Obowiązek ochrony danych osobowych funkcjonuje w Polsce od 20 lat, jednak dopiero regulacje RODO wprowadzają dotkliwe kary dla przedsiębiorców, którzy nie przestrzegają przepisów. Z tego powodu odpowiednie przygotowanie na dzień 25 maja 2018 roku jest kluczowe dla administratorów danych osobowych oraz organów władzy publicznej, bowiem od tego dnia RODO zacznie obowiązywać bezpośrednio we wszystkich państwach członkowskich Unii Europejskiej.
Wysokie kary administracyjne
Fundamentalną zmianą w tematyce ochrony danych osobowych jest możliwość wymierzania wysokich administracyjnych kar pieniężnych za naruszenie zasad przetwarzania. Do tej pory bowiem Główny Inspektor Ochrony Danych Osobowych nie posiadał takich kompetencji, a jego działalność sprowadzała się do korygowania ewentualnych naruszeń, względnie umożliwiała nakładanie kar grzywny w przypadku nie wykonania wydanej decyzji administracyjnej.
Po dniu 25 maja bieżącego roku to się zmieni. Organ nadzorczy nad prawidłowym przetwarzaniem danych osobowych wyposażony będzie w narzędzia represyjne. Inaczej nie sposób określić możliwości nałożenia kary pieniężnej, której wysokość może sięgać aż do 20.000.000 EUR. Co więcej, zgodnie z RODO, każdy organ nadzorczy ma za zadania zapewniać, by stosowane kary pieniężne „były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające”.
Dla porządku wskazać należy, że RODO przewiduje dwie grupy kar pieniężnych:
- do 10.000.000 EUR lub w wysokości do 2% całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego;
- do 20.000.000 EUR lub w wysokości do 4% całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego,
przy czym każda z kar pieniężnych będzie mogła zostać nałożona już w chwili stwierdzenia naruszenia.
Wysokość kar w zależności od przewinienia
Wysokość nakładanych kar będzie zależała od wielu aspektów, m.in.:
- charakteru, wagi i czasu trwania naruszenia,
- liczby osób poszkodowanych,
- umyślności lub nieumyślności charakteru naruszenia,
- kategorii danych osobowych, których dotyczyło naruszenie,
- podjęcia działań mających na celu zminimalizowanie szkód poniesionych przez osoby, których dane dotyczą oraz to czy dany podmiot już wcześniej dopuszczał się naruszeń.
Organ weźmie również pod uwagę to, czy i w jakich okolicznościach administrator spełnił obowiązek zawiadomienia organu o stwierdzonym naruszeniu.
Wysokość kar uzależniona jest jednak przede wszystkim od tego, które z nowych przepisów zostanie naruszone. Na przykład kara w kategorii tych mniej dotkliwych (pkt a), nałożona zostanie w przypadku:
- naruszenia zasad ochrony danych osobowych w fazie projektowania (privacy by design);
- naruszenie zasad uzyskiwania zgód od dzieci;
- naruszenie zasad przetwarzania z upoważnienia administratora lub podmiotu przetwarzającego;
- naruszenie zasad rejestrowania czynności przetwarzania;
- naruszenie zasada współpracy z organem nadzorczym, w szczególności niezgłoszenie naruszenia ochrony danych organowi nadzorczemu.
Z kolei, kary z wyższego pułapu (pkt b), mogą zostać nałożone w przypadku:
- naruszenia podstawowych zasad przetwarzania ,w tym warunków zgody;
- utrudnianie lub uniemożliwianie realizacji praw osób, których dane dotyczą;
- naruszenie zasad przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej.
Odpowiedzialność cywilnoprawna za naruszenie RODO
Odpowiedzialność przedsiębiorców za naruszenie RODO nie tylko ma charakter omówionej odpowiedzialności administracyjnoprawnej egzekwowana przez właściwe organy nadzoru. Niezależnie od niej, podmioty naruszające przepisy dotyczące ochrony danych osobowych muszą liczyć się z dodatkową odpowiedzialnością cywilnoprawną. Na zasadach ogólnych, postępowanie sądowe w sprawie odszkodowania może zainicjować osoba, której dane dotyczą.
RODO wymaga przygotowania
Dotkliwość kar pieniężnych za naruszenie zasad przetwarzania danych osobowych w praktyce może okazać się niebagatelna. Nałożenie tak wysokich kar może skutkować faktycznym zakończeniem działalności gospodarczej czy też upadłością takiego podmiotu. Z tego powodu ważne jest przeprowadzenie audytu przetwarzania danych i weryfikacja procedur, a także dopasowanie ich do zmieniających się przepisów.
Autor: Monika Bożek, radca prawny, Kancelaria Prawna Piszcz i Wspólnicy