RODO a administracyjne kary pieniężne

Za naruszenie obowiązujących aktualnie przepisów prawa ochrony danych osobowych przedsiębiorcy grozi odpowiedzialność karna, administracyjnoprawna oraz cywilnoprawna. Z dniem rozpoczęcia obowiązywania RODO zaczną również obowiązywać bardzo wysokie kary pieniężne sięgające nawet wielu milionów euro. W motywie 148 Preambuły RODO możemy przeczytać, że aby egzekwowanie przepisów RODO było skuteczniejsze, należy nakładać sankcje za jego naruszenie. Bronią w tym przypadku ma być uprawnienie organu nadzorczego do nakładania administracyjnych kar pieniężnych. Kara ta ma za zadanie w każdym indywidualnym przypadku być 1) skuteczna; 2) proporcjonalna i 3) odstraszająca. Są to czynniki natury ogólnej, które powinny być brane pod uwagę łącznie z okolicznościami każdego indywidualnego przypadku, a w szczególności:

  • charakteru, wagi i czasu trwania naruszenia przy jednoczesnym uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą oraz rozmiaru poniesionej przez nie szkody;

  • umyślny lub nieumyślny charakter naruszenia;

  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich;

  • wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

  • kategorie danych osobowych, których dotyczyło naruszenie.

Wysokość sankcji uzależniona została od dwóch czynników: charakteru naruszenia i rodzaju podmiotu. Karze pieniężnej do wysokości 10 mln euro, a w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) podlega, m.in.:

  • administrator i podmiot przetwarzający w przypadku naruszenia, m.in. obowiązków otrzymania zgody przez dziecko na przetwarzanie danych osobowych, naruszenie zasad ochrony danych osobowych w fazie projektowania;

  • podmiot certyfikujący w przypadku naruszenia przepisów dotyczących certyfikacji;

Administracyjnej karze pieniężnej, w maksymalnej kwocie 20 mln euro, a w przypadku przedsiębiorstwa w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa), podlega:

  • naruszenie przepisów podstawowych zasad przetwarzania, w tym warunków zgody;

  • naruszenie praw osób, których dane dotyczą, np. prawo do przenoszenia danych, prawo do bycia zapomnianym, prawo do informacji czy prawo dostępu;

  • przekazywanie danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;

  • naruszenie wszelkich obowiązków wynikających z prawa państwa członkowskiego;

  • nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy.

Widoczna zmianą na pewno jest uprawnienie organu nadzorczego do nakładania administracyjnej kary pieniężnej. Jak widać górna granica kar jest postawiona bardzo wysoko. Jednak nie wydaje się, aby kary, zwłaszcza te na początku obowiązywania RODO, były nakładane w górnych granicach. Dla uspokojenia warto przytoczyć również statystyki z kontroli GIODO: w 2016 przeprowadzono 192 kontrole a w 2017 r. 199. Z raportu GIODO również można wyczytać, że przy okazji badania systemów informatycznych w 2016 tylko 1% badanych systemów informatycznych nie wypełniał obowiązku posiadania dokumentacji przetwarzania danych osobowych. W latach 2013-2016 badając systemy informatyczne pod kątem realizacji wymogów technicznych i organizacyjnych niemalże wszystkie obowiązki były wypełnione ze 100% skutecznością. Jedynie w 2016 w zabezpieczeniu nośników kopii zapasowych wykonanie obowiązków było "jedynie" na poziomie 81% (w poprzednich latach na poziomie ok. 99% wypełnienia obowiązków).

Zadbaj o RODO w swojej firmie

Korzystamy z plików cookies, by ułatwić użytkownikom poruszanie się po serwisie.

Pliki cookies to niewielkie pliki tekstowe wysyłane do urządzeń (komputer, tablet, smartfon). Nie zawierają one danych osobowych. Pozwalają m.in. tworzyć anonimowe statystyki serwisu.

Jeżeli nie blokujesz plików cookies, to zgadzasz się na ich używanie i zapisanie w pamięci urządzenia. W każdym momencie możesz dokonać zmiany ustawień przeglądarki, żeby wyłączyć zapisywanie ciasteczek, a także usunąć je lub ustawić ostrzeżenie przed zapisaniem ich na dysku.

Zmiany ustawień tych plików polegające na ograniczeniu ich stosowania mogą wpłynąć na niektóre funkcjonalności dostępne na stronach internetowych je stosujących.

Przeczytaj również o polityce prywatności.