Czy należy dbać o ochronę danych osobowych prowadząc jednoosobową działalność gospodarczą?

Tak, przepisy RODO dotyczą przetwarzania danych osobowych osób fizycznych i obowiązują każdego przedsiębiorcę który prowadzi działalność gospodarczą na terenie UE. W konsekwencji regulacje te obligują więc zarówno osobowe spółki prawa handlowego lub kapitałowe jak i jednoosobowe działalności gospodarcze. Należy podkreślić że RODO dotyczy też osób którzy prowadzą działalność bez rejestracji!

Czy należy dbać o ochronę danych osobowych podczas rekrutacji pracowników?

Tak, proces rekrutacji pracowników zawsze wiąże się z pozyskiwaniem przez pracodawcę danych osobowych zawartych w takich dokumentach jak  CV, listy motywacyjne, zaświadczenia. Zakres danych kandydatów, o które pracodawca może się domagać wyznacza cel jaki stanowi zatrudnienie odpowiednio wykwalifikowanego pracownika na konkretne stanowisko. Żądanie przedstawienia przez kandydatów informacji wykraczających poza zakres wyznaczony przez wymagania stanowiska może stanowić naruszenia przepisów RODO jak i kodeksu pracy.

Jaką dokumentację należy wdrożyć aby skutecznie chronić dane osobowe w przedsiębiorstwie? 

Regulacje RODO dotyczące wymaganej dokumentacji dla przedsiębiorcy w sposób ogólny podkreślają o potrzebie wprowadzenia regulaminów, ewidencji czy klauzul, jednak nie precyzują dokładnie w jaki sposób należy je opracować i prowadzić.  Jedną ze wskazówek jest zasada sporządzania powyższej dokumentacji w zrozumiałym i prostym języku tak by informacje te były przystępne dla jak największej grupy odbiorców.  Administrator danych osobowych tworząc procedury ochrony danych powinien uwzględnić specyfikę branży, charakter firmy jak również jej rozmiar prowadzonej działalności. Przykładowymi aktami które powinny zostać uwzględnione w procesie ochrony danych są: polityka bezpieczeństwa danych osobowych, wykaz obszaru przetwarzania, wykaz przetwarzanych zbiorów danych osobowych, ewidencja zawartych umów powierzenia przetwarzania danych osobowych.

Jaka jest odpowiedzialność za nieuprawnione przetwarzanie danych osobowych?

Za niedochowanie obowiązku ochrony danych osobowych wynikających z RODO administratorowi danych grożą poważne konsekwencje. Pieniężne kary administracyjne to nie jedyny środek który może zostać zastosowany przeciwko osobie zaniedbującej swoje obowiązki, gdyż może to za sobą nieść również odpowiedzialność karną i cywilną. 

Jak wygląda odpowiedzialność administracyjna za naruszenie przepisów o ochronie danych osobowych?

Najczęściej spotykanym rodzajem odpowiedzialności za naruszenie przepisów rozporządzenia o ochronie danych osobowych  jest odpowiedzialność administracyjna. Krajowe organy nadzoru mogą bowiem nałożyć odpowiednio wysokie kary finansowe zależnie od skali i okoliczności każdego przypadku naruszenia.  Kary pieniężne nakładane są obok lub zamiast środków naprawczych. W RODO określone są maksymalne wysokości kar za poszczególne naruszenia, co oznacza, że sankcje nie mogą przekroczyć tych górnych granic:

  • do 10 mln euro, a w przypadku przedsiębiorstwa do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego,
  • do 20 mln euro, a w przypadku przedsiębiorstwa do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Europejskie organy regulacyjne nałożyły w 2021 roku niemal 1,1 mld euro kar z tytułu naruszeń Rozporządzenia o Ochronie Danych (RODO), co oznacza siedmiokrotny wzrost w porównaniu z rokiem wcześniej**(na podstawie raportu DLA Piper GDPR Fines and Data Breach Survey)

Jak wygląda odpowiedzialność cywilnoprawna za naruszenie przepisów o ochronie danych osobowych?

Osoba która poniosła szkodę majątkową lub niemajątkową w wyniku naruszania przepisów ochrony danych osobowych może ubiegać się w drodze cywilnoprawnej o odszkodowanie za poniesioną szkodę. Administrator bądź podmiot przetwarzający może ponieść odpowiedzialność gdy wystąpiły łącznie poniższe przesłanki:

  • Osoba, której dane dotyczą poniosła szkodę (majątkową lub niemajątkową),
  • Administrator lub podmiot przetwarzający  naruszył przepisy RODO,
  • Zaistniał związek pomiędzy szkodą a naruszeniem,
  • Wystąpienie winy w naruszeniu rozporządzenia o ochronie danych osobowych.

Jak wygląda odpowiedzialność karna za za naruszenie przepisów o ochronie danych osobowych?

Brak w RODO regulacji odnoszących się  bezpośrednio do kwestii związanych z odpowiedzialnością karną. Jednak na podstawie motywu 149 RODO państwa członkowskie mają możliwość wyznaczenia przepisów przewidujących sankcje karne za naruszenie regulacji ochrony danych osobowych.  W Polsce kwestie te reguluje Ustawa o ochronie danych osobowych. Naj jej podstawie osoba która przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega:

  • grzywnie,
  • karze ograniczenia wolności,
  • karze pozbawienia wolności do lat dwóch, w przypadkach szczególnych kategorii danych osobowych, do lat trzech.

Przetwarzanie jest niedopuszczalne w momencie gdy brak jest podstawy prawnej to przetwarzanie legalizującej. Należy jednocześnie podkreślić że zgodnie z zasadami prawa karnego odpowiedzialność karną ponoszą zawsze oznaczone osoby fizyczne, którym ta odpowiedzialność jest przypisana.