Wpisy

KOLEJNA KARA POD REŻIMEM RODO. SPÓŁKA ZAPŁACI 201 TYS. ZŁOTYCH.

Po raz kolejny Prezes Urzędu Ochrony Danych Osobowych skorzystał z uprawnienia przewidzianego przez RODO, jakim jest nałożenie administracyjnej kary pieniężnej na podmiot naruszający treść RODO. Sankcje nałożono na spółkę ClickQuickNow, która oferuje rozwiązania marketingowe.

CO STWIERDZONO W RAMACH KONTROLI?

Urząd Ochrony Danych Osobowych przeprowadził kontrolę spółki w pierwszym kwartale 2019 roku. Jak wskazano w decyzji spółka nie zapewniła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby realizację praw podmiotów danych. W przedmiotowej sprawie organ nadzoru stwierdził naruszenia z zakresie:

  • Znaczące utrudnianie przez spółkę prawa do wycofania zgody na przetwarzanie danych osobowych

RODO przewiduje w swojej treści zasadę, zgodnie z którą wycofanie zgody na przetwarzanie danych osobowych powinno być dla podmiotu tych danych równie łatwe jak jej udzielenie. Ponadto administrator ma obowiązek ułatwiać osobom realizację ich praw (o czym traktuje art. 12 ust. 2 RODO).

W przypadku ClickQuickNow zastosowano rozwiązanie, którego proces realizacji prawa do wycofania zgody polegał nie tylko na konieczności kliknięcia w podany link, ale także uzupełnieniu przyczyny wycofania zgody (czego żadne przepisy nie przewidują). W przypadku braku podania przyczyny cały proces realizacji prawa był przerywany. By zakończyć rzeczony proces koniecznym było wysłanie dodatkowej wiadomości e-mail na dedykowany adres poczty elektronicznej, pomimo faktu, że treść komunikatu przesyłanego osobie fizycznej wskazywała na jego zakończenie.

  • Naruszenie prawa do żądania usunięcia danych osobowych („prawa do bycia zapomnianym”)

Z treści decyzji wynika również, że spółka ignorowała wnioski osób, które nie były jej klientami o usunięcie ich danych osobowych. W związku z tym przetwarzała je nie mając podstawy prawnej, co jest naruszeniem przepisów RODO.

Przy tym zarzucie sama spółka broni się przekonaniem, że tego typu żądania wysyłane przez osoby za pomocą e-maila nie umożliwiały właściwej i pewnej identyfikacji podmiotów.

WYMIAR KARY

Za powyższe stwierdzone naruszenia Prezes UODO nałożył na spółkę karę w wysokości 201 559,50 zł. Ponadto organ nadzoru nakazał dostosowanie procesów realizacji praw osób, których dane są przetwarzane oraz sposobów wycofywania zgód do wymogów zgodnych z RODO.

Warto odnotować, że Prezes Urzędu Ochrony Danych Osobowych nie uwzględnił żadnych okoliczności łagodzących, które mogłyby mieć wpływ na wymiar kary. Uznał też wszystkie wskazane działania ClickQuickNow za umyślne.

PODSUMOWANIE

Kara nałożona decyzją Prezesa UODO jest wyraźnym ostrzeżeniem dla administratorów przetwarzających dane przed traktowaniem ochrony danych osobowych jedynie w kontekście posiadania odpowiedniej dokumentacji czy procedur. Równie ważne jest również odpowiednie dostosowanie procesów, jakie zachodzą w firmie i jakie – w tym wypadku – przybrały postać realizacji praw podmiotów danych.

 

Sejm przyjął nową ustawę o ochronie danych osobowych

Podczas obrad w dniu 10 maja 2018 r. Sejm uchwalił nową ustawę o ochronie danych osobowych, która doprecyzować unijne rozporządzenie w sprawie ochrony danych osobowych (tzw. RODO).

Więcej informacji o tym co zawiera nowa ustawa znajduje się tutaj.

Za ustawą głosowało 233 posłów, przeciw było 176 posłów,  25 posłów wstrzymało się od głosu.

Senat przyjął ustawę 16 maja 2018 r., oraz została przekazana do Prezydenta.

https://www.senat.gov.pl/aktualnosci/art,10667,60-posiedzenie-dzien-piaty.html

https://www.senat.gov.pl/prace/senat/posiedzenia/przebieg,506,5,glosowania.html

Tekst ustawy

http://orka.sejm.gov.pl/proc8.nsf/ustawy/2410_u.htm

Przebieg prac nad ustawą

 http://www.sejm.gov.pl/Sejm8.nsf/PrzebiegProc.xspid=26582134FFF5DA9CC125826C00345DD5

Nowa ustawa o ochronie danych osobowych- podsumowanie

5 kwietnia b.r. do Sejmu trafił rządowy projekt nowej ustawy o ochronie danych osobowych. Jak zapewnia Ministerstwo Cyfryzacji, nowa ustawa ma lepiej chronić dane osobowe obywateli i m.in. chronić przed handlem danymi. Do nowych regulacji będą musiały dostosować się wszystkie podmioty, które zbierają i przetwarzają dane osobowe. Zmiany wynikają z konieczności dostosowania przepisów do Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE z dnia 27 kwietnia 2016 (RODO). Co w praktyce oznacza przyjęcie nowej ustawy?

Nowe organy

Zgodnie z projektem, zostanie ustanowiony niezależny organ zajmujący się sprawami ochrony danych osobowych – Prezes Urzędu Ochrony Danych Osobowych (PUODO) oraz organ doradczy – Rada do Spraw Ochrony Danych Osobowych. Nowy organ zastąpi dotychczasowy urząd Generalnego Inspektora Ochrony Danych Osobowych (GIODO). PUODO będzie powoływany na swoją kadencję przez Sejm za zgodą Senatu. Będzie on mógł kierować do organizacji wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych. PUODO będzie mógł również występować do organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. Będzie też mógł wydawać rekomendacje, jak odpowiednio zabezpieczać dane osobowe. Każdy podmiot będzie musiał jednak sam ocenić ryzyko związane z wyciekiem danych osobowych i dostosować odpowiednie środki zabezpieczające.

Szybsze postępowanie

Jednym z założeń projektu ma być usprawnienie prowadzonych obecnie postępowań. Nowe przepisy mają dać obywatelom nie tylko lepszą ochronę przed nieuczciwymi praktykami, ale uczynić też postępowania w sprawach ochrony danych osobowych szybszymi. Projekt przewiduje także zniesienie dotychczasowej dwuinstancyjności postępowania w sprawach naruszenia przepisów o ochronie danych osobowych. Dzięki temu rozwiązaniu obywatel będzie miał możliwość szybszego uzyskania sądowej ochrony swoich praw.

Proces certyfikacji

W związku z RODO do nowej ustawy dodano także rozdział odnoszący się do certyfikacji. Na mocy tych przepisów certyfikacji dokonywać będzie PUODO oraz organ certyfikujący (podmioty z sektora prywatnego), na wniosek zainteresowanego podmiotu. Kryteria certyfikacji będą udostępnione przez PUODO w Biuletynie Informacji Publicznej. Certyfikacja będzie dokonywana na zasadach określonych w RODO. Do wniosku powinny zostać dołączone dokumenty potwierdzające spełnianie kryteriów certyfikacji oraz, w przypadku certyfikacji dokonywanej przez PUODO, dowód wniesienia opłaty, ustalanej każdorazowo przez organ w wysokości odpowiadającej przewidywanym kosztom poniesionym z tytułu wykonywania tych czynności.

Kontrola przestrzegania przepisów

Projekt nowej ustawy określa sposób przeprowadzania kontroli przestrzegania przepisów o ochronie danych osobowych. Według tych założeń kontrola będzie przeprowadzana przez pracowników Urzędu Ochrony Danych Osobowych, zgodnie z zatwierdzonym przez PUODO planem kontroli, na podstawie uzyskanych informacji lub w ramach monitorowania przestrzegania stosowania RODO. Na mocy nowej ustawy kontrolujący będą mieć prawo do m.in. wglądu do wszelkich dokumentów i informacji mających bezpośredni związek z zakresem kontroli, przeprowadzania oględzin, żądać złożenia wyjaśnień oraz przesłuchiwać w charakterze świadka. Kontrola będzie mogła być również przeprowadzona bez wcześniejszego poinformowania podmiotu kontrolowanego. Z przebiegu kontroli podmiot kontrolujący będzie miał obowiązek sporządzić protokół.

Odpowiedzialność prawna

Podmiot, który naruszy przepisy o ochronie danych osobowych, będzie musiał się liczyć z odpowiedzialnością odszkodowawczą. Istotną rolę w postępowaniu będzie odgrywał PUODO – postępowanie dotyczące tego samego naruszenia, toczące się przed PUODO może spowodować zawieszenie, a nawet umorzenie postępowania sądowego. PUODO będzie mógł również wstąpić do toczącego się procesu w każdym jego stadium za zgodą powoda, wytaczać powództwa na rzecz osoby, której dane dotyczą,  przedstawić sądowi istotny dla sprawy pogląd. Projekt uprawnia PUODO do nakładania kar pieniężnych w drodze decyzji administracyjnej. Za bezprawne przetwarzanie danych osobowych będzie groziła również kara grzywny, kara ograniczenia wolności albo pozbawienia wolności do lat dwóch. Taka sama kara będzie grozić także za udaremnianie lub utrudnianie przeprowadzenia kontroli.

Kodeksy postępowania

Projekt ustawy odnosi się również do kodeksów postępowania, o których mowa w art. 40 RODO. Według założeń rozporządzenia, mają one pomagać  we właściwym stosowaniu przepisów RODO z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Każdy projekt kodeksu przed zatwierdzeniem przez PUODO będzie podlegał konsultacjom z zainteresowanymi podmiotami. Przestrzeganie zatwierdzonego kodeksu postępowania będzie monitorowany przez podmiot akredytowany przez PUODO.

Tryb zgłaszania naruszeń ochrony

Projekt nowej ustawy o ochronie danych osobowych stwarza możliwość stworzenia systemu teleinformatycznego, którego celem będzie umożliwienie administratorom dokonywanie zgłoszenia naruszenia ochrony danych osobowych. Prowadzenie systemu w razie jego utworzenia będzie powierzone PUODO. Obowiązek zgłaszania naruszeń wynika z art. 33 RODO. Administrator danych osobowych jest obowiązany do dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia, jego skutków oraz podjętych działań zaradczych.

Projekt po uchwaleniu zapewni skuteczne stosowanie przepisów RODO, które nakłada na przedsiębiorców szereg obowiązków związanych z ochroną danych osobowych. Dużym ułatwieniem będzie  stworzenie systemu teleinformatycznego, za pomocą którego będzie możliwe zgłaszanie naruszeń ochrony danych. Nowelizacja ma na celu dostosowanie polskiego prawodawstwa do unijnych standardów. W projekcie zmienione zostały postanowienia dotychczas obowiązującej ustawy o ochronie danych osobowych, które są sprzeczne z unijnym rozporządzeniem, a także uaktualniono i dodano niezbędne regulacje.

 

Źródło:

Projekt ustawy o ochronie danych osobowych (: http://www.sejm.gov.pl/sejm8.nsf/druk.xsp?nr=2410😉

Ministerstwo Cyfryzacji (https://www.gov.pl/cyfryzacja/dane-osobowe-obywateli-beda-lepiej-chronione; https://www.gov.pl/cyfryzacja/nowe-prawo-ochrony-danych-osobowych😉