Ius est ars boni et aequi

Prawo jest sztuką tego, co dobre i sprawiedliwe - Celsus

Co to jest RODO i jakie są konsekwencje jego nieprzestrzegania?


RODO jest aktem prawnym, który ma fundamentalne znaczenie dla zagadnienia ochrony danych osobowych. Jako tzw. prawo unijne, ma on bezpośrednie zastosowanie na terenie naszego kraju.
Co to jest RODO? Kto jest obowiązany go przestrzegać? Jakie obowiązki wynikają z RODO? Jakie są kary za nieprzestrzeganie przepisów RODO? Na wszystkie te pytania znajdą Państwo odpowiedź w tym właśnie wpisie.

Co to jest RODO?

RODO jest aktem prawa Unii Europejskiej, który zawiera przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.
Jego pełna nazwa jest dość skomplikowana i brzmi: rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Jaki jest charakter prawny RODO?

Cechą charakterystyczną przedmiotowego rozporządzenia jest jego bezwzględnie wiążący charakter dla wszystkich państw członkowskich Unii Europejskiej. Z tego względu jest ono stosowane bezpośrednio (wprost), bez potrzeby implementacji do prawa krajowego.
W gestii poszczególnych krajów członkowskich leży jedynie tworzenie przepisów doprecyzowujących i ułatwiających stosowanie RODO w określonym zakresie.

Kto jest obowiązany przestrzegać RODO?

Przepisy RODO mają zastosowanie wszelkich podmiotów, zarówno prywatnych jak i publicznych, które zajmują się przetwarzaniem danych osobowych na obszarze Unii Europejskiej.
Czym są dane osobowe?
To wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności imię, nazwisko, dane o lokalizacji, identyfikator internetowy, jakikolwiek czynnik określający jej fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość (art. 4 pkt. 1 RODO).
Na czym polega przetwarzanie danych osobowych?
To operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych prowadzony w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, usuwanie, ograniczanie, wykorzystywanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt. 2 RODO).

Kto może przetwarzać dane osobowe?

Dane osobowe może przetwarzać administrator danych oraz podmiot przetwarzający.
Administrator danych osobowych, to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Może nim być na przykład pracodawca w stosunku do pracowników, czy też właściciel sklepu internetowego w stosunku do swoich klientów.
Podmiotem przetwarzającym dane osobowe jest osoba, która działa na podstawie umowy zawartej z administratorem. Ma to miejsce w sytuacji, w której administrator powierza wykonywanie pewnych czynności na danych osobowych odrębnemu podmiotowi. W takiej roli będzie występować biuro rachunkowe przetwarzające na zlecenie dane osobowe przekazane mu w tym celu przez klientów, podmiot przetwarzający dane osobowe na zlecenie swoich klientów, bądź osoba przeprowadzająca rekrutację na zlecenie pracodawcy.

Kto nie musi stosować RODO?

Wyłączenia od obowiązku stosowania rozporządzenia zawiera art. 2 RODO, zgodnie z którym nie ma ono zastosowania do przetwarzania danych osobowych:

  • w ramach działalności nieobjętej zakresem prawa Unii,
  • przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze
  • przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Jakie obowiązki wynikają z RODO?

RODO wprowadza szereg obowiązków związanych z przetwarzaniem i ochroną danych osobowych.
Do najważniejszych należą:

  • ogólny obowiązek zapewnienia zgodności,
  • zapewnienie bezpieczeństwa danych,
  • dokonanie procesu szacowania ryzyka,
  • prowadzenie rejestru czynności przetwarzania danych,
  • współpraca z organem nadzorczym,
  • wyznaczenie inspektora ochrony danych.

Ogólny obowiązek zapewnienia zgodności

Polega on na zobowiązaniu administratora danych osobowych do wdrażania odpowiednich środków technicznych i organizacyjnych, aby ich przetwarzanie odbywało się zgodnie z tym rozporządzeniem i aby móc to wykazać. Środki te powinny być w razie potrzeby poddawane przeglądom i uaktualniane. Wszelkie te czynności administrator powinien przeprowadzać przy uwzględnieniu charakteru, zakresu, kontekstu i celów przetwarzania danych oraz ryzyka naruszenia praw lub wolności osób fizycznych.

Zapewnienie bezpieczeństwa danych

Obowiązek zapewnienia bezpieczeństwa danych spoczywa na ich administratorze i podmiocie przetwarzającym. Ich powinnością jest wdrażanie odpowiednich środków technicznych i organizacyjnych, mających na celu zapewnienie odpowiedniego stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia bezpieczeństwa danych osobowych, w tym:

  • szyfrowanie danych osobowych,
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie ich naruszenia fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Dokonanie procesu szacowania ryzyka

Dotyczy on administratora i polega na jego zobowiązaniu, aby przed rozpoczęciem przetwarzania dokonywał on oceny skutków planowanych operacji dla ochrony danych osobowych. Dotyczy to sytuacji, w których dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Prowadzenie rejestru czynności przetwarzania danych

RODO zobowiązuje każdego administratora oraz – gdy ma to zastosowanie – jego przedstawiciela do prowadzenia rejestru czynności przetwarzania danych osobowych obejmującego m.in. cele przetwarzania oraz opis kategorii osób, których dane dotyczą.

Współpraca z organem nadzorczym

Każdy administrator i podmiot przetwarzający dane osobowe oraz – gdy ma to zastosowanie – ich przedstawiciele mają obowiązek współpracować z organem nadzorczym w ramach wykonywania przez niego swoich zadań. Polega to w szczególności na konieczności zgłaszania organowi nadzorczemu każdego przypadku naruszenia ochrony danych osobowych, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po jego stwierdzeniu.

Wyznaczenie inspektora ochrony danych

RODO nakłada na administratora danych osobowych oraz podmiot, który je przetwarza obowiązek wyznaczenia Inspektora Ochrony Danych. Powinno to mieć miejsce zawsze gdy:

  • przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Zgodnie z art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (j.t. Dz. U. z 2019 r., poz. 1781) - przez organy i podmioty publiczne obowiązane do wyznaczenia IOD, rozumie się:

  • jednostki sektora finansów publicznych,
  • instytuty badawcze,
  • Narodowy Bank Polski.

W stosunku do pozostałych podmiotów, które muszą stosować RODO, obowiązek powołania Inspektora ma charakter fakultatywny, aczkolwiek jest to rekomendowane.
Podkreślić trzeba, ze Inspektorem Ochrony Danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników tych podmiotów (outsourcing).


Do zadań IOD należy przede wszystkim nadzór i pomoc w implementacji przepisów RODO oraz kontrola jego przestrzegania, w szczególności w zakresie:

  • zasad przetwarzania danych osobowych,
  • ochrony praw osób, których dane dotyczą,
  • właściwej ochrony danych osobowych,
  • prowadzenia rejestru czynności przetwarzania,
  • wymogów bezpieczeństwa przetwarzania,
  • zgłaszania naruszeń.

Należy zaznaczyć, że Inspektor musi posiadać bardzo szerokie umiejętności, w tym:

  • fachową wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych,
  • fachową wiedzę z zakresu praktyk w dziedzinie ochrony danych osobowych,
  • dogłębną znajomość przepisów RODO,
  • wiedzę biznesową i sektorową dotycząca działalności administratora,
  • odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych,
  • w przypadku organów i podmiotów publicznych IOD powinien również wykazywać się znajomością procedur administracyjnych i funkcjonowania jednostki.

Jakie są kary za nieprzestrzeganie przepisów RODO?

RODO reguluje także ogólne warunki nakładania administracyjnych kar pieniężnych na administratorów danych osobowych z tytułu nieprzestrzegania jego zapisów.
Mają one dwa przedziały i wynoszą:

  • do 10 mln euro, a w przypadku przedsiębiorcy – alternatywnie do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Kara ta dotyczy naruszeń związanych między innymi z niewywiązaniem się przez administratora ze swoich obowiązków takich jak: obowiązek informacyjny, brak uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych, błędnie prowadzony rejestr czynności przetwarzania lub jego brak, nieprawidłowe zabezpieczenie systemów informatycznych, nieprzeprowadzenie oceny skutków dla ochrony danych, brak powołania Inspektora Ochrony Danych jeśli istniał taki obowiązek etc.,
  • do 20 mln euro, a w przypadku przedsiębiorcy – alternatywnie do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Kara ta może zostać wymierzona między innymi za: złamanie przez administratora podstawowych zasad przetwarzania danych osobowych, łamanie praw osób, których dane dotyczą, nieprawidłowe przekazywani danych osobowych odbiorcom w państwach trzecich lub organizacjach międzynarodowych etc.
    Administracyjne kary finansowe są nakładane przez Prezesa Urzędu Ochrony Danych Osobowych w drodze decyzji administracyjnej. Decyzja jest wydawana w ramach jednoinstancyjnego postępowania w sprawie naruszenia przepisów o ochronie danych osobowych. Od decyzji Prezesa Urzędu Ochrony Danych Osobowych można odwołać się do sądu administracyjnego.
    Szczególne ograniczenia wysokości kar przewidziane są w art. 102 ustawy o ochronie danych osobowych, a mianowicie:
  • do 100.000 złotych w przypadku jednostek sektora finansów publicznych, instytutów badawczych i Narodowego Banku Polskiego,
  • do 10.000 złotych w przypadku państwowych i samorządowych instytucji kultury.
    Podkreślenia wymaga fakt, że każda osoba, która poniosła szkodę w wyniku naruszenia postanowień RODO ma prawo wystąpić do administratora danych osobowych z roszczeniem o odszkodowanie za poniesioną szkodę. Zwolnienie administratora z takiej odpowiedzialności jest możliwe tylko wówczas, gdy udowodni on, że nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.

Mam nadzieję, iż dzięki lekturze powyższego artykułu wiedzą już Państwo, co to jest RODO i jakie są jego najważniejsze uregulowania. Jak można z niego wywnioskować, nie jest to jednak prosta kwestia. Jeśli potrzebują Państwo pomocy w rozwikłaniu jej zawiłości, zapraszam do kontaktu. Posiadam uprawnienia inspektora danych osobowych i mogę zdradzić, iż mam duże doświadczenie w realizacji dokumentacji RODO dla sklepów internetowych, podmiotów przetwarzających dane wrażliwe i start-upów.