Na mocy porozumienia z dnia 14 grudnia 2012 roku między GIODO a PIP, inspektorzy PIP mogą sprawdzać prawidłowość przetwarzania danych osobowych u każdego przedsiębiorcy przetwarzającego dane pracowników oraz klientów. W 2014 roku Państwowa Inspekcja Pracy zapowiada przeprowadzenie 88 tys. kontroli. Podczas kontroli przeprowadzanych przez PIP w zakresie prawidłowości przetwarzania danych osobowych, urzędnicy mogą dostrzec nieprawidłowości, które skłonią ich do przekazania uchybień do GIODO
które z kolei może nałożyć na podmiot wysokie kary grzywien przymuszających od 10.000 do 50.000 zł za każde uchybienie w związku z niewykonaniem decyzji administracyjnych.
KTO PODLEGA OBOWIĄZKOWI PROWADZENIA DOKUMENTACJI PRZETWARZANIA DANYCH?
Zgodnie z art 36 ust. 2 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, każdy przedsiębiorca lub jednostka organizacyjna przetwarzająca dane osobowe (np. dane pracowników, Klientów, osób stowarzyszonych, uczniów) ma obowiązek opracowania dokumentacji systemu zarządzania bezpieczeństwem danych osobowych.
Obowiązek wdrożenia dokumentacji spoczywa bezpośrednio na właścicielach firm lub dyrekcji jednostki organizacyjnej (np. w szkole administratorem danych jest Dyrektor Szkoły, w spółkach oraz spółdzielniach Zarząd itp.). Aby spełnić wymogi ustawy, można skorzystać z gotowego zestawu dokumentacji przetwarzania danych RBDO.
KARY ZA BRAK DOKUMENTACJI
Brak dokumentacji w przypadku przetwarzania danych (np. danych pracowników czy Klientów) jest naruszeniem przepisów ustawy i może wiązać się z nałożeniem grzywny w wysokości od 10.000 do 50.000 zł za każde uchybienie za niewykonanie decyzji lub nawet karą pozbawienia wolności do lat 2 (zgodnie z artykułem 49 ust. 1 ustawy o ochronie danych osobowych).
Od dnia 7 marca 2011 r. zgodnie ze znowelizowanym art. 12 pkt 3 ustawy o ochronie danych osobowych, GIODO może nakładać na podmioty, które nie wykonują jego decyzji administracyjnych, grzywny w celu przymuszenia. Grzywny egzekwowane są w trybie ustawy o postępowaniu egzekucyjnym w administracji.
Zgodnie z art. 121 ustawy o postępowaniu egzekucyjnym w administracji, wysokość grzywy wynosi:
- dla osób prawnych do 50 000 zł za każde uchybienie, ale nie więcej niż 200 000 zł w jednym postępowaniu egzekucyjnym
- dla osób fizycznych do 10 000 zł za każde uchybienie, ale nie więcej niż 50 000 zł w jednym postępowaniu egzekucyjnym art. 12 ustawy o ochronie danych osobowych
Należy pamiętać, że dane osobowe to nie tylko imię i nazwisko, numer pesel pracownika czy klienta. Pod tym szeroko rozumianym przez ustawę pojęciem nalezy rozumieć także adres e-mail czy numer telefonu i inne dane pozwalające powiązać je z konretną osobą.
Administrator danych osobowych powinien zwrócić szczególną uwagę na to czy prawidłowo przechowuje oraz przetwarza dane osobowe. Szczególną kategorię danych osobowych stanowią dane wrażliwe, takie dane to m.in. dane pacjentów placówek medycznych. Spora ilość danych podlega zgłoszeniu do rejestru GIODO.
W ramach kontroli inspektorzy zwracają szczególną uwagę na wdrożenie wewnętrznych procedur związanych z przetwarzaniem danych osobowych, w tym posiadanie w wersji pisemnej dokumentacji przetwarzania danych osobowych, dokumentów Polityki Bezpieczeństwa oraz Instrukcję Zarządzania Systemem Informatycznym oraz stosowne wykazy ewidencyjne i oświadczenia – cała struktura dokumentacji musi spełnić wymogi rozporządzenia do artykułu 39a ustawy o ochronie danych osobowych.
Za nie wdrożenie dokumentacji i inne uchybienia grożą kary od 10.000 do 50.000 złotych w związku z niewykonaniem decyzji administracyjnych.
Kontrolerzy sprawdzą także czy przetwarzanie danych osobowych przebiega zgodnie z prawem, a w szczególności zgodnie z art. 23 ustawy o ochronie danych osobowych, czyli zbadają podstawę prawną w oparciu o którą przetwarzane są dane osobowe. Są to na przykład wypełnianie przez kontrolowany podmiot obowiązków informacyjnych wobec osób, których dane są przetwarzane ( poinformowanie tych osób o celu przetwarzania danych, o prawie dostępu do ich treści i dokonywania zmian, o dobrowolności wyrażenia zgody na przetwarzanie).
Ważne jest określenie zakresu zabezpieczenia przetwarzanych danych, co wynika bezpośrednio z wdrożenia wewnętrznych procedur opisanych w dokumentacji.
Wykrycie nieprawidłowości w przetwarzaniu danych osobowych przez GIODO lub PIP, może skutkować nakazem zaprzestania przetwarzania danych osobowych, grzywną lub karą pozbawienia wolności do lat 2.
KTO MA OBOWIĄZEK REJESTRACJI ZBIORU W GIODO?
Obowiązkowi rejestracji zbiorów danych w GIODO podlegają firmy przetwarzające dane niewymienione w liście zbiorów zwolnionych z obowiązku rejestracji w Art. 43 ust. 1 ustawy o ochronie danych osobowych. W zawartej instrukcji znajdą Państwo precyzyjne informacje do stwierdzenia obowiązku rejestracji danego zbioru danych w GIODO.
UWAGA! Działalność podlegająca obowiązkowi rejestracji, wykonywana bez zgłoszenia zbioru danych osobowych w GIODO podlega karze, jeśli doszło wcześniej do kontroli i wydania decyzji administracyjnej. W art. 53 ustawy znajdziemy zapis:, „Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.