+48 17 307 07 66
Blog

Kary finansowe w RODO – konsekwencje nieprzestrzegania prawa o ochronie danych osobowych

23 marca 2018

Unijne Rozporządzenie o Ochronie Danych Osobowych (RODO) zaczyna obowiązywać 25 maja 2018 roku i wprowadza wiele zmian, na które osoby przetwarzające dane osobowe muszą być przygotowane już od pierwszego dnia jego obowiązywania.

Ta nowa regulacja jest stosowana wprost, co oznacza, że stanowi wiążące prawo oraz zastępuje dotychczasową polską ustawę o ochronie danych osobowych. Przepisy RODO wprowadzają także zupełnie nowe obowiązki dla przedsiębiorców, między innymi konieczność uwzględnienia ochrony danych osobowych już w fazie projektowania rozwiązań informatycznych, obowiązek przeprowadzania analizy skutków działań przedsiębiorcy pod kątem ochrony danych osobowych czy obowiązek zawiadamiania organu nadzoru o naruszeniach zasad ochrony danych osobowych.

Słabością aktualnych przepisów dotyczących ochrony danych osobowych są niskie lub wręcz znikome konsekwencje za ich nieprzestrzeganie. Przedsiębiorca nieprzestrzegający przepisów obowiązującej ustawy może zostać ukarany grzywną jedynie w celu przymuszenia do wykonania decyzji administracyjnej. Dla osoby fizycznej taka grzywna wynosi maksymalnie 10 000 złotych, a dla osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej wynosi 50 000 złotych.

Konsekwencje nieprzestrzegania prawa o ochronie danych osobowych

Już preambuła RODO wzywa kraje członkowskie Unii Europejskiej do ścisłego przestrzegania wprowadzanych przepisów oraz do zapewnienia postępowania zgodnego z nimi poprzez administracyjne kary pieniężne. W dodatku kary te mają być w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Kary grożące za naruszenie przepisów ochrony danych osobowych to nie tylko kary pieniężne. Organ nadzorczy, czyli Prezes Urzędu Ochrony Danych Osobowych dysponuje uprawnieniami, opisanymi w art. 58 RODO, jest to m.in.:

  • wydawanie ostrzeżeń,
  • udzielanie upomnień,
  • nakaz wydany administratorowi lub podmiotowi przetwarzającemu do spełnienia żądania osoby, której dane dotyczą,
  • nakaz dostosowania sposobu przetwarzania do wymagań RODO,
  • wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych,
  • cofnięcie certyfikacji świadczącej o zgodności z rozporządzeniem o ochronie danych osobowych.

Kary pieniężne w RODO

Prezes ma prawo (oprócz lub zamiast wymienionych wyżej środków) zastosowania administracyjnej kary pieniężnej, zależnie od okoliczności konkretnej sprawy. Wysokość tych kar zależy od rodzaju naruszenia.

Karze do 10 000 000 euro, lub w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego obrotu z poprzedniego roku obrotowego (przy czym stosuje się kwotę wyższą) podlegają naruszenia:

  1. zasad ochrony danych osobowych w fazie projektowania (privacy by design) oraz domyślna ochrona danych (privacy by default),
  2. przetwarzania z upoważnienia administratora lub podmiotu przetwarzającego (art. 29 RODO),
  3. rejestrowania czynności przetwarzania,
  4. współpracy z organem nadzorczym,
  5. bezpieczeństwa przetwarzania.

Kara do wysokości 20 000 000 euro, a w przypadku przedsiębiorstwa – do 4% jego całkowitego obrotu z poprzedniego roku obrotowego (stosowana jest kwota wyższa) podlegają naruszenia:

  1. podstawowych warunków przetwarzania (w tym warunków zgody),
  2. praw osób, których dane dotyczą,
  3. wykonania prawa dostępu przysługującego osobie, której dane dotyczą,
  4. wykonania prawa do sprostowania i usuwania danych,
  5. przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej.

Według projektu Ustawy o ochronie danych osobowych z dnia 12 września 2017 roku (zwana dalej Ustawą) Prezes Urzędu może nałożyć na podmioty publiczne pieniężne kary administracyjne do wysokości 100 000 zł.

Od czego zależy wysokość kar określonych w RODO?

Wysokość kar będzie zależna od kilku czynników i będzie ustalana indywidualnie w każdej sytuacji. Prezes – decydując o karze – będzie zwracać uwagę:

  • na charakter, wagę oraz czas trwania naruszenia,
  • na to czy naruszenie nie było umyślne,
  • na działania podjęte dla zminimalizowania szkody,
  • na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia,
  • na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu,
  • na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający,
  • na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić jedynie upomnienia.

W przypadku naruszeń przetwarzania danych będących szczególnym rodzajem danych osobowych (opisanych w art. 9 RODO), takich jak: pochodzenie rasowe lub etniczne, poglądy polityczne czy przekonania religijne, a także związane z przetwarzaniem danych genetycznych, biometrycznych lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej, Ustawa przewiduje karę grzywny, ale także ograniczenia czy pozbawienia wolności na okres maksymalnie roku.

Nowe rozporządzenie stanowi wyzwanie dla wszystkich podmiotów przetwarzających dane osobowe. Liczba zmian jest ogromna, jednakże właściwe dostosowanie uregulowań wewnętrznych uchroni przed grożącymi karami. W takim wypadku właściwe zdaje się zdanie na profesjonalistów, którzy dopilnują przygotowań przed 25 maja.

Prawnicy Kancelarii TMH kompleksowo przeprowadzają cały proces wdrożenia wymagań RODO u przedsiębiorców, przy czym także przeprowadzają szkolenia dla pracowników i innych osób zainteresowanych tematem zmian w przepisach.

 

Julia Bonusiak – prawnik Kancelarii TMH