RODO

Numer rejestracyjny samochodu jako dana osobowa – najnowsze orzeczenie NSA

cropped-logo-1.png
www.rybarczyk-kancelaria.pl

Kilka dniu, 28 czerwca 2019 r., temu Naczelny Sąd Administracyjny wydał orzeczenie, w którym stwierdził, że numery rejestracyjne samochodów wpisywane do parkometrów nie są danymi osobowymi.

Sprawa dotyczyła uchwały Rady Miasta Warszawy co do ustalenia strefy płatnego parkowania. Uchwałę zaskarżył jeden z mieszkańców Warszawy, twierdząc, że uchwała narusza jego prywatność i jest niezgodna z ówcześnie obowiązującą ustawą o ochronie danych osobowych. Podawane w parkometrze numery rejestracyjne są przetwarzanie w systemie, który obsługuje strefę płatnego parkowania. System nadzorowany jest przez Zarząd Dróg Miejskich. Problem wyniknął z tego, że podawanie numerów rejestracyjnych miało powstrzymać „handel” biletami parkingowymi. Zindywidualizowanie danego biletu i przechowywanie danych z biletu w systemie miało zapobiegać handlowi biletami.

Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że numery rejestracyjne stanowią dane osobowe, a zatem ich przetwarzanie musi opierać się na konkretnych podstawach przetwarzania, jednak ustawa o drogach publicznych nie zawiera takiego przepisu.

Finalnie sprawa trafiła do NSA, który – przeciwnie niż WSA w Warszawie – stwierdził, że numery rejestracyjne nie stanowią danych osobowych. Orzeczenie wydaje się mieć niebagatelne znaczenie dla samorządów (w szczególności w zakresie kosztów dostosowywania parkometrów do wymagań RODO), a także podejścia do ochrony danych osobowych.

Z jednej strony pojawia się argumentacja (przedstawiona przez Miasto Warszawa), że numery rejestracyjne samochodu są powiązane z samym autem, a nie właścicielem. W końcu danym samochodem wcale nie musi jeździć właściciel, a opłatę za parkowanie może wnieść inna osoba np. użytkownik czy najemca samochodu. Na podstawie samych numerów rejestracyjnych podanych w parkometrze nie można stwierdzić, kto zaparkował samochód. Z drugiej strony część środowiska prawniczego (np. Pan dr Paweł Litwiński) nie zgadza się z orzeczeniem NSA, wskazując, że status numerów rejestracyjnych auta jest podobny do statusu adresu IP, który – zgodnie z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej – stanowi danę osobową. Skoro ten status jest podobny, to dlaczego numery rejestracyjne mają być traktowane w inny sposób?

Główna 1
www.rybarczyk-kancelaria.pl

Nasz komentarz

W ocenie naszej Kancelarii orzeczenie NSA wydaje się błędne. Dane osobowe powinny dawać przynajmniej możliwość ustalenia na ich podstawie tożsamości osoby fizycznej. W końcu samochód jest rejestrowany na daną osobę (lub osoby). Numer rejestracyjny zatem pozwala zidentyfikować konkretną osobę fizyczną, a skoro tak, to spełnia definicję danej osobowej z RODO. Kolejnym argumentem jest obecna tendencja do coraz szerszej ochrony danych osobowych. Innymi słowy – obecnie nie zawęża się zakresu przedmiotowego pojęcia danych osobowych, a wręcz przeciwnie – rozszerza się je. Orzeczenie NSA jest przeciwne tej tendencji i może osłabić dbałość o ochronę danych osobowych w Polsce.

Reklamy
Prawo gospodarcze, RODO

Jak wdrożyć RODO w firmie? 10 kroków

Wdrożenie RODO to dla wielu przedsiębiorców swoista „droga przez mękę”. Nowe przepisy dotyczące danych osobowych zmieniają podejście odnośnie przetwarzania oraz ochrony tych danych i nakładają na administratorów szereg niejednokrotnie uciążliwych obowiązków. Kary za nieprzestrzeganie przepisów RODO są niebotyczne, a więc przed 25 maja 2018 r. każdy przedsiębiorca dwoił się i troił, aby sprostać wymaganiom unijnego rozporządzenia. Jeśli jednak jeszcze nie do końca zainteresowało Cię RODO albo chcesz ulepszyć i kontynuować dotychczasowy proces wdrożeniowy, ten artykuł jest właśnie dla Ciebie! Oto 10 kroków wdrożenia RODO przygotowanych przez naszą kancelarię.

  1. Zlokalizuj przetwarzane dane osobowe

logoW celu podjęcia jakichkolwiek kroków odnośnie wdrożenia RODO lub poprawy procedury wdrożeniowej, należy dokładnie zbadać, gdzie są zlokalizowane dane osobowe w naszym przedsiębiorstwie. Czasami nawet nie zastanawiamy się nad tym, że dane osobowe mogą być dosłownie wszędzie. Przecież dziennie wysyłamy od kilku do kilkunastu maili do różnych osób, a wiele z adresów mailowych odbiorców naszych wiadomości składa się z imion i nazwisk. Podpisujemy umowy, zatrudniamy pracowników, prowadzimy bazy klientów i kontrahentów, rozmawiamy z potencjalnymi partnerami biznesowymi, wysyłamy oferty. Te wszystkie czynności praktycznie zawsze są ściśle związane z danymi osobowymi. Zastanówmy się zatem, jakie dane osobowe są przetwarzane w naszej firmie, gdzie się one znajdują, a także czy przetwarzamy je legalnie oraz czy nie przetwarzamy ich „ponad miarę” – jednym słowem – zanim wdrożymy RODO, musimy choć trochę poznać podstawy nowych zasad przetwarzania danych osobowych, a zatem jednocześnie realizując punkt 1, choć wstępnie popracować nad punktem 2.

Jeżeli wdrożyliśmy już w sposób podstawowy reguły prawne stosowania RODO, nie zapominajmy, aby nadal kontrolować przepływ danych w naszej firmie. Oczywiście nie chodzi o ciągły nadzór, który sparaliżuje funkcjonowanie naszego biznesu i pochłonie nas bez reszty. Należy stale przyglądać się, w jaki sposób obchodzimy się z danymi, a także pilnować, aby nasz personel również był świadomy, że dane osobowe są przedmiotem ochrony.

  1. Zdobądź wiedzę i podnieś świadomość

Nie da się stosować RODO bez wiedzy i świadomości. W poprzednim stanie prawnym, ochrona danych osobowych była traktowana nieco po macoszemu. Obecnie, w szczególności z uwagi na wysokie kary za przetwarzanie danych osobowych niezgodnie z RODO, każdy administrator niejako został zmuszony do podniesienia swojej  świadomości odnośnie przepisów regulujących prawo danych osobowych.

Wiedza i świadomość to podstawa wdrożenia i stosowania RODO. Nawet najdokładniej sporządzona dokumentacja i najlepsza polityka ochrony danych osobowych nic nie da, jeżeli administrator nie posiada odpowiedniej wiedzy odnośnie danych osobowych. Nowe przepisy dotyczące danych osobowych wymuszają podniesienie swojej świadomości. Trzeba wiedzieć, w jaki sposób trzeba zachować się w danej sytuacji, jak odpowiadać na żądania osób, których dane są przetwarzane, jak działać w przypadku wystąpienia incydentów związanych z danymi osobowymi. Bez tej wiedzy, nie ma sensu zabierać się za wdrażanie RODO czy też ulepszanie naszej dotychczasowej dokumentacji.

  1. Zleć przeprowadzenie audytu

Audyt jest niezbędny w celu ustalenia, jakie rozwiązania z dotychczas przez nas stosowanych są prawidłowe, a jakie wymagają poprawy lub ulepszeń. Co do zasady audyt składa się z dwóch części: audytu właściwego i wniosków (zaleceń) po audycie właściwym. Najpierw audytor powinien przeprowadzić dokładny wywiad z administratorem danych osobowych lub jego przedstawicielami. Niejednokrotnie rozmowa powinna odbyć się również z personelem administratora. Audyt powinien obejmować między innymi kontrolę przepływu danych osobowych w przedsiębiorstwie, stosowanej dokumentacji i rozwiązań, ocenę ryzyka w przetwarzaniu danych osobowych oraz dopasowanie treści dokumentacji.

Audyt jest podstawą do wdrożenia dokumentacji i procedur działania. Wyniki audytu powinny być podstawą do zmiany podejścia odnośnie przetwarzania danych osobowych, udoskonalania dotychczas wprowadzonych rozwiązań oraz podniesienia świadomości. Jeżeli audytor zajmuje się jednocześnie wdrożeniem reguł stosowania RODO w naszej firmie, wyniki audytu będą dla niego podstawą do stworzenia dokumentacji, opracowania wzorów odpowiednich rejestrów, a finalnie – przeprowadzenia szkolenia dotyczącego ochrony danych osobowych.

Audytu nigdy nie należy traktować jako „zło konieczne” – nie ma on na celu jedynie proste wytknięcie naszych błędów, ale stanowi podstawę do zastosowania lepszych i skuteczniejszych rozwiązań.

  1. Oceń ryzyko

Ochrona danych osobowych opiera się na ciągłej ocenie ryzyka. Zadaniem administratora w toku przetwarzania danych osobowych jest ocena czy operacje, jakie są wykonywane na danych osobowych nie stwarzają zbyt dużego ryzyka naruszenia praw osób. RODO wprowadza bezwzględny obowiązek oceny ryzyka dla pewnej grupy podmiotów, jednak najlepiej, aby każdy administrator dokonywał regularnej oceny ryzyka. Jeżeli ryzyko jest zbyt duże, należy podjąć szybkie lub wręcz natychmiastowe działania zmierzające do obniżenia poziomu ryzyka.

Ocena ryzyka i jego obniżanie to niejednokrotnie bardzo skomplikowana i trudna do uchwycenia procedura, w którą zaangażowany powinien być cały zespół firmy oraz podmioty zewnętrzne, które pomagają administratorowi w stosowaniu RODO. Przepisy nie przewidują żadnych gotowych rozwiązań pozwalających na ocenę ryzyka, a jedynie nakładają na administratorów danych osobowych ogólne obowiązki, które muszą zostać skonkretyzowane w każdym indywidualnym przypadku. Taka konstrukcja RODO niejednokrotnie wprowadza kłopoty zarówno w stosowaniu przepisów, jak też i przygotowaniu konkretnych rozwiązań. Nie należy również zapominać, że ocena ryzyka jest procesem ciągłym, który powinien towarzyszyć funkcjonowaniu naszego przedsiębiorstwa praktycznie każdego dnia.

  1. Zdecyduj czy musisz prowadzić stosowny rejestr oraz czy musisz powołać Inspektora Ochrony Danych

Główna 1Prowadzenie rejestru czynności przetwarzania danych osobowych oraz powołanie Inspektora Ochrony Danych Osobowych (IODa) to kolejny obowiązek, który RODO nakłada na wielu administratorów danych. Jednak nie każdy administrator musi bezwzględnie sprostać tym obowiązkom. RODO określa, kiedy zawsze należy prowadzić stosowny rejestr oraz kiedy powołanie IODa jest obligatoryjne. Jednocześnie prowadzenie rejestru czynności przetwarzania danych osobowych zaleca się dla każdego administratora, ponieważ pozwala on na kontrolę przepływu danych osobowych w naszym przedsiębiorstwie. Wdrożenie RODO musi wiązać się z oceną czy dany administrator musi prowadzić rejestr oraz czy musi powołać IODa – taka ocena jest niezbędna, gdyż obowiązek jej przeprowadzenia wprost nakłada samo RODO.

  1. Wprowadź lub zaktualizuj dokumentację

Przygotowanie lub zaktualizowanie dokumentacji odnośnie przetwarzania danych osobowych pozwala zrealizować zasadę rozliczalności według RODO. To na administratorze spoczywa obowiązek wykazania, że przetwarza dane osobowe zgodnie z regułami RODO. Jest to bardzo istotny i restrykcyjny obowiązek, dlatego (choć RODO wprost tego nie nakazuje) wszelkie czynności związane z przetwarzaniem danych, jakie mają wpływ na prawa osób, których dane dotyczą, powinny być udokumentowane. Najważniejszymi dokumentami wdrożeniowymi RODO jest polityka ochrony danych osobowych oraz klauzula informacyjna. W szczególności bardzo istotne jest przygotowanie szczegółowej i spełniającej wszystkie wymogi RODO klauzuli informacyjnej i udostępnienie jej wszystkim osobom, których dane są lub mogą być przez nas przetwarzane. Administrator musi bardzo ściśle przestrzegać obowiązku informacyjnego względem osób, których dane przetwarza. Klauzula informacyjna powinna być prosta i zrozumiała. Należy pamiętać, że w zależności od tego, jakie przedsiębiorstwo prowadzimy, czasami będziemy musieli stosować kilka klauzul informacyjnych np. jedną w stosunku do kontrahentów a inną w stosunku do pracowników i kandydatów do pracy. Dlatego bardzo ważne jest, aby nasza dokumentacja była starannie przygotowana, szczegółowa i stale aktualizowana. Z uwagi na tworzącą się praktykę stosowania RODO, nie sposób przygotować dokumentacji, która będzie stała i niezmienna. Z pewnością raz na jakiś czas trzeba będzie dokonać przeglądu dokumentacji oraz przeprowadzić audyt jej stosowania przy uwzględnieniu najnowszej praktyki stosowania przepisów oraz stanowiska przedstawicieli literatury przedmiotu.

  1. Opracuj i wprowadź reguły postępowania z danymi

Sama dokumentacja nie ochroni administratora, jeżeli ten nie będzie się do niej stosował. Polityka ochrony danych oraz wszelkie wewnętrzne regulaminy dotyczące bezpieczeństwa danych powinny zawierać stosowne procedury i wewnętrzne regulacje, które wprowadzane są po to, aby je skrupulatnie stosować. Dokumentacja pełni przede wszystkim dwie funkcje: pozwala rozliczyć się z wdrożenia RODO oraz określa sposób, w jaki RODO należy stosować.

Jeżeli ustalono w naszym przedsiębiorstwie jakąś procedurę np. odnośnie reagowania na incydenty związane z przetwarzaniem danych osobowych lub odpowiedziami na żądania osób, których dane dotyczą, to należy ściśle trzymać się tych procedur, aby nie narazić się na zarzut łamania praw osób. Stosowanie odpowiednich reguł oraz procedur wymaga zarówno przygotowania i aktualizowania dokumentacji, jak i stałego podnoszenia swojej świadomości i wiedzy odnośnie danych osobowych. Być może tak wiele obowiązków to za dużo dla przeciętnego przedsiębiorcy, który przecież przede wszystkim zajmuje się prowadzeniem i rozwijaniem swojego biznesu, jednak RODO jest pod tym względem bardzo restrykcyjne i zmusza nas do wprowadzenia i stosowania się do nowych reguł pod groźbą wysokich kar pieniężnych.

  1. Przeszkol personel

Wiedza i świadomość odnośnie ochrony danych osobowych nie powinny być tylko domeną administratora, ale również jego personelu. Pracownicy i zleceniobiorcy powinni być dokładnie przeszkoleni z nowych zasad przetwarzania oraz ochrony danych osobowych. W końcu nie jesteśmy w stanie stale nadzorować swojego personelu w zakresie ochrony danych osobowych. To pracownicy oraz zleceniobiorcy powinni mieć wiedzę i znać procedury odnośnie danych osobowych w przedsiębiorstwie, w którym pracują.

Szkolenia powinny przeprowadzać osoby, które mają wiedzę i doświadczenie w zakresie przetwarzania danych osobowych oraz RODO. Wiele firm szkoleniowych oraz kancelarii w ramach wdrożenia RODO przeprowadza szkolenia dla administratorów oraz ich personelu. Przeprowadzenie takiego szkolenia powinno być udokumentowane, a samo szkolenie powtarzane np. raz w roku.

Nie można również zapominać o stworzeniu odpowiedniej dokumentacji dla naszego personelu, w tym klauzul umownych oraz stosownych upoważnień do przetwarzania danych osobowych w imieniu oraz na polecenie administratora.

  1. Kontynuuj wdrażanie RODO i ocenę ryzyka

Wdrażanie RODO to proces ciągły. Oczywiście można przygotować jednorazowo wdrożenie reguł stosowania RODO, jednak należy cały czas kontrolować wprowadzone reguły i procedury. Jeszcze raz trzeba przypomnieć, że RODO jest aktem bardzo ogólnym, a praktyka jego stosowania dopiero się tworzy. Dlatego trzeba mieć się na baczności i aktualizować swoją dokumentację, wiedzę oraz ulepszać i uszczelniać swoje procedury.

Nawet najlepsze wdrożenie reguł stosowania RODO nie gwarantuje, że administrator zostaje zwolniony z odpowiedzialności. Właśnie ten ciężar odpowiedzialności odnośnie stosowania RODO powinien być najlepszym motywatorem odnośnie ciągłego ulepszania wprowadzonych procedur. Niezwykle istotnym elementem jest ciągła i regularna ocena ryzyka odnośnie przetwarzanych danych osobowych. Rozpoczęcie realizacji każdego nowego projektu powinno być poprzedzone oceną ryzyka. Jeżeli ryzyko naruszenia praw i wolności osób, których dane dotyczą, jest zbyt wysokie, należy podjąć niezwłoczne działania w celu obniżenia poziomu ryzyka.

  1. Śledź zmiany, interpretacje i dokonuj poprawek

Ciągłość procesu wdrażania i stosowania RODO wymusza na nas stałe zwiększanie swojej wiedzy odnośnie regulacji dotyczących przetwarzania oraz ochrony danych osobowych. Śledzenie wszelkich zmian w prawie krajowym i unijnym, szkolenia, lektura opracowań fachowych, regularne zapoznawanie się z nowymi interpretacjami przepisów prawa – powinny stanowić działania stale towarzyszące naszej działalności. Bez ciągłego pozostawania „na bieżąco” wypadniemy z obiegu w zakresie aktualnych nowinek dotyczących RODO, a tym samym zwiększymy ryzyko naruszenia przez nas przepisów prawa.

Podsumowanie

Wdrożenie i stosowanie RODO nie jest łatwe. RODO to akt prawny bardzo ogólny, a jednocześnie restrykcyjny i bezwzględny. Nowe przepisy dotyczące ochrony danych osobowych z jednej strony mają zapewnić lepsze poszanowanie ochrony praw i wolności jednostek, ale z drugiej strony nakładają na przedsiębiorców sporo obowiązków i obciążeń. Dlatego warto zgłębiać fachową wiedzę odnośnie przetwarzania danych osobowych lub skorzystać z pomocy profesjonalisty, który pozwoli uporządkować funkcjonowanie naszej firmy w zgodzie z RODO.

Kancelaria Radców Prawnych Ewa Rybarczyk Daniel Rybarczyk S.C. w Kaliszu specjalizuje się między innymi w prawie ochrony danych osobowych oraz we wdrażaniu stosowania RODO. Jeżeli RODO Cię przerasta i potrzebujesz pomocy w zakresie danych osobowych, skontaktuj się z nami (zakładka „Kontakt”).

cropped-logo_-blog.jpg

Prawo gospodarcze, RODO

Z kim należy zawrzeć umowę powierzenia przetwarzania danych osobowych?

Umowa powierzenia przetwarzania danych osobowych jest jednym z najważniejszych elementów wdrożeniowych w zakresie RODO. Należy jednak wiedzieć, z jakimi podmiotami administrator powinien ją zawrzeć.

W art. 4 pkt 8) RODO czytamy, że pojęcie „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Chodzi zatem o taki podmiot, który przetwarza dane w imieniu i na rzecz administratora, w ramach obranych przez administratora celów oraz sposobami, o których administrator zdecydował. Należy więc rozstrzygnąć, w jakim stopniu dany podmiot jest samodzielny w przetwarzaniu danych osobowych i czy przetwarza dane osobowe na czyjąś rzecz.

Najczęściej podmiotami przetwarzającymi będzie tzw. „obsługa zewnętrzna” przedsiębiorcy, a zatem biuro księgowe, zewnętrze biuro kadrowe, obsługująca kancelaria prawna (choć tutaj pojawiają się również inne poglądy), firma świadcząca usługi informatyczne, dostawca poczty internetowej, dostawca hostingu. Mogą być to także inne podmioty, które będą przetwarzać dane w imieniu i na rzecz administratora, a zatem nie można wykluczyć również innych przypadków. Każdą relację należy oceniać indywidualne, a w szczególności należy dokonać analizy powiązań biznesowych i prawnych między administratorem a jego kontrahentami.

Zawarcie umowy powierzenia przetwarzania nie musi zostać dokonane w formie pisemnej, jednak z uwagi na zasadę rozliczalności rządzącą RODO, zdecydowanie zaleca się zawieranie tego typu umów na piśmie.

cropped-logo_-blog.jpg

Prawo gospodarcze, RODO

Czy Inspektor Ochrony Danych zwalnia administratora od odpowiedzialności?

Wśród wielu administratorów danych osobowych, którzy mają swoich Inspektorów Ochrony Danych, pojawia się dziwne przekonanie, że sama obecność IODa załatwia całą sprawę wdrożenia i stosowania RODO, a zatem zwalnia administratora od odpowiedzialności. Takie myślenie jest jednak bardzo szkodliwe i świadczy o słabej, a wręcz nikłej świadomości odnośnie istoty i stosowania przepisów RODO.

Otóż IOD nie ponosi odpowiedzialności za przestrzeganie przepisów RODO przez administratora oraz za zgodność przetwarzania danych osobowych z przepisami. Zadaniem Inspektora jest między innymi monitorowanie przestrzegania przepisów RODO u administratora oraz informowanie administratora o obowiązkach spoczywających na administratorze w związku z przetwarzaniem danych osobowych. Nie oznacza to jednocześnie cesji jakiejkolwiek odpowiedzialności z administratora na Inspektora. Taka cesja nie wynika z jakiegokolwiek przepisu RODO. Odpowiedzialność za przetwarzanie danych osobowych zgodnie z prawem ponosi zawsze administrator. Inspektor może ponosić wobec administratora jedynie odpowiedzialność kontraktową w ramach wiążącej administratora i Inspektora umowy, co w żaden sposób nie oznacza zwolnienia administratora od przestrzegania RODO.

Dlatego tak bardzo ważne jest ciągłe podnoszenie świadomości w zakresie przestrzegania i stosowania przepisów RODO wśród wszystkich administratorów danych osobowych. Jedynie posiadanie odpowiedniej wiedzy i świadomość zasad przetwarzania danych osobowych może zwiększyć szanse na zapewnienie sobie odpowiedniej ochrony na wypadek, gdyby kontrola z ramienia Prezesa Urzędu Ochrony Danych Osobowych zapukała do naszych drzwi.

cropped-logo_-blog.jpg

Prawo administracyjne, RODO

Co zmienia RODO? – zasada rozliczalności

logo
www.rybarczyk-kancelaria.pl

RODO czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zaczęło funkcjonować 25 maja 2018 r. i spowodowało największą lawinę paniki prawnej od wielu lat. Skąd to larum? RODO zmienia bowiem całkowicie podejście do systemu ochrony danych osobowych oraz wprowadza drakońskie kary za nieprzestrzeganie przepisów.

RODO wprowadza tzw. zasadę rozliczalności. Oznacza to, że na administratorze danych spoczywa obowiązek każdorazowego wykazania, że przetwarza dane zgodnie z RODO. Czy można przerzucić na kogoś tę odpowiedzialność? Odpowiedź brzmi: NIE. To administrator jest wystawiony na największe i w zasadzie jedyne ryzyko. To właśnie w stosunku do administratora RODO wprowadza domniemanie winy – jednym słowem: wykaż, że przetwarzasz dane zgodnie z RODO, a jeśli ci się to nie uda, to jesteś winny. Tu nie ma miejsca na zasadę domniemania niewinności znaną z postępowania karnego.

Jednak jeśli wina, to musi być kara. W tym miejscu pojawia się to, co budzi największy niepokój – wysokość kar. RODO wprowadza m.in. administracyjne kary pieniężne za przetwarzanie danych osobowych niezgodnie z prawem. Rozporządzenie precyzuje, że wśród administracyjnych kar pieniężnych występują kary pieniężne w wysokości aż do 10 000 000 euro, a w przypadku przedsiębiorstwa w wysokości 2 % jego całkowitego, rocznego światowego obrotu z poprzedniego roku obrotowego przy czym zastosowanie ma kwota wyższa. Jednakże za nieprzestrzeganie niektórych, szczególnie istotnych przepisów RODO kary mogą być dwukrotnie wyższe  (w wysokości do 20 000 000 mln euro, a w przypadku przedsiębiorstwa w wysokości 4 % jego całkowitego, rocznego światowego obrotu z poprzedniego roku obrotowego przy czym zastosowanie ma kwota wyższa).

Jak widać, RODO nie jest aktem prawnym, który dotyczy tylko nielicznych – każdy, kto przetwarza dane osobowe do dnia 25 maja 2018 r. musiał wdrożyć RODO. Obecnie pozostaje czekać na wytworzenie się praktyki stosowania nowych przepisów, która może pomóc przy udoskonalaniu dotychczas przyjętych zasad i reguł postępowania przy przetwarzaniu danych.

Jeśli masz pytania odnośnie RODO lub chcesz ulepszyć system ochrony danych osobowych w Twoim przedsiębiorstwie, zapraszamy do kontaktu z Kancelarią.

Daniel Rybarczyk

logo_ blog