Ogólne rozporządzenie stwarza wiele sytuacji, w wyniku naruszenia których, można otrzymać karę nałożoną przez UODO sięgającą nawet 40 000 000 EURO lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Mogą to być przykładowo naruszenia związane z błędnym wdrożeniem RODO w firmie lub niewdrożeniem RODO wcale, co jeszcze się zdarza w przypadku niektórych działalności, które w dalszym ciągu twierdzą, że „ich RODO nie dotyczy”. Mogą to być także sytuacje związane z różnego rodzaju wyciekami danych lub uporczywym przetwarzaniem nadmiarowych danych.
Ale jakie naruszenia konkretnie mogą stwarzać dogodne warunki dla urzędników, którzy zechcą ukarać naszą firmę lub organizację za przewinienie w zakresie ochrony danych osobowych?
Postaramy się to wypunktować w celu jak najbardziej przejrzystego zaprezentowania zagadnienia. Dziś pierwsza część tego tematu, albowiem treść ogólnego rozporządzenia pokazuje, że naruszeń może być całe mnóstwo na różnych płaszczyznach, co stanowi bardzo szeroką tematykę.
Skupimy się zatem na kilku pierwszych artykułach RODO, których nieprzestrzeganie może zainicjować konkretne czynności ze strony UODO. A zatem mogą to być następujące naruszenia:
– naruszenie art. 5 RODO, czyli najważniejszych zasad RODO, jak na przykład zasada minimalizacji danych, zasada ograniczenia przechowywania, zasada rozliczalności – czyli przykładowo sytuacje związane z pozyskiwaniem nadmiarowych danych od kandydatów do pracy, brak możliwości wykazania, że nasza firma poczyniła odpowiednie kroki w celu wdrożenia RODO (np. brak szkoleń personelu z zasad ochrony danych, brak wdrożonych środków organizacyjnych i technicznych), czy przechowywanie danych, które powinny już zostać usunięte, gdyż cel ich przetwarzania dawno już minął etc.
– naruszenie art. 6 RODO, czyli nieprzestrzeganie zasad związanych z przetwarzaniem danych zwykłych, np. w związku z uzyskaną zgodą, w związku z wykonaniem umowy, czy spełnieniem obowiązku prawnego ciążącego na administratorze danych
– naruszenie art. 7 RODO, odnoszącego się do warunków wyrażenia zgody na przetwarzanie danych, na przykład brak po stronie administratora danych możliwości wykazania, że dane osoba fizyczna rzeczywiście wyraziła zgodę na przetwarzanie jej danych
– naruszenie art. 8 RODO, w warunkach wyrażenia zgody na przetwarzanie danych przez dziecko w przypadku usług społeczeństwa informacyjnego, gdzie chodzi o sytuację, w której dopuszczalne jest samodzielne wyrażenie zgody na przetwarzanie danych przez dziecko, które ukończyło 16 lat, jednakże z ograniczeniem do przypadku usług społeczeństwa informacyjnego bezpośrednio mu oferowanych. Poszczególne państwa członkowie mogą obniżyć ten wiek do 13 roku życia.
Co oznacza usługa społeczeństwa informacyjnego?
Jest to każda usługa świadczona za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. „Na odległość” oznacza to, że usługa świadczona jest bez równoczesnej obecności stron, Z kolei „świadczenie usługi drogą elektroniczną” oznacza, że usługa jest wysyłana i odbierana w miejscu przeznaczenia za pomocą sprzętu elektronicznego do przetwarzania oraz przechowywania danych.
– naruszenie art. 9 RODO, a zatem naruszenie zasad przetwarzania danych szczególnego rodzaju. Pod tym pojęciem kryje się nieprawidłowe, a zatem niezgodne z prawem, przetwarzanie danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej.
Omówienie kolejnych naruszeń mogących powodować nałożenie kar finansowych ukaże się już wkrótce w kolejnych postach. Bądźcie z nami!!