kliknij tutaj
Transkrypt
kliknij tutaj
Obowiązki spoczywające na pośrednikach prowadzących działalność gospodarczą wynikające z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Podstawowe zasady przetwarzania danych osobowych: Ustawę stosuje się m.in. do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych ____________________________________________________________________________________________________ Podstawowe definicje: Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Art. 7. Ilekroć w ustawie jest mowa o: 1) zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 2) przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 5) zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, Komentarz: 1. Art. 6, ust 3 nie odnosi się wyłącznie do podmiotu przetwarzającego dane osobowe ale również do innych podmiotów którym możemy zlecić określenie tożsamości osoby. 2. Numery IP są danymi osobowymi (wyrok II SA/Wa 1598/09 – Wyrok WSA) tak samo jak adresy e-mail. 3. Zapisanie nawet na kartce adresu, nazwiska czy telefonu jest już przetwarzaniem danych osobowych (art.7, ust.2). 4. Bardzo istotny jest art. 7, ust. 5, w którym mowa jest, że zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. W praktyce oznacza to, że ujawniając swoje dane np. w ogłoszeniu prasowym nie wyrażam automatycznie zgody na przetwarzanie ich przez jakikolwiek inny podmiot niż wydawca prasy. Podstawowe zasady przetwarzania danych osobowych wynikają z art. 23-27 ustawy o ochronie danych osobowych Art. 23 1. 2. 3. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy -1- 4. uzyskanie zgody będzie możliwe. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności: 1) marketing bezpośredni własnych produktów lub usług administratora danych, 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Art. 24 1. 2. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. Przepisu ust. 1 nie stosuje się, jeżeli: 1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, 2) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1. Art. 25 1. 2. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. Przepisu ust. 1 nie stosuje się, jeżeli: 1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą, 2) uchylony 3) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania, 4) uchylony 5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa, 6) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1. Art. 26 1. 2. Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2, 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: 1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych, 2) z zachowaniem przepisów art. 23 i 25. Art. 27 1. 2. Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli: 1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, 2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, 3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora, 4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, -2- 5) 6) 7) 8) 9) 10) filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych, przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem, przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych, przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone, przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym. Komentarz: 1. Należy pamiętać o tym, że zgoda na przetwarzanie danych osobowych nie zastępuje obowiązku informacyjnego wynikającego z art. 24 i 25 ustawy. 2. Zważywszy na fakt, że prawie wszyscy pośrednicy przetwarzają dane osobowe sensytywne (wrażliwe, szczególnie chronione) wykorzystanie art. 23, ust. 1, pkt 3 jest niemożliwe ponieważ w art. 27 nie ma takiego zapisu i dlatego stosujemy art. 23, ust. 1, pkt 1 oraz art. 27, ust 1, pkt 1. 3. Dzisiaj prym na rynku oprogramowania biurowego zaczynają wieść programy tzw. on-line-owe, instalowane na zewnętrznych serwerach, do których mamy dostęp przez przeglądarkę internetową. W takiej sytuacji należy pamiętać, że administrator powinien z dostawcą oprogramowania zawrzeć tzw. umowę powierzenia, o której mowa w art. 31. Takie powierzenie przetwarzania danych osobowych nie wymaga uzyskania zgody osoby, której dane dotyczą (wyrok II SA/Wa 297/09) Obowiązki administratora danych osobowych Podstawowe obowiązki spoczywające na administratorach danych osobowych wynikają z art. 36-39 ustawy o ochronie danych osobowych oraz art. 40 Art. 40 Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. Komentarz: 1. Należy przeanalizować jakie zbiory podlegają zgłoszeniu ponieważ dzielone są one ze względu na podstawę przetwarzania i cele przetwarzania i może się okazać że należy zarejestrować kilka zbiorów. 2. Rejestrując zbiór danych osobowych gdzie przetwarzane są dane osobowe zwykłe można rozpocząć przetwarzanie danych od momentu wysłania wniosku. W przypadku zbiorów gdzie przetwarzamy dane sensytywne powinno się czekać na potwierdzenie rejestracji zbioru z GIODO. 3. Jeśli nawet jakiś zbiór nie podlega rejestracji (art.43, ust.1) to nie oznacza że administrator nie musi stosować środków bezpieczeństwa określonych przepisami ustawy (dane pracownicze, dane do wystawiania faktur, itd..) 4. art. 53 ustawy stanowi, że: „Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku” Art. 36 1. 2. 3. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności. Art. 37 Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. -3- Art. 38 Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Art. 39 1. 2. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Komentarz: 1. Szczegółowe warunki zabezpieczenia danych osobowych określone są w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Dobór tych środków uzależniony jest od przyjętego dla danego zbioru – poziomu bezpieczeństwa danych w systemie informatycznym. W związku z tym, że nasze komputery mają dostęp do sieci publicznej zobowiązani jesteśmy stosować środki bezpieczeństwa na poziomie „wysokim”. 2. Tutaj należy szczególnie pamiętać o tym, że administrator danych stosuje środki kryptograficznej ochrony (np. protokół ssl) wobec danych wykorzystywanych do uwierzytelniania, które są przesyłane w sieci publicznej. 3. Środki organizacyjne i techniczne opisuje polityka bezpieczeństwa i instrukcja zarządzania i dokumentacja ta musi być prowadzona w formie papierowej. Polityka bezpieczeństwa (zawartość): W szczególności powinna zawierać: 1. 2. 3. 4. 5. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami; określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych. Instrukcja zarządzania systemem informatycznym (zawartość): W szczególności powinna zawierać: 1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, 2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, 3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, 4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, 5. sposób, miejsce i okres przechowywania: a. elektronicznych nośników informacji zawierających dane osobowe, b. kopii zapasowych, o których mowa w pkt. 4, 6. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia, 7. sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia, 8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Komentarz: 1. należy pamiętać, że musimy posiadać również rejestr pracowników wraz z zakresem obowiązków, oraz upoważnienia do przetwarzania danych osobowych. 2. możliwe że będzie jeszcze konieczne stworzenie dodatkowych oświadczeń lub np. instrukcji postępowania w przypadku naruszeniach ochrony zbioru, instrukcji postępowania w przypadku naprawy sprzętu komputerowego, itp. … (jeśli informacje te nie są zawarte w instrukcji zarządzania). Na zakończenia należy dodać, że warto jednak jeszcze zaznajomić się z różnego rodzaju decyzjami wydanymi przez GIODO, ponieważ na ich podstawie można wyciągnąć dodatkowe i praktyczne wnioski. -4- Przykładowa i decyzja wydana przez GIODO w 2009 roku Pozyskanie danych osobowych potencjalnego klienta Spółki za pośrednictwem infolinii nie jest jednak działaniem niezbędnym do podjęcia działań przed zawarciem umowy pośrednictwa w obrocie nieruchomościami. Ten etap kontaktu z potencjalnym klientem nie zawsze skutkuje podpisaniem ww. umowy. Przesłanką legalizującą przetwarzanie przez XXX. danych osobowych klientów pozyskanych za pośrednictwem infolinii, powinna być zgoda osoby, której dane dotyczą (art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych). DECYZJA Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 23 ust. 1 pkt 1, art. 24 ust. 1, art. 36 ust. 1 i 2, art. 38 i art. 41 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz częścią A pkt IV ust. 2, częścią B pkt VIII i częścią C pkt XIII załącznika do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez XXX., I. Nakazuję XXX jako administratorowi danych, usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez: 1. Przetwarzanie danych osobowych pozyskanych przez XXX za pośrednictwem infolinii, na podstawie zgody wyrażonej przez osoby, których dane dotyczą, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. 2. Dopełnienie wobec osób, których dane osobowe XXX pozyskał za pośrednictwem infolinii, obowiązku informacyjnego wskazanego w art. 24 ust. 1 ustawy o ochronie danych osobowych, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. 3. Zabezpieczenie za pomocą środków kryptograficznej ochrony teletransmisji danych osobowych przesyłanych przez klientów XXX do systemu informatycznego o nazwie CRM, za pośrednictwem formularzy znajdujących się na stronie internetowej o adresie w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. 4. Zabezpieczenie za pomocą środków kryptograficznej ochrony teletransmisji danych osobowych przesyłanych pomiędzy serwerem systemu informatycznego o nazwie „Faktury XXX” a Biurami Sprzedaży XXX. w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. 5. Uzupełnienie polityki bezpieczeństwa o zgodne ze stanem faktycznym następujące elementy: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. 6. Uwzględnienie w polityce bezpieczeństwa informacji dotyczących systemów informatycznych o nazwach: „Faktury XXX.”, „Symfonia”, „Navision” oraz „TRX”, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. 7. Zapewnienie kontroli nad tym, jakie dokumenty zawierające dane osobowe są przekazywane między Biurem Sprzedaży Spółki a zakładem głównym Spółki w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna. 8. Dokonanie aktualizacji zgłoszenia zbioru danych osobowych o nazwie „XXX” (zgłoszenie nr R YYY/ZZZ), w zakresie zmienionej firmy administratora danych, w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna. 9. Zapewnienie, aby hasła służące uwierzytelnianiu dostępu użytkowników do systemów informatycznych o nazwach: „TRX”, „Faktury XXX.” oraz „CRM”, były zmieniane nie rzadziej niż co 30 dni, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. 10. Zapewnienie, aby hasła służące uwierzytelnianiu dostępu użytkownikom do systemów informatycznych o nazwach: „Faktury XXX.” oraz „CRM” składały się co najmniej z 8 znaków, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. 11. Zastosowanie środków kryptograficznej ochrony wobec danych, które są przesyłane w sieci publicznej, wykorzystywanych do uwierzytelnienia w systemie informatycznym o nazwie „Faktury XXX.”, w terminie miesiąca od dnia, w którym niniejsza decyzja stanie się ostateczna. Uwagi: 1. Należy mieć na względzie, że w powyższym przypadku była podstawa prawna do przetwarzania danych osobowych i sprawa zakończyła się „tylko” taką oto decyzją GIODO. 2. W przypadku gdyby nie było podstawy prawnej GIODO najczęściej kieruje zawiadomienie do prokuratury 3. Jeśli ustawa zostanie znowelizowana i zostaną dodane do niej „kary pieniężne” tak jak to miało miejsce w ustawie o przeciwdziałaniu praniu pieniędzy to GIODO w drodze decyzji administracyjnej będzie mógł nakładać również (dodatkowo) kary pieniężne. Projektowane kary pieniężne mogą zostać nałożone w wysokości od 1 000 do 100 000 euro. Niezależnie od tych kar GIODO może nałożyć na kierownika kontrolowanej jednostki organizacyjnej lub osobę działającą z jego upoważnienia, którzy uniemożliwiają lub utrudniają przeprowadzenie czynności kontrolnych, karę pieniężną w wysokości do 300 % ich miesięcznego wynagrodzenia. Ponadto, w przypadku niedostarczenia informacji niezbędnych do określenia podstawy wymiaru kary pieniężnej lub gdy dostarczone informacje uniemożliwiają ustalenie tej podstawy GIODO może ustalić podstawę wymiaru kary w sposób szacunkowy, nie mniejszą jednak niż równowartość 10 000 euro, a w przypadku kierownika kontrolowanej jednostki organizacyjnej lub osoby działającej z jego upoważnienia - może nałożyć karę w wysokości do 100 000 zł. Wszystko wskazuje na to, iż nowelizacja ustawy o ochronie danych osobowych wprowadzająca kary pieniężne może zostać uchwalona w niedługim czasie. Opracował na potrzeby PFRN Leszek A. Hardek czerwiec 2010 roku -5-