

Zakres zadań i uprawnień urzędu nadzorczego jest określony w przepisach 57 i 58 RODO. Poruszę najważniejsze zadania organów nadzorczych z punktu widzenia czytelnika.

Zadania i uprawnienia organów nadzorczych (art. 57 i 58 RODO):

  • monitorowanie i egzekwowanie stosowania przepisów RODO,
  • upowszechnianie wiedzy o przepisach rozporządzenia wśród społeczeństwa,
  • upowszechnianie wiedzy o obowiązkach wśród administratorów danych czy podmiotów przetwarzających,
  • rozpatrywanie skarg dotyczących przetwarzania,
  • prowadzenie postępowań i nakładanie kar,
  • zatwierdzanie kodeksów postępowania czy prowadzenie certyfikacji.

Jednym z głównych i najbardziej znanych obowiązków jest prowadzanie postępowań i nakładanie kar finansowych, które nie od dziś są bardzo nośnym tematem.

Zestawienie najbardziej dotkliwych kar nałożonych przez europejskie organy nadzoru

Information Commissioner (ICO) – Wielka Brytania3 kary na łączną kwotę ponad 300 mln €

*dwie z nałożonych kar tj. British Airways oraz Marriott International, Inc nie mają charakteru ostatecznego

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BFDI) – Niemcy27 kar na kwotę ponad 61 mln €
Garante per la protezione dei dati personali (Garante) – Włochy28 kar na kwotę ponad 57 mln €
Commission Nationale de l’Informatique et des Libertés (CNIL) – Francja6 kar na kwotę ponad 50 mln € (m.in. kara nałożona na Google)
Agencia Espanola Proteccion Datos (AEPD) – Hiszpania132 – największa ilość nałożonych kar

Na chwilę obecną europejskie organy nadzorcze nałożyły kary w wysokości ponad 500 mln euro.

Jak widać europejskie organy nadzoru nie próżnują i nakładają spore kary na podmioty, które przetwarzają dane osobowe. Listę wszystkich kar można śledzić w wyszukiwarkach pod tym linkiem oraz tu.

Jeśli chodzi o europejskie organy nadzoru i ich istotne działania, o których warto wiedzieć, to:

  • ICO (brytyjski organ nadzoru) nałożył jak dotąd najwyższą karę – 204,600,000 € dla British Airways (kara ma charakter nieostateczny),
  • CNIL (francuski organ nadzoru) udostępnił narzędzie do przeprowadzania Privacy Impact Assesment (dostępne tu), które jest stosowane przez wiele podmiotów i organizacji,
  • holenderski organ nadzorczy (Autoriteit Persoonsgegevens) opracował jeden z pierwszych taryfikatorów kar (wskazując stawki i kategorie naruszeń) – dzięki temu administrator danych wie, jakiej orientacyjnie kary może się spodziewać, w przypadku naruszenia przetwarzania danych osobowych.

Prezes Urzędu Ochrony Danych Osobowych

Status, zadania i kompetencje, zasady oraz tryb powołania regulują przepisy Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (UODO). Należy pamiętać, że wiodące znaczenie mają przepisy RODO, natomiast w UODO uregulowano te zagadnienia, które RODO przyznało państwom członkowskim, do określenia w krajowych porządkach prawnych.

Najważniejsze procedury zawarte w UODO to:

Powołanie

art.  34 ust. 3 UODO

Prezesa Urzędu Ochrony Danych osobowych powołuje Sejm za zgodą Senatu
Wymogi

art. 34 ust. 4 UODO

posiadanie wyższego wykształcenia oraz wiedzy i doświadczenia z zakresu ochrony danych osobowych
Kadencja

art. 34 ust. 6 UODO

4 lata
Rada do Spraw Ochrony Danych Osobowych

Art. 48 UODO

Organ opiniodawczo-doradczy – wsparcie Prezesa – 8 członków

Zadania Prezesa UODO

Zalecenia i wytyczne co do stosowania RODOUODO opublikował kilka poradników – m.in. „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” czy „Jak rozumieć i stosować podejście oparte na ryzku”. Poradniki dostępne są pod linkiem.
Wykaz rodzajów operacji przetwarzania danychZestawienie zostało przygotowane przez UODO i jest dostępne tutaj. (dotyczy m.in. przetwarzania danych biometrycznych w celu identyfikacji osoby fizycznej lub kontroli dostępu)
Rozpatrywanie skargKażda osoba, która uważa, że jej dane są przetwarzane w sposób nieprawidłowy czy też dany administrator nie wykonuje swoich obowiązków, ma możliwość złożenia skargi do UODO.

Skargę można złożyć w formie papierowej i elektronicznej.

Więcej informacji jak to zrobić można znaleźć na stronie UODO pod tym linkiem.

Jeśli administrator danych naruszył twoje prawa, zgłoś się do niego, poczekaj na odpowiedź – jeśli uważasz, że twoje prawa zostały naruszone – zgłoś sprawę do Prezesa UODO.

Przy okazji wspomnę, że Prezes UODO przedstawia sprawozdanie ze swojej działalności. W sprawozdaniu tym można znajdują się informacje m.in. o liczbie złożonych skarg czy przeprowadzonych kontroli. Jest to ciekawe źródło wiedzy o działaniach Prezesa UODO.

Z treści sprawozdania wynika, że w 2019 r. złożono do Prezesa UODO ponad 9000 skarg (od 25.05.2018 do końca 2018 roku ponad 5500 skarg). Świadczy to o rosnącej świadomości osób, których dane dotyczą – jeśli chodzi o przetwarzanie danych osobowych.

Skargi dotyczyły m.in.

  • pozyskiwania zbyt szerokiego zakresu danych osobowych lub braku podstawy prawnej przetwarzania,
  •  wykorzystania monitoringu wizyjnego,
  • przekazywania danych firmom windykacyjnym czy do BIK bez podstawy prawnej,
  • wykorzystania danych do celów marketingowych,
  • niedopełniania obowiązku informacyjnego,
  • nierealizowania żądań osób.

Sprawozdania z 2018 r. i 2019 r. są dostępne pod tym linkiem.

Zgłaszanie naruszeńKażdy podmiot, który przetwarza dane osobowe może zgłosić naruszenie – np. przy użyciu platformy biznes.gov.pl, czy ePUAP oraz w sposób tradycyjny – listem przez operatora pocztowego.

Instrukcja jak to zrobić znajduje się na stronie UODO – tu.

Samo zgłoszenie naruszeń nie jest przesadnie trudne, choć wymaga poświęcenia czasu. Forma elektroniczna ułatwia szybkie wypełnienie obowiązku w przypadku wystąpienia naruszenia.

Zapoznaj się też z naszym artykułem dotyczącym naruszeń i o tym jak sobie z nimi radzić – dostępnym pod tym linkiem.

Zgłaszanie / odwoływanie IOD

art. 8-11 UODO w zw. z art. 37 RODO

Powołanie i odwołanie IOD może nastąpić przy użyciu platformy biznes.gov.pl, co jest bardzo wygodnym i szybkim rozwiązaniem. Obecnie nie prowadzi się rejestru IOD, co było dość wygodnym rozwiązaniem w czasach „przed RODO”, gdy GIODO prowadził rejestr Administratorów Bezpieczeństwa Informacji.

Więcej na temat zgłoszenia IODa można przeczytać na stronie UODO pod tym linkiem, a także w naszym poradniku dotyczącym wyznaczenia Inspektora Ochrony Danych dostępnym tutaj.

Należy pamiętać by umieścić dane IOD na swojej stronie internetowej.

Prowadzenie postępowań

art. 60 i następne UODO

Prezes UODO prowadzi postępowania w sprawie naruszenia przepisów o ochronie danych osobowych. W 2019 r. dokonano analizy 6000 naruszeń, gdzie niecałe 4000 dotyczyło sektora prywatnego, a pozostałe sektora publicznego (wobec prawie 2500 naruszeń w okresie 25.05.2018 r. – 31.12.2018 r.).

Jeśli chodzi o sektory to były to podmioty z branży:

  • telekomunikacyjnej,
  • ubezpieczeniowej,
  • bankowo-finansowej,
  • ochrony-zdrowia,
Prowadzenie kontroli

art. 78 i następne UODO

UODO jest uprawnione do prowadzenia kontroli zgodnie z planem kontroli Urzędu, na podstawie uzyskanych informacji lub w ramach monitorowania przestrzegania RODO.

W 2019 roku przeprowadzono niecałe 100 kontroli przestrzegania przepisów RODO. Podobną ilość kontroli przeprowadzono w 2018 r., także jest to na chwilę obecną wartość stała. Czy ilość kontroli się zwiększy? Poczekajmy na kolejne sprawozdanie, za 2020 rok.

Kontrola UODO będzie tematem artykułu dostępnego już wkrótce na naszym blogu.

Nakładanie kar

art. 101 i następnych UODO w zw. z art. 83 RODO

UODO jest uprawnione do nakładania kar administracyjnych w wysokości:

  • do 100000 zł na jednostki sektora finansów publicznych
  • nawet do 20000000 EUR lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

Dla 8 podmiotów z sektora prywatnego, takie postępowanie skończyło się to nałożeniem kar administracyjnych, natomiast w sektorze publicznym w 2019 roku nałożono 4 takie kary.

W ostatnich dniach, w kontekście nałożonych kar, wydarzyło się sporo – Wojewódzki Sąd Administracyjny w Warszawie utrzymał w mocy decyzję UODO w sprawie Morele.net (o decyzji UODO możecie o tym poczytać na naszym blogu pod linkiem). Czekamy na pisemne uzasadnienie rozstrzygnięcia WSA, gdyż jest to jak dotąd kara najwyższej wartości – nałożona na administratora danych. Ponadto Prezes Urzędu Ochrony Danych Osobowych nałożył 24 sierpnia 2020 r. karę w wysokości 100 000 zł na Głównego Geodetę Kraju. Powodem było naruszenie udostępnianie w sposób umyślny bez podstawy prawnej na portalu GEOPORTAL2 danych osobowych (numerów ksiąg wieczystych pozyskanych z ewidencji gruntów i budynków). Decyzja Prezesa UODO jest dostępna pod tym linkiem.  Na naszym blogu prowadzimy rejestr kar finansowych Prezesa UODO wraz z kontekstem ich nałożenia oraz komentarzem ekspertów.

Prezes UODO nałożył do tej pory kary w wysokości ok. 1 mln €, co jest wartością stosunkowo niską – w stosunku do kar nakładanych przez europejskich regulatorów.

Kodeksy postępowaniaObecnie złożonych jest 8 kodeksów postępowania, natomiast przygotowano już ponad 30 i na tę chwilę Urząd Ochrony Danych Osobowych nie zatwierdził żadnego z nich.
Infolinia i newsletter IOD

 

Prezes UODO uruchomił infolinię telefoniczną (606 950 000) gdzie dość szybko i bez większych problemów można uzyskać informacje dotyczące m.in. stosowania RODO. Oczywiście taka forma porady może być jedynie wskazówką, a nie wiążącą regułą postępowania, ale i tak może wskazać podejście organu do danej kwestii, dotyczącej przetwarzania danych, a więc to z pewnością wygodne rozwiązania dla osób potrzebujących szybkiej pomocy ze strony organu.

UODO uruchomił także specjalistyczny newsletter dla Inspektorów Ochrony Danych, gdzie można uzyskać specjalistyczną wiedzę z zakresu ochrony danych osobowych.

Aby z niego skorzystać, należy zapisać się pod tym linkiem.

kurs IOD

Osiągnij zgodność z RODO. Zostań Super IOD!

Wiedza przekazywana w przystępny sposób przez wykładowców – praktyków (możesz spotkać ich artykuły na naszym blogu ;), kameralne grupy szkoleniowe, praktyczne wzory i szablony dokumentów i procedur, egzamin zakończony wydaniem certyfikatu. To tylko niektóre z zalet naszego kursu.

Sprawdź terminy:

Sprawdź

Podsumowanie

Europejskie ograny nadzoru mają za zadanie służyć i upowszechniać wiedzę z zakresu RODO, wspierać administratorów danych i osoby, których dane dotyczą ale także kontrolować administratorów danych i nakładać kary. Prezes UODO nie odstaje działaniami od swoich europejskich odpowiedników, choć na pewno z krajowego punktu widzenia pożądane są nowe wytyczne i poradniki w wielu obszarach przetwarzania danych, których obecnie wydawanych jest po prostu za mało, a które są potrzebne by w prawidłowy sposób przetwarzać dane osobowe, znać swoje prawa i obowiązki.  Dodatkowo przydałoby się by Prezes UODO zaczął przyjmować kodeksy postępowania, co na pewno ułatwiłoby przetwarzanie danych przez wnioskujących o akceptację kodeksów. Można także założy

Na pewno jeszcze będzie okazja by omawiać kolejne działania Prezesa UODO – chociażby nałożone kary, o których usłyszymy z pewnością nie raz.

 

Pobierz artykuł

Pobierz artykuł w PDF

Źródła:

Powiązane artykuły

Naruszenia RODO
Naruszenia RODO w 2020 r. – nowy raport ZFODO i co z niego wynika
Przepisy o ochronie danych osobowych, czyli nie tylko RODO
kary UODO
Trzy kary UODO i ich konsekwencje: RODO promocja się skończyła

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.