Facebook
gofin.pl
Wydawnictwo Podatkowe
wtorek, 11 marca 2025 r.

Jak szukać?»

Aktualnie jesteś: Gofin.pl (strona główna)  »  Firma  »  Wskazówki dla przedsiębiorcy  »   Planowane kontrole PUODO w 2025 r. i obowiązek dokumentowania naruszeń
Serwis POLSKI ŁAD
Serwis TARCZA ANTYKRYZYSOWA
więcej na: tarcza.gofin.pl »
CN 2023
PKWiU 2015
POLECAMY
A A A  drukuj artykuł

Planowane kontrole PUODO w 2025 r. i obowiązek dokumentowania naruszeń

Gazeta Podatkowa nr 20 (2208) z dnia 10.03.2025
Marta Stefanowicz - Wasilewska

Bezpieczeństwo danych medycznych i przetwarzanie danych dzieci to główne obszary, na których skupią się kontrolerzy Urzędu Ochrony Danych Osobowych w 2025 r. Oczywiście oprócz kontroli planowych w tym roku, Prezes UODO może prowadzić kontrole doraźne, które wszczynane są np. wskutek stwierdzenia naruszenia ochrony danych przez administratora czy też podmiot przetwarzający.

Rodzaje kontroli

Polska ustawa o ochronie danych osobowych wyróżnia trzy rodzaje kontroli, jaką może prowadzić Prezes Urzędu Ochrony Danych Osobowych. Należą do nich kontrole:

  • planowa - prowadzona zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli,
  • doraźna - na podstawie uzyskanych przez Prezesa Urzędu informacji,
  • sprawowana w ramach monitorowania przestrzegania stosowania rozporządzenia 2016/679 (RODO).

Obowiązek prowadzenia przez Prezesa Urzędu kontroli planowej i sporządzenie planu kontroli wynika więc wyraźnie z przepisów. Przy czym nie określają one szczegółowych wymogów w tym zakresie, pozostawiając organowi swobodę, gdy chodzi o ukształtowanie planu kontroli (kontrole planowane na 2025 r. - patrz ramka).

UODO może również prowadzić tzw. kontrole doraźne, które nie są przewidziane w planie kontroli na danych rok. Potrzeba przeprowadzenia takiej kontroli może wynikać z informacji, jakie uzyskał organ nadzorczy o stwierdzonych nieprawidłowościach w zakresie przetwarzania danych. Takie informacje mogą pochodzić ze źródeł powszechnie dostępnych lub od osób zainteresowanych, które zwracają uwagę PUODO na pewne nieprawidłowości. Oczywiście najpopularniejszym wskazaniem do przeprowadzenia kontroli będzie skarga osoby, której dane dotyczą, na administratora przetwarzającego jej dane, w ocenie tej osoby w sposób nieprawidłowy.

Kary nakładane przez PUODO

RODO wprowadziło wysokie kary za naruszenie jego przepisów. Art. 83 RODO stanowi, że administracyjnej karze pieniężnej w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, podlega brak wdrożenia przez administratora lub podmiot przetwarzający odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzanych danych osobowych. Z kolei administracyjnej karze pieniężnej w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, podlega m.in. naruszenie podstawowych zasad przetwarzania, w tym warunków uzyskania zgody od osób, których dane są przetwarzane.

Polska ustawa o ochronie danych osobowych w zakresie administracyjnych kar pieniężnych odsyła bezpośrednio do unijnego rozporządzenia, obniżając jedynie wysokość kar dla instytucji publicznych. Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 tys. zł na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i pkt 14 ustawy o finansach publicznych (Dz. U. z 2024 r. poz. 1530 ze zm.). Kary pieniężne w wysokości do 10 tys. zł Prezes UODO może nakładać na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 13 ustawy o finansach publicznych, czyli na państwowe i samorządowe instytucje kultury.

Kary pieniężne nie są jedynymi środkami, które mogą być stosowane przez Prezesa UODO. RODO przewiduje również inne środki, które mogą być wykorzystywane zamiast kary pieniężnej lub razem z nią.

Takimi środkami mogą być m.in.:

  • wydanie ostrzeżenia administratorowi lub podmiotowi przetwarzającemu dotyczącego możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania,
  • udzielenie upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania,
  • nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO,
  • nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.

Współpraca podczas kontroli

Jak ważna jest współpraca z organem nadzorczym w zakresie ochrony danych osobowych, przekonało się już wielu przedsiębiorców. Urząd Ochrony Danych Osobowych informuje, że: "Brak współpracy oraz niezapewnienie Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań, to wciąż występujące po stronie administratorów uchybienia, które stają się także przyczyną nakładania administracyjnych kar pieniężnych".

Organowi nadzorczemu przysługuje wiele uprawnień, w tym prawo do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i niezbędnych dla niego informacji. Ponadto organowi temu przysługuje uprawnienie do uzyskania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych. Współpraca z organem nadzorczym jest ważna. Jej brak jest działaniem utrudniającym organowi wykonywanie obowiązków i mogącym powodować nadmierne oraz nieuzasadnione wydłużenie prowadzonych postępowań, a tym samym naruszenie praw obywateli związanych z ochroną ich danych osobowych. Należy również zwrócić uwagę, iż udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych zagrożone jest karą grzywny, karą ograniczenia wolności albo pozbawienia wolności do lat dwóch. Tej samej karze podlega ten, kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.

Na stronie UODO www.uodo.gov.pl znajduje się podsumowanie wymierzanych przez UODO kar. Można tam przeczytać, iż: "Jedną z najczęściej spotykanych jest przypadek, gdy administrator utrudnia dostęp do informacji niezbędnych do realizacji zadań Prezesa UODO, unikając odbierania kierowanej do niego korespondencji. Przykładowo, Prezes UODO ukarał administratora, który nie zareagował na wezwanie do złożenia wyjaśnień w postępowaniu ze skargi dotyczącej utrwalania wizerunku skarżącej za pomocą monitoringu wizyjnego bez podstawy prawnej oraz na niespełnieniu wobec niej obowiązku informacyjnego. Sprawa zakończyła się nałożeniem na tego administratora kary w wysokości blisko 6,8 tys. zł".

Dokumentowanie naruszeń wg zaleceń UODO

Administratorzy mają obowiązek gromadzić informacje o wszystkich naruszeniach ochrony danych osobowych także tych, których nie trzeba zgłaszać Prezesowi UODO. Obowiązek prawny dokumentowania naruszeń ochrony danych osobowych wynika z art. 33 ust. 5 RODO. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania RODO.

W najnowszym Biuletynie UODO znalazła się publikacja dotycząca dokumentowania naruszeń ochrony danych. Taka dokumentacja może mieć duże znaczenie zarówno przy zgłaszaniu naruszeń organowi nadzorczemu, jak i stanowić dowód podczas kontroli. Prowadzenie takiej dokumentacji jest nie tylko obowiązkiem prawnym, to narzędzie, które pomaga organizacjom lepiej zarządzać naruszeniami ochrony danych osobowych. Gromadzenie informacji na ten temat umożliwia pogłębioną analizę zagrożeń i ułatwia dobieranie skutecznych zabezpieczeń. Dokumentacja zawierająca informacje o wykrytych naruszeniach ochrony danych osobowych jest podstawą do wykazania, że administrator działa zgodnie z przepisami. Ma to związek z zasadą rozliczalności (art. 5 ust. 2 RODO). Dokumentowanie naruszeń ochrony danych osobowych jest wyłącznym obowiązkiem administratorów. Podmioty przetwarzające powinny jednak pomagać w jego realizacji, np. poprzez przekazywanie administratorom wszelkich niezbędnych informacji o naruszeniach ochrony danych osobowych (art. 28 ust. 3 lit. f RODO).

Administratorzy powinni na bieżąco aktualizować katalog wykrytych naruszeń ochrony danych osobowych, utrwalając informacje w odpowiednich rejestrach. Choć odrębna ewidencja nie jest formalnie wymagana, musi być wyraźnie oznaczona i dostępna do wglądu na żądanie Prezesa UODO.

Jak już wspomniano, obowiązek dokumentowania obejmuje wszystkie naruszenia ochrony danych osobowych, bez względu na to, czy wymagają one zgłoszenia organowi nadzorczemu. Rejestr naruszeń ochrony danych osobowych jest dokumentem, w którym administrator powinien zamieścić m.in. uzasadnienie decyzji o niezgłaszaniu naruszenia ochrony danych osobowych, w przypadku zaistnienia ku temu stosownej przesłanki (art. 33 ust. 1 RODO). Ma to szczególne znaczenie, gdy z czasem ocena incydentu ulegnie zmianie i jego zgłoszenie do PUODO stanie się konieczne.

W RODO nie wskazano okresów przechowywania informacji o naruszeniach ochrony danych osobowych. Administratorzy powinni więc dysponować pełną dokumentacją tak długo i w takim zakresie, w jakim związani są zasadą rozliczalności. Innymi słowy, jak najdłużej. Z tego powodu umieszczanie w takim rejestrze jakichkolwiek danych osobowych nie jest zalecane. Jeżeli jednak tam się znajdą, należy pamiętać o ich prawidłowej ochronie, w tym o zasadzie ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO).

Rejestr naruszeń ochrony danych osobowych powinien uwzględniać m.in.:

  • okoliczności naruszenia ochrony danych osobowych (takie jak: data i czas wystąpienia, stwierdzenia i zakończenia naruszenia, sposób wykrycia naruszenia, przyczyny naruszenia, rodzaj naruszenia, przebieg naruszenia, rodzaj i zakres danych objętych naruszeniem, liczba i kategorie osób, których dane dotyczą),
  • skutki (jeżeli wystąpiły) i/lub możliwe skutki naruszenia ochrony danych osobowych dla osób, których dane dotyczą,
  • uzasadnienie oceny ryzyka,
  • podjęte działania zaradcze (w celu powstrzymania i ograniczenia naruszenia ochrony danych osobowych oraz zminimalizowania jego skutków) i zapobiegawcze (w celu zminimalizowania wystąpienia podobnych naruszeń ochrony danych osobowych w przyszłości),
  • szczegóły dotyczące zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO (takie jak data zgłoszenia, ewentualne przyczyny opóźnienia w zgłoszeniu, inne istotne informacje zawarte w zgłoszeniu; jeżeli administrator je zgłosił) lub uzasadnienie decyzji o niezgłoszeniu naruszenia ochrony danych osobowych Prezesowi UODO (art. 33 ust. 1 RODO),
  • szczegóły dotyczące zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych (takie jak: data zawiadomienia, treść zawiadomienia, metoda zawiadomienia, liczba zawiadomionych osób, jeżeli administrator je zawiadomił) lub w stosownym przypadku uzasadnienie decyzji o niezawiadomieniu osób, których dane dotyczą, o naruszeniu ochrony danych osobowych (art. 34 ust. 3 RODO).

Plan kontroli sektorowych UODO na 2025 r.

W Planie kontroli sektorowych UODO na 2025 r. znalazły się sektory, w których coraz częściej pojawiają się zagrożenia naruszania przepisów o ochronie danych osobowych. UODO wziął też pod uwagę te obszary, które budzą duże społeczne zainteresowanie.

Plan kontroli sektorowych UODO na 2025 rok przedstawia się następująco:

1) organy, które przetwarzają dane osobowe w Wielkoskalowych Systemach Unii Europejskiej, w tym przetwarzają dane osobowe SIS/VIS na podstawie przepisów ustawy o udziale Rzeczpospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz. U. z 2023 r. poz. 1355 ze zm.), aktów wykonawczych oraz przepisów Unii Europejskiej),
2) podmioty, które przetwarzają dane o stanie zdrowia - sposób zapewnienia bezpieczeństwa danych osobowych,
3) podmioty, które przetwarzają dane dzieci - przetwarzanie wizerunku dzieci, gdy wymagana jest zgoda wyrażona przez rodziców lub opiekunów prawnych,
4) administratorzy danych - realizacja obowiązku wynikającego z art. 33 ust. 5 RODO, polegającego na dokumentowaniu wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
Więcej na ten temat w zasobach płatnych:

Wskazówki dla przedsiębiorcy - czytaj także:

 
Przydatne linki
Portal Podatkowo-Księgowy

GOFIN.pl

Gofin.pl/PIT

Gofin.pl/Prawnik-Radzi

Gofin.pl/Rachunkowosc

Gofin.pl/Bilans

Gofin.pl/Podatki

Gofin.pl/Prawo-Pracy

Gofin.pl/Skladki-Zasilki
POMOCNIKI Księgowego

Aplikacja GOFIN NEWS

Interpretacje Urzędowe

Polski Ład

Schematy opodatkowania

Aplikacja GOFIN SGK

Kalkulatory

Przepisy Prawne

Terminy

Asystent Gofin

Klasyfikacje

Przewodnik Kadrowego

Wideopomocniki

Druki Gofin

Newslettery

Przewodnik Księgowego

Wskaźniki

Forum

Orzecznictwo dla firm

Przewodnik VAT

Wszystko dla Księgowych

Indeks Księgowań BUDŻET

Serwis Plan Kont

Pytania Czytelników

Indeks Księgowań FIRMA

Podcasty

Tarcza Antykryzysowa
Serwisy specjalistyczne

Czas Pracy

Podatek Dochodowy

Rozliczenie Delegacji

Vademecum Księgowego

Kalkulatory Podatkowe

Podatek VAT

Rozliczenia Podatkowe

Vademecum Podatnika

Kasa Fiskalna

Poradnik Księgowego

Rozliczenie Wynagrodzenia

Zakładamy Firmę

Kodeks Pracy

Porady Podatkowe

Vademecum Kadrowego

Zasiłki
więcej serwisów specjalistycznych
 
Sklep internetowy - sklep.gofin.pl
Promocje
Czasopisma i Gazeta
Serwisy internetowe
Inne produkty i usługi
Wydawnictwo Podatkowe GOFIN »
Biuro Obsługi Klienta »
Zamów egzemplarz bezpłatny »
Sklep internetowy»
 
O Wydawnictwie
Księgowi stawiają na GOFIN
Sklep internetowy
PoznajProdukty.gofin.pl
Regulamin
Reklama
Newslettery
Kontakt
Polityka prywatności
Procedura zgłoszeń wewnętrznych
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • niezbędnego zapewnienia prawidłowego działania Serwisów (utrzymania sesji),
  • realizacji funkcjonalności ułatwiających obsługę Serwisu,
  • dopasowania reklam w serwisach społecznościowych,
  • analizy statystyk ruchu i reklam w Serwisach,
  • zbierania i przetwarzania danych w celu wyświetlenia reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam.
Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z Serwisu, w celu administrowania Serwisem, dostosowania treści Serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika Serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z Serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o. Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam są partnerzy Wydawnictwa Podatkowego GOFIN sp. z o.o., Google Inc, Facebook Inc.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych
  • Niezbędność przetwarzania danych w związku z wykonaniem umowy.

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora.

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora.

  • Dobrowolna zgoda.

    Aby móc realizować cele:
    - zapamiętania Pani/Pana decyzji w Serwisach w zakresie korzystania z dostępnych opcjonalnie funkcjonalności,
    - analiz statystyk ruchu i reklam w Serwisach,
    - dopasowania reklam w serwisach społecznościowych,
    - wyświetlania spersonalizowanych reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam w związku z odwiedzaniem niniejszego Serwisu internetowego partnerzy Wydawnictwa Podatkowego Gofin sp. z o.o. muszą mieć możliwość przetwarzania Pani/Pana danych.

Potrzebna jest Nam Pani/Pana dobrowolna zgoda na zapisy w plikach cookies w celach realizacji powyższych celów.
W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na zapisywanie informacji w plikach cookies przez kliknięcie przycisku „Zgadzam się” lub „Nie teraz” w przypadku braku zgody. Istnieje możliwość skorzystania z „ustawień zaawansowanych” plików cookies w celu określenia indywidualnych zgód na zapis wybranych plików cookies realizujących wybrane cele.