2T_dzial_goso_Biesiadecka_pn
Temat: Ochrona danych osobowych i konsekwencje jej nieprzestrzegania.
Proszę o zapoznanie się z tematyką, przepisanie notatki i odesłanie jej na adres: mbiesiadecka@wp.pl do 24 kwietnia. Pozdrawiam MB
Na gruncie RODO pojęcie „naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem:
Zniszczenia danych osobowych,
Utracenia danych osobowych,
Zmodyfikowania danych osobowych,
nieuprawnionego ujawnienia danych osobowych lub
nieuprawnionego dostępu do danych osobowych
przesyłanych, przechowywanych lub w inny sposób przetwarzanych. W związku z tym z naruszeniem ochrony danych będziemy mieli nawet w przypadku, kiedy np. wskutek niezawinionego przez nikogo pożaru dojdzie do zniszczenia twardego dysku komputera, na którym zapisane były dane osobowe pracowników czy klientów administratora.
Skutki naruszenia ochrony
Jeżeli dojdzie do naruszenia ochrony danych osobowych, a ze strony administratora brak będzie odpowiedniej i szybkiej reakcji, mogą nastąpić różnego rodzaju, niepożądane konsekwencje, zwłaszcza powstanie uszczerbku fizycznego czy szkód majątkowych lub niemajątkowych
u osób fizycznych, takich jak:
utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw,
dyskryminacja,
kradzież lub sfałszowanie tożsamości,
strata finansowa,
nieuprawnione odwrócenie pseudonimizacji,
naruszenie dobrego imienia,
naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub
inne znaczne szkody gospodarcze lub społeczne.
RODO wyszczególnia dwa stopnie kar. Pierwszy – zakłada przyznanie grzywny w wysokości do 10 milionów euro lub 2% rocznego obrotu przedsiębiorstwa. Uchybienia, za które
nakładany jest ten pułap kary, to na przykład:
przetwarzanie danych osobowych osób nieletnich bez zgody ich rodziców lub opiekunów (art. 8);
nieprzestrzeganie zasady privacy by design, czyli takiego planowania procesów przetwarzania danych osobowych, aby od początku zapewniały one ich
bezpieczeństwo i poufność (art. 25);
brak rejestru czynności przetwarzania, zawierającego informacje takie jak dane administratora danych, cel przetwarzania, techniczne i organizacyjne środki bezpieczeństwa i inne (art. 30);
zaniedbanie bezpieczeństwa przetwarzania danych osobowych (art. 32);
niezgłoszenie naruszeń organowi nadzorczemu lub niepowiadomienie osoby, której dane dotyczą (art. 33 i 34);
brak wyznaczenia inspektora ochrony danych — jeśli jest taka konieczność (art. 37).
Drugi próg kar – do 20 milionów euro lub 4% rocznego obrotu firmy – przyznawany jest za dopuszczenie się poniższych naruszeń:
nieprzestrzeganie podstawowych zasad przetwarzania danych osobowych (art. 5);
brak podstawy prawnej pozwalającej na gromadzenie i przetwarzanie danych osobowych (art. 6);
nieuzyskanie zgody od osoby na przetwarzanie jej danych lub uniemożliwienie jej wycofania w dowolnym momencie (art. 7);
przetwarzanie szczególnych kategorii danych osobowych — np. pochodzenie rasowe, etniczne, przekonania religijne, poglądy polityczne i pozostałe (art. 9);
ukrywanie informacji o celu przetwarzania danych, fakcie przekazywania ich innym podmiotom (art. 12);
niespełnienie obowiązku informacyjnego wobec osoby, której dane są przetwarzane (art. 13 do 15);
uniemożliwienie skorzystania z “prawa do bycia zapomnianym” — prawa do żądania usunięcia wszystkich przechowywanych przez administratora danych osobowych (art.
17);
naruszenia w zakresie przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych (rozdział V);
naruszenia w kwestii przetwarzania danych osobowych a swobody wypowiedzi, dostępu do dokumentów urzędowych, rekrutacji itp. (rozdział IX).