Ogólne rozporządzenie o ochronie danych (RODO) niesie ze sobą duże zmiany prawne nie tylko w zakresie przetwarzania oraz ochrony danych osobowych, ale także w zakresie kar za niewłaściwe praktykowanie jego przepisów.
Kary za nieprzestrzeganie RODO
Jak powszechnie wiadomo, wszystkie podmioty przetwarzające dane osobowe pociągane są do odpowiedzialności prawnej co do nieprzestrzegania aktualnych przepisów prawa. Do dnia 25 maja 2018 roku obowiązującym w tym zakresie aktem była Ustawa o ochronie danych osobowych. Obecnie obowiązujące rozporządzenie przewiduje znacznie wyższe kary o charakterze finansowym sięgające nawet 20 milionów euro, a także inny tryb ich nakładania.
W przypadku nieprzestrzegania wymogów RODO podmiotem odpowiedzialnym jest administrator danych osobowych lub podmiot przetwarzający dane. Co ważne, samo RODO przewiduje odpowiedzialność zarówno administracyjną (z tytułu wydania decyzji przez Prezesa Urzędu Ochrony Danych Osobowych), jak i odszkodowawczą – w przypadku dochodzenia odszkodowania przez osobę, która poniosła szkodę w wyniku naruszenia RODO. W tym drugim przypadku odpowiedzialność administratora i podmiotu przetwarzającego jest co do zasady solidarna. Z prawa do odszkodowania może skorzystać każda osoba, która poniosła straty zarówno majątkowe, jak i niemajątkowe. Obecnie obowiązująca ustawa o ochronie danych osobowych zawiera również przepisy karne, określające kary w przypadku, gdy ktoś przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, jak też gdy udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych. Odpowiedzialność karna przypisywana jest tylko osobom fizycznym.
Rodzaje i wysokość kar za nieprzestrzeganie RODO
Zgodnie z zapisami RODO kary pieniężne za nieprzestrzeganie zasad przetwarzania i ochrony danych osobowych mają być skuteczne, odstraszające i proporcjonalne do popełnionego naruszenia. Kara będzie zatem nakładana w zależności od zaistniałych okoliczności rozpatrywanego, indywidualnego przypadku. Przy szacowaniu wysokości kary finansowej pod uwagę brane są między innymi następujące kwestie:
- waga, charakter oraz czas trwania naruszenia wraz z charakterem, celem i zakresem przetwarzania danych, a także liczba poszkodowanych oraz wielkość poniesionych przez nie szkód majątkowych bądź niemajątkowych;
- charakter popełnionego naruszenia (umyślny bądź nieumyślny);
- stopień, w jakim za popełnione naruszenie odpowiada administrator lub podmiot przetwarzający;
- rodzaj danych osobowych, których dotyczyło naruszenie.
Z kolei wysokość administracyjnej kary pieniężnej naliczana jest według następujących sposobów.
- Jeśli doszło do naruszenia kilku przepisów rozporządzenia w sposób umyślny lub nieumyślny, w obrębie tych samych lub powiązanych procesów przetwarzania, całkowita wysokość kary nie przekracza wysokości kary przewidzianej dla najpoważniejszego z tych naruszeń.
- Odgórnie ustalona wysokość kary w kwocie do 10 000 000 euro, a w przypadku przedsiębiorstwa w kwocie odpowiadającej do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowaniu podlega kwota wyższa.
Tego rodzaju kara ma zastosowanie w przypadku naruszenia przepisów rozporządzenia dotyczących zakresu obowiązków administratora oraz podmiotu przetwarzającego (art. 8, art. 11, art. 25-39, art. 42 oraz art. 43), obowiązków podmiotu monitorującego (art. 41 ust. 4) oraz obowiązków podmiotu certyfikującego (art. 42 i art. 43).
- Odgórnie ustalona wysokość kary w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa w kwocie odpowiadającej do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowaniu podlega kwota wyższa.
Ma ona zastosowanie co do naruszenia przepisów z zakresu podstawowych zasad przetwarzania danych (art. 5, 6, 7 oraz 9, w tym nieprzestrzeganie warunków dotyczących: minimalizacji zakresu danych, ograniczenia czasowego przechowywania, podstaw prawnych, w tym zgody), praw osób, których dane te dotyczą (art. 12-22, jak np. prawo do uzyskania pełnych informacji o przetwarzaniu, prawo do usunięcia danych), przekazywania informacji odbiorcom w państwach trzecich lub organizacjom międzynarodowym, obowiązków wynikających z prawa państwa członkowskiego (rozdział IX), naruszenia nakazu, ostatecznego lub tymczasowego ograniczenia przetwarzania lub zawieszenia przepływu informacji, który został nałożony przez organ nadzorczy lub niezapewnienia dostępu skutkującego naruszeniem (art. 58, ust. 1).
