- Reklama -
niedziela, 24 listopada 2024
- Reklama -
Więcej
    Strona głównaInneKontrole GIODO i PIP w zakresie przetwarzania danych osobowych w 2014 roku

    Kontrole GIODO i PIP w zakresie przetwarzania danych osobowych w 2014 roku

    Podczas kontroli przeprowadzanych przez PIP w zakresie prawidłowości przetwarzania danych osobowych, urzędnicy mogą dostrzec nieprawidłowości, które skłonią ich do przekazania uchybień do GIODO, które z kolei może nałożyć na podmiot wysokie kary grzywien przymuszających od 10.000 do 50.000 zł za każde uchybienie w związku z niewykonaniem decyzji administracyjnych.


    KTO PODLEGA OBOWIĄZKOWI PROWADZENIA DOKUMENTACJI PRZETWARZANIA DANYCH?

    Zgodnie z art 36 ust. 2 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, każdy przedsiębiorca lub jednostka organizacyjna przetwarzająca dane osobowe (np. dane pracowników, Klientów, osób stowarzyszonych, uczniów) ma obowiązek opracowania dokumentacji systemu zarządzania bezpieczeństwem danych osobowych.

    Obowiązek wdrożenia dokumentacji spoczywa bezpośrednio na właścicielach firm lub dyrekcji jednostki organizacyjnej (np. w szkole administratorem danych jest Dyrektor Szkoły, w spółkach oraz spółdzielniach Zarząd itp.).

    KARY ZA BRAK DOKUMENTACJI

    Brak dokumentacji w przypadku przetwarzania danych (np. danych pracowników czy Klientów) jest naruszeniem przepisów ustawy i może wiązać się z nałożeniem grzywny w wysokości od 10.000 do 50.000 zł za każde uchybienie za niewykonanie decyzji lub nawet karą pozbawienia wolności do lat 2 (zgodnie z artykułem 49 ust. 1 ustawy o ochronie danych osobowych).

    Od dnia 7 marca 2011 r. zgodnie ze znowelizowanym art. 12 pkt 3 ustawy o ochronie danych osobowych, GIODO może nakładać na podmioty, które nie wykonują jego decyzji administracyjnych, grzywny w celu przymuszenia. Grzywny egzekwowane są w trybie ustawy o postępowaniu egzekucyjnym w administracji.

    Zgodnie z art. 121 ustawy o postępowaniu egzekucyjnym w administracji, wysokość grzywy wynosi:

    • dla osób prawnych do 50 000 zł za każde uchybienie, ale nie więcej niż 200 000 zł w jednym postępowaniu egzekucyjnym
    • dla osób fizycznych do 10 000 zł za każde uchybienie, ale nie więcej niż 50 000 zł w jednym postępowaniu egzekucyjnym art. 12 ustawy o ochronie danych osobowych

    Należy pamiętać, że dane osobowe to nie tylko imię i nazwisko, numer pesel pracownika czy klienta. Pod tym szeroko rozumianym przez ustawę pojęciem należy rozumieć także adres e-mail czy numer telefonu i inne dane pozwalające powiązać je z konkretną osobą.

    Administrator danych osobowych powinien zwrócić szczególną uwagę na to czy prawidłowo przechowuje oraz przetwarza dane osobowe. Szczególną kategorię danych osobowych stanowią dane wrażliwe, takie dane to m.in. dane pacjentów placówek medycznych. Spora ilość danych podlega zgłoszeniu do rejestru GIODO.

    W ramach kontroli inspektorzy zwracają szczególną uwagę na wdrożenie wewnętrznych procedur związanych z przetwarzaniem danych osobowych, w tym posiadanie w wersji pisemnej dokumentacji przetwarzania danych osobowych, dokumentów Polityki Bezpieczeństwa oraz Instrukcję Zarządzania Systemem Informatycznym oraz stosowne wykazy ewidencyjne i oświadczenia – cała struktura dokumentacji musi spełnić wymogi rozporządzenia do artykułu 39a ustawy o ochronie danych osobowych.

    Za nie wdrożenie dokumentacji i inne uchybienia grożą kary od 10.000 do 50.000 złotych w związku z niewykonaniem decyzji administracyjnych.

    Kontrolerzy sprawdzą także czy przetwarzanie danych osobowych przebiega zgodnie z prawem, a w szczególności zgodnie z art. 23 ustawy o ochronie danych osobowych, czyli zbadają podstawę prawną w oparciu o którą przetwarzane są dane osobowe. Są to na przykład wypełnianie przez kontrolowany podmiot obowiązków informacyjnych wobec osób, których dane są przetwarzane ( poinformowanie tych osób o celu przetwarzania danych, o prawie dostępu do ich treści i dokonywania zmian, o dobrowolności wyrażenia zgody na przetwarzanie).

    Ważne jest określenie zakresu zabezpieczenia przetwarzanych danych, co wynika bezpośrednio z wdrożenia wewnętrznych procedur opisanych w dokumentacji.

    Wykrycie nieprawidłowości w przetwarzaniu danych osobowych przez GIODO lub PIP, może skutkować nakazem zaprzestania przetwarzania danych osobowych, grzywną lub karą pozbawienia wolności do lat 2.

    KTO MA OBOWIĄZEK REJESTRACJI ZBIORU W GIODO?

    Obowiązkowi rejestracji zbiorów danych w GIODO podlegają firmy przetwarzające dane niewymienione w liście zbiorów zwolnionych z obowiązku rejestracji w Art. 43 ust. 1 ustawy o ochronie danych osobowych. W zawartej instrukcji znajdą Państwo precyzyjne informacje do stwierdzenia obowiązku rejestracji danego zbioru danych w GIODO.

    UWAGA! Działalność podlegająca obowiązkowi rejestracji, wykonywana bez zgłoszenia zbioru danych osobowych w GIODO podlega karze, jeśli doszło wcześniej do kontroli i wydania decyzji administracyjnej. W art. 53 ustawy znajdziemy zapis:, „Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

    ZBIORY DANYCH, KTÓRE NALEŻY ZGŁOSIĆ DO GIODO TO NP.:

    • baza Klientów
    • bazy Newsletter
    • bazy konkursowe
    • rejestry korespondencji (szkół, firm , jednostek organizacyjnych – np. ok 1000 szkół zgłosiło rejestry korespondencji do GIODO)
    • rejestry wysyłkowe towarów
    • rejestry reklamacji
    • beneficjenci działań stowarzyszenia/klubu
    • zbiory danych darczyńców
    • rejestry uczniów, którzy wypełniają obowiązek szkolny poza daną szkołą
    • uczestnicy konkursów międzyszkolnych
    • zbiór danych osobowych czytelników czytelni
    • listy akcjonariuszy (jeśli są tam osoby fizyczne)
    • księgi gości, księgi meldunkowe
    • rezerwacje imienne usług

    wszelkie inne dane osobowe, które nie podlegają zwolnieniu (lista zbiorów zwolnionych z rejestracji poniżej)

    ZBIORY DANYCH, KTÓRE NIE PODLEGAJĄ ZGŁOSZENIU DO GIODO
    (określone zostały w art. 43 ust. 1 ustawy o ochronie danych osobowych):

    • dane pracowników
    • rejestry osób uczących się
    • rejestry podań o prace
    • dane dotyczące osób korzystających z usług medycznych
    • dane biur rachunkowych
    • wyłącznie w celu wystawienia faktury lub sprawozdawczości finansowej 

    Źródło:
    Wszelkie Prawa zastrzeżone
    RBDO.PL – Rejestracja Baz Danych Osobowych

    POWIĄZANE ARTYKUŁY
    - Reklama -

    NAJPOPULARNIEJSZE