Piątek, 15 lutego 2019
Strona główna
Masz pytania? Infolinia RODO:
22 487 86 70 lub +48 724 570 436

Promocje Pokaż/ukryj

PAKIET UE (RODO): DOKUMENTACJA + E-SZKOLENIE Z CERTYFIKACJĄ 5 OSÓB + CONSULTING PRAWNY - 199 zł + 23% VAT
199 PLN 799 PLN

Biura rachunkowe - Pakiet RODO: Dokumentacja + E-szkolenie z Certyfikacją 5 osób + Rejestry Czynności + Consulting Prawny - 189 zł +23% VAT
189 PLN 750 PLN

Szkolenie RODO VIP - 25 lutego 2019 r. Warszawa - z pakietem dokumentacji + konsulting + e-szkolenie 10 osób - 399 zł +23% VAT
399 PLN 1190 PLN





Business Woman in Office

Jeśli mają Państwo pytania dotyczące oferty zapraszamy na infolinię, pon.- pt. w godz. 9 -17, tel.: 22 487-86-70 lub +48 724 570 436

Dział Sprzedaży:

zapytanie@rbdo.pl

Dział Prawny:
faq@rbdo.pl

Biuro RBDO
ul. Kopalniana 22a/7
01-321 Warszawa
NIP: 118-165-16-57
Regon: 140741937



Ochrona Danych Osobowych UE: (4) Kary pieniężne oraz inne środki, którymi dysponuje organ nadzorczy

ebookNowością wprowadzaną przez rozporządzenie jest nowy mechanizm nakładania kar pieniężnych za naruszenie przepisów rozporządzenia, co do zasady będą one miały charakter administracyjny, z wyłączeniem Danii oraz Estonii, gdzie z uwagi na konstrukcję systemu prawnego będą one miały charakter karny. Rozporządzenie dopuszcza ustanowienie przez państwa członkowskie także innego mechanizmu nakładania kar (np. ustanowienie przepisów karnych obok pieniężnych kar administracyjnych), pod warunkiem, że nie będzie to prowadziło do złamania zasady polegającej na zakazie orzekania więcej niż raz w tej samej sprawie („ne bis in idem”). Podkreślone zostało przede wszystkim to, że nakładane kary pieniężne muszą być „skuteczne, proporcjonalne i odstraszające”.

Należy podkreślić, że rozporządzenie wymienia rodzaje naruszeń, oraz określa górną granicę oraz kryteria ustalania administracyjnych kar pieniężnych, które GIODO jako organ nadzorczy będzie nakładał indywidualnie dla każdego przypadku.

Ustalenie czy (a jeżeli tak, to w jakim zakresie) pod kary pieniężne będą podlegały organy publiczne, rozporządzenie pozostawia konkretnym państwo członkowskim.

Nie tylko kary pieniężne.

Rozporządzenie w ustępie 148 Preambuły wskazuje, że w pewnych sytuacjach zamiast kary pieniężnej powinno zostać udzielone „upomnienie” – dotyczyć to powinno sytuacji, w których „(…)naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie(…)”. W tym miejscu należy przytoczyć art. 58 ust. 2 rozporządzenia, którym wskazano inne niż kary pieniężne środki, jakimi GIODO jako organ nadzorczy może się posługiwać (zamiast kar pieniężnych, lub oprócz nich) do takich narzędzi należą:

– wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu w związku z możliwością naruszenia przepisów rozporządzenia przez planowane operacje przetwarzania.

– udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przetwarzania przez operacje przetwarzania

nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy rozporządzenia

nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;

nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;

wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania

nakazanie na mocy sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;

cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;

nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

Kryteria decydowaniu o zastosowaniu kar pieniężnych lub innych środków.

Rozporządzenie wskazuje, że przy ocenie, czy w danej sytuacji wystarczające będzie nałożenie przez organ nadzorczy (w Polsce będzie to GIODO) kary pieniężnej czy też zastosowanie innego środka (np. upomnienia) należy zwrócić uwagę  na takie elementy jak:

– charakter, wagę oraz czas trwania naruszenia, przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

– umyślny lub nieumyślny charakter naruszenia;

– działania podjęte dla zminimalizowania szkody,

– stopień odpowiedzialności z uwzględnieniem środków technicznych i organizacyjnych przez nich wdrożonych

– wszelkie mające znaczenie wcześniejsze naruszenia,

– stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków

– kategorie danych osobowych, których dotyczyło naruszenie

– sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie

– przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający (jeżeli były wcześniej nałożone),

– stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji

– wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty

Wysokość kar pieniężnych.

[betteroffer]To tylko fragment tekstu. Aby uzyskać dostęp do całości, kliknij w przycisk Kup teraz.[/betteroffer][betterpay amount=”5″ amount_sms=”5″ sms_nr=”75068″ sms_id=”RBDO5″ button=”images/buynow_1.png” description=”UE Sankcje i kary” validity=”0″ validity_unit=”d” ids=””]

Karę pieniężną w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa –  stosuje się za naruszenia obowiązków administratora (lub podmiotu przetwarzającego dane) o których mowa w:

– art. 8, obowiązki związane z przetwarzaniem danych osobowych dziecka poniżej 16 lat (państwo członkowskie może obniżyć ten próg do 13 lat) w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku bez wyrażonej lub zaaprobowanej zgody przez osobę sprawującą władzę rodzicielską lub opiekę nad dzieckiem. Należy pamiętać, że administrator danych jest zobowiązany podjąć „rozsądne starania” by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.

– art. 11, obowiązki w związane z przetwarzaniem niewymagającym identyfikacji

– art. 25, obowiązki związane z wdrożeniem odpowiednich środków technicznych i organizacyjnych (pseudonimizacja, minimalizacja) w celu zabezpieczenia danych między innymi przed dostępem osób nieuprawnionych oraz zapewnienia realizacji zasady adekwatności przetwarzanych danych (by przetwarzać tylko te dane, które są niezbędne do realizacji określonych celów).

– art. 26, obowiązki związane z uzgodnieniem zakresów odpowiedzialności współadministratorów danych

– art. 27, obowiązki związane z wyznaczeniem na piśmie przedstawiciela w Unii przez administratora danych lub podmiot przetwarzający niemający jednostek organizacyjnych w Unii.

– art. 28, obowiązki związane z właściwym uregulowaniem relacji pomiędzy administratorem danych a podmiotem przetwarzającym dane w jego imieniu

– art. 29,  obowiązki związane z przetwarzaniem danych przez podmioty przetwarzające oraz osoby działające z upoważnienia mające dostęp do danych osobowych wyłącznie na polecenie administratora danych

– art. 30, obowiązki związane z prowadzeniem rejestru czynności przetwarzania danych osobowych przez administratora danych

– art. 31, obowiązki związane ze współpracą przez administratora danych oraz podmiot przetwarzający z organem nadzorczym

– art. 32, obowiązki związane z wdrożeniem odpowiednich środków organizacyjnych i technicznych w celu zapewnienia stopnia bezpieczeństwa odpowiadającemu ryzyku (pseudonimizacja, szyfrowanie, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania)

– art. 33, obowiązki związane ze zgłoszeniem naruszenia ochrony danych osobowych do organu nadzorczego w ciągu 72 godzin oraz dokumentowanie naruszenia

– art. 34, obowiązki związane z zawiadomieniem osoby, której dane dotyczą o fakcie naruszenia ochrony danych osobowych

– art. 35, obowiązki związane z oceną skutków planowanych operacji przetwarzania dla ochrony danych osobowych wedle przewidzianej w rozporządzeniu procedury

– art. 36, obowiązki związane z koniecznością konsultowania się z organem nadzorczym, w związku z efektem oceny skutków dla ochrony danych, o której stanowi art. 35 rozporządzenia

– art. 37, obowiązki związane z wyznaczeniem inspektora ochrony danych

– art. 38, obowiązki związane z zapewnieniem niezależności oraz umożliwienia swobodnego wykonywania czynności przez inspektora ochrony danych

– art. 39, obowiązki związane z wypełnianiem przez inspektora ochrony danych swoich obowiązków

– art. 42 oraz 43 obowiązki związanych z realizacją oraz zapewnieniem przejrzystości przyjętego przez administrator lub podmiot przetwarzający mechanizmu certyfikacji

– obowiązków podmiotu certyfikującego, o których mowa w art. 42 oraz 43;

– obowiązków podmiotu monitorującego, o których mowa w art. 41 ust. 4;

Karę pieniężną w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa –  stosuje się za naruszenia  o których mowa w:

–  art. 5, 6, 7 oraz 9, w zakresie podstawowych zasad przetwarzania, w tym warunków zgody

– art. 12-22, w zakresie praw osób, których dane dotyczą

– art. 44-49, w zakresie przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej,

– art. 85- 91, w zakresie wykonywania obowiązków wynikających ze szczegółowych uregulowań państw członkowskich, wydanych w granicach i na podstawie art. 85-91 (rozdziału IX rozporządzenia)]

– art. 58, w zakresie nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienia dostępu organowi nadzorczemu

Należy zwrócić uwagę na ograniczenie wysokości kary pieniężnej zawarte w art. 83 ust. 3 rozporządzenia które stanowi, że całkowita wysokość nałożonej kary pieniężnej w przypadku naruszenia (umyślnie lub nieumyślnie) kilku przepisów w związku z tymi samymi lub powiązanymi operacjami przetwarzania nie może przekroczyć kary za najpoważniejsze naruszenie.

Zapraszam do lektury i dyskusji,
Karol Cieniak, Dyrektor Działu Prawnego RBDO
faq@rbdo.pl

 


Autor materiału:

kcieniakKarol Cieniak – Dyrektor Działu Prawnego RBDO, Specjalizacja ochrona danych, rejestracja zbiorów, audyty systemów przetwarzania danych osobowych

Absolwent prawa Akademii Leona Koźmińskiego w Warszawie. Bogate, kilkuletnie doświadczenie w zakresie doradztwa i wdrożeń z ochrony danych osobowych w spółkach, korporacjach oraz instytucjach.

Kilkaset zrealizowanych wdrożeń, audytów oraz dziesiątki szkoleń gwarantuje najwyższe kompetencje z zakresu ochrony danych osobowych.

 

Źródło:
W przypadku cytowania artykułu prosimy o bezwzględne zamieszczenie poniższych danych:

Wszelkie Prawa zastrzeżone – RBDO.PL
Rejestracja i Bezpieczeństwo Danych Osobowych
www.rbdo.pl

 


Po wejściu w życie rozporządzenia UE – kary za brak procedur przetwarzania danych wzrosną do 4% przychodu za ubiegły rok a ilość kontroli znacznie się zwiększy!

Już teraz warto poznać przegląd zmian jakie czekają na firmy po okresie vacatio legis rozporządzenia:

  • Czy Twoja firma będzie zobligowana do powołania Inspektora Ochrony Danych?
  • Jakie procedury będą obowiązywały –  np. zgłoszenie incydentu do 72 godzin!
  • Jakie nowe terminy i organy powołuje rozporządzenie unijne?

NIE MASZ PEWNOŚCI CZY TWOJA FIRMA SPEŁNIŁA OBOWIĄZKI OCHRONY DANYCH


Rekomendujemy wdrożenie jednego z poniższych wariantów, w zależności od Państwa potrzeb:

CDa) podstawowy element wymagany w niemal każej firmie i jednostce orgaznizacyjnej  – Dokumentacja ochrony danych dla firm, szkół lub organizacji – w ofercie za 99 zł netto + 23% VAT

b) jesli posiadasz dodatkowo zbiory podlegające rejestracji do GIODO  – zamów Dokumentację z Instrukcją zgłoszenia do GIODO – w ofercie za 149 zł netto + 23% VAT

c) jeśli chcesz zlecić audyt i rejestrację zbiorów prawnikowi wówczas zamów audyt z dokumentacją i rejestracją zbiorów do GIODO – 699 zł netto + 23% VAT

d) jeśli szukasz kompleksowej usługi ze szkoleniem wyznaczonej osoby – wówczas zamów kompleksowe wdrożenie ze szkoleniem + 12 m-cy wsparcia prawnego – 2690 z ł netto + 23% VAT


W przypadku pytań zapraszamy do kontaktu pod mailem: biuro@rbdo.pl lub numerem infolinii czynnej od poniedziałku do piątku w odz. 9 – 17.:  (22) 487 86 70

 


OBEJRZYJ VIDEO KANCELARII RBDO Z PREZENTACJĄ OFERTY


Zaufali nam m.in.

Zapytaj o wdrożenie

Infolinia
Jeśli potrzebują Państwo więcej informacji jakie wdrożenie wybrać, prosimy o kontakt na infolinię (czynna 9-17) lub przesłanie wiadomości przez formularz.

Infolinia: 222-905-320
Na Państwa pytanie odpowiemy w ciągu najbliższych godzin.
Zapewniamy Państwu najwyższą jakość usług. Do każdego zamówienia zapewniamy wsparcie prawnika - bez żadanego limitu!

Zaufało nam już ponad 5000 firm, instytucji i jednostek organizacyjnych!
Zapraszamy do współpracy!