Ogólne rozporządzenie o ochronie danych (RODO) niesie ze sobą duże zmiany prawne nie tylko w zakresie przetwarzania oraz ochrony danych osobowych, ale także w zakresie kar za niewłaściwe praktykowanie jego przepisów.
Jak powszechnie wiadomo, wszystkie podmioty przetwarzające dane osobowe pociągane są do odpowiedzialności prawnej co do nieprzestrzegania aktualnych przepisów prawa. Do dnia 25 maja 2018 roku obowiązującym w tym zakresie aktem była Ustawa o ochronie danych osobowych. Obecnie obowiązujące rozporządzenie przewiduje znacznie wyższe kary o charakterze finansowym sięgające nawet 20 milionów euro, a także inny tryb ich nakładania.
W przypadku nieprzestrzegania wymogów RODO podmiotem odpowiedzialnym jest administrator danych osobowych lub podmiot przetwarzający dane. Co ważne, samo RODO przewiduje odpowiedzialność zarówno administracyjną (z tytułu wydania decyzji przez Prezesa Urzędu Ochrony Danych Osobowych), jak i odszkodowawczą – w przypadku dochodzenia odszkodowania przez osobę, która poniosła szkodę w wyniku naruszenia RODO. W tym drugim przypadku odpowiedzialność administratora i podmiotu przetwarzającego jest co do zasady solidarna. Z prawa do odszkodowania może skorzystać każda osoba, która poniosła straty zarówno majątkowe, jak i niemajątkowe. Obecnie obowiązująca ustawa o ochronie danych osobowych zawiera również przepisy karne, określające kary w przypadku, gdy ktoś przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, jak też gdy udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych. Odpowiedzialność karna przypisywana jest tylko osobom fizycznym.
Zgodnie z zapisami RODO kary pieniężne za nieprzestrzeganie zasad przetwarzania i ochrony danych osobowych mają być skuteczne, odstraszające i proporcjonalne do popełnionego naruszenia. Kara będzie zatem nakładana w zależności od zaistniałych okoliczności rozpatrywanego, indywidualnego przypadku. Przy szacowaniu wysokości kary finansowej pod uwagę brane są między innymi następujące kwestie:
Z kolei wysokość administracyjnej kary pieniężnej naliczana jest według następujących sposobów.
Tego rodzaju kara ma zastosowanie w przypadku naruszenia przepisów rozporządzenia dotyczących zakresu obowiązków administratora oraz podmiotu przetwarzającego (art. 8, art. 11, art. 25-39, art. 42 oraz art. 43), obowiązków podmiotu monitorującego (art. 41 ust. 4) oraz obowiązków podmiotu certyfikującego (art. 42 i art. 43).
Ma ona zastosowanie co do naruszenia przepisów z zakresu podstawowych zasad przetwarzania danych (art. 5, 6, 7 oraz 9, w tym nieprzestrzeganie warunków dotyczących: minimalizacji zakresu danych, ograniczenia czasowego przechowywania, podstaw prawnych, w tym zgody), praw osób, których dane te dotyczą (art. 12-22, jak np. prawo do uzyskania pełnych informacji o przetwarzaniu, prawo do usunięcia danych), przekazywania informacji odbiorcom w państwach trzecich lub organizacjom międzynarodowym, obowiązków wynikających z prawa państwa członkowskiego (rozdział IX), naruszenia nakazu, ostatecznego lub tymczasowego ograniczenia przetwarzania lub zawieszenia przepływu informacji, który został nałożony przez organ nadzorczy lub niezapewnienia dostępu skutkującego naruszeniem (art. 58, ust. 1).