Mamy przyjemność przedstawić Państwu odpowiedź, otrzymaną przez nas od kolejnego organu nadzorczego z Europejskiego Obszaru Gospodarczego, a dotyczącą jego doświadczeń związanych z pierwszym rokiem stosowania RODO. Pismo przesłane przez Panią Oana Luisa Dumitru, Dyrektor Departamentu ds. Współpracy Zagranicznej Krajowego Organu Nadzorczego ds. Przetwarzania Danych Osobowych Rumunii, zawiera ciekawe informacje, jak np. tematyka najczęstszych zgłoszeń naruszeń ochrony danych osobowych czy wysokość kar nałożonych przez organ. Poniżej przedstawiono tłumaczenie obszernych fragmentów odpowiedzi (pomijając głównie powtarzanie pełnych nazw aktów prawnych, gdyż pismo było dość formalne).
Tłumaczenie odpowiedzi
Dziękujemy Państwu za zainteresowanie obszarem ochrony danych i informujemy, że Państwa email został zarejestrowany dnia 30 września 2019 r., pod numerem 21736 w ogólnym rejestrze Krajowego Organu Nadzorczego ds. Przetwarzania Danych Osobowych. W świetle Państwa wniosku, chcielibyśmy wskazać, co następuje:
W dniu 25 maja 2018 r. weszły w życie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
W odniesieniu do prawa krajowego dotyczącego ochrony danych osobowych osób fizycznych, w dniu 15 czerwca 2018 r. przyjęto a w dniu 19 lipca 2018 r. opublikowano w Oficjalnym Dzienniku Urzędowym Rumunii (numer 503), Ustawę numer 129 zmieniającą oraz uzupełniającą Ustawę numer 102/2005 w sprawie ustanowienia, organizacji oraz funkcjonowania Krajowego Organu Nadzorczego ds. Przetwarzania Danych Osobowych oraz uchylającą Ustawę numer 677/2001 w sprawie ochrony osób w odniesieniu do przetwarzania danych osobowych oraz swobodnego przepływu tych danych
18 lipca 2018 r., Parlament Rumunii przyjął również Ustawę numer 190/2018 w sprawie środków wdrażających Rozporządzenie 2016/679/UE. Została ona opublikowana w Oficjalnym Dzienniku Urzędowym Rumunii numer 651 z dnia 26 lipca 2018 r., a jej celem jest uregulowanie na poziomie krajowym głównie przepisów art. 9 ust. 4, art. 42-43, art. 83 ust. 7, art. 85 oraz art. 87-89 Rozporządzenia 2016/679/UE.
Oba akty prawne są dostępne na stronie internetowej naszego organu, pod adresem: https://www.dataprotection.ro/index.jsp?page=legislatie_primara&lang=en.
Mając na uwadze, że od wejścia w życie Rozporządzenia 679/2016/UE upłynął rok, chcielibyśmy podkreślić, że przed 25 majem 2019 r., Krajowy Organ Nadzorczy ds. Przetwarzania Danych Osobowych przyznawał priorytet wytycznym dla administratorów w celu zapewnienia odpowiedniego stosowania nowych zasad ochrony danych. Ponadto, jednym z celów organu nadzorczego pozostanie zwiększanie świadomości oraz wytyczne dla administratorów danych dotyczące wdrażania prawa oraz zgodności z przepisami Rozporządzenia 679/2016/UE.
W tym aspekcie, w okresie od 25 maja 2018 r. do końca września 2019 r., Krajowy Organ Nadzorczy ds. Przetwarzania Danych Osobowych nakładał na administratorów danych [obowiązek wykonania] środków naprawczych, wydał 53 upomnienia oraz nałożył kary administracyjne w wysokości 331 600 euro za naruszenia przepisów prawa ochrony danych osobowych.
Jednocześnie do organu nadzorczego wpływały zgłoszenia naruszeń ochrony danych osobowych, które najczęściej dotyczyły: nieuprawnionego dostępu do danych osobowych przetwarzanych przez administratora, błędnego przekazania faktur do klientów administratora, udostępnienia danych osobowych/ danych pacjentów, utraty przesyłek pocztowych.
W odniesieniu do działań kontrolnych informujemy, że organ nadzorczy wydał Decyzję numer 133 z dnia 3 lipca 2018 r. w sprawie zatwierdzenia procedury zgłaszania oraz rozpatrywania skarg oraz Decyzję numer 161 z dnia 9 października 2018 r. w sprawie zatwierdzenia procedury prowadzenia postępowań.
Jednocześnie chcielibyśmy wskazać, że po roku stosowania nowych zasad ochrony danych ilość skarg oraz zgłoszeń w 2018 r. znaczenie wzrosła – organ otrzymał 5260 skarg i wniosków w porównaniu do 3734 skarg i wniosków otrzymanych w 2017 r. Wskazuje to, że wraz z wejściem w życie Rozporządzenia 679/2016/UE wzrosła również świadomość osób dotycząca ich praw.
W tym kontekście, w odniesieniu do zasobów ludzkich, chcielibyśmy podkreślić, że poprawka Ustawy numer 102/2005 Ustawą numer 129/2018 (art. 1 punkt 12) zwiększyła maksymalną ilość stanowisk (w organie nadzorczym) z 50 do 85 […].
Zgłoszenia naruszeń ochrony danych osobowych oraz formularzy dotyczących inspektorów ochrony danych, które otrzymaliśmy a które zostały przesłane przez administratorów, pokazały również, że administratorzy przejęli się wdrożeniem obowiązków wynikających z Rozporządzenia 2016/679/UE, podejmując odpowiednie działania
w przypadku incydentów ale wdrażając również odpowiednie środki techniczne i organizacyjne w celu zapewnienia odpowiedniego poziomu bezpieczeństwa.
W odniesieniu do informowania administratorów oraz osób, których dane dotyczą, organ nadzorczy zorganizował konferencję: „Zapewnienie zgodności z europejskim rozporządzeniem ochrony danych oraz właściwymi regulacjami krajowymi”, aby uczcić Europejski Dzień Ochrony Danych, zorganizował rocznicową debatę z okazji roku stosowania Rozporządzenia 679/2016/UE, opublikował film dotyczący głównych zmian wprowadzonych przez RODO w środkach transportu publicznego, na stacjach metra i na lotniskach (z uwagi na to, że leży to w interesie publicznym), wydał Wytyczne w sprawie stosowania Ogólnego Rozporządzenia o Ochronie Danych przez administratorów oraz Wytyczne w formie pytań i odpowiedzi dotyczących stosowania Rozporządzenia, wydawał oświadczenia prasowe, przygotował dział pytań i odpowiedzi na stronie internetowej www.dataprotection.ro oraz uczestniczył w wielu konferencjach poświęconych Rozporządzeniu 679/2016/UE.
Dodatkowe informacje na temat działań Krajowego Organu Nadzorczego ds. Przetwarzania Danych Osobowych można znaleźć na jego stronie internetowej, www.dataprotection.ro, w dziale “news”, jak również w sprawozdaniach rocznych organu nadzorczego w dziale “sprawozdania roczne”.