Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we (RODO) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. l nr 119, str. 1) wprowadza nowe zasady ochrony danych osobowych, zwiększając jednocześnie obowiązki administratorów. Fundamentem tych zmian są nowe narzędzia umożliwiające organom nadzorczym skuteczne egzekwowanie przestrzegania RODO. Sprawdź, jakie ryzyko wiąże się z naruszeniem RODO!
Rodzaje kar administracyjnych i ich wysokość za złamanie przepisów RODO
Administracyjna kara pieniężna w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa – grozi za naruszenie:
-
obowiązków administratora i podmiotu przetwarzającego związanych z: warunkami wyrażenia zgody na przetwarzanie danych osobowych przez dziecko w przypadku usług społeczeństwa informacyjnego, przetwarzaniem niewymagającym identyfikacji, wdrożeniem odpowiednich środków ochrony danych, współadministrowaniem, wyznaczaniem przedstawiciela w UE, powierzeniem przetwarzania danych, rejestrowaniem czynności przetwarzania, współpracą z organem nadzorczym, bezpieczeństwem przetwarzania danych osobowych, oceną skutków dla ochrony danych i uprzednimi konsultacjami, powoływaniem i funkcjonowaniem inspektora ochrony danych, mechanizmami certyfikacji i podmiotami certyfikującymi (art. 8, 11, 25–39 oraz 42 i 43 RODO),
-
obowiązków podmiotu certyfikującego związanych z mechanizmami certyfikacji i podmiotami certyfikującymi (art. 42 i 43 RODO),
-
obowiązków podmiotu monitorującego, tj. podejmowania odpowiednich działań w przypadku naruszenia kodeksu postępowania w sprawach ochrony danych przez administratora lub podmiot przetwarzający, w tym zawieszanie lub wykluczanie administratora lub podmiot przetwarzający spośród stosujących kodeks, jak również informowanie organu nadzorczego (art. 41 ust. 4 RODO).
10 000 000 EUR lub 3% całkowitego rocznego światowego obrotu przedsiębiorstwa to kara grożąca za naruszenie obowiązków związanych z prawidłowym wdrożeniem RODO z punktu widzenia np. podejmowania właściwych środków ochrony danych, powołania inspektora ochrony danych lub prowadzenia właściwych rejestrów.
Administracyjna kara pieniężna w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa – grozi za naruszenie:
-
podstawowych zasad przetwarzania, w tym warunków zgody (art. 5, 6, 7, 9 RODO),
-
praw osób, których dane dotyczą (art. 12–22 RODO),
-
przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej (art. 44–49 RODO),
-
wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX RODO,
-
nieprzestrzegania nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy (art. 58 RODO).
20 000 000 EUR lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa to kara grożąca za naruszenie podstawowych zasad RODO oraz warunków wyrażenia zgody na przetwarzania danych osobowych.
Nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów RODO, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
Co decyduje o tym, że kara zostanie nałożona?
Organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych (PUODO) – ma obowiązek dbać o to, by stosowane na mocy RODO administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.
PUODO, decydując, czy nałożyć karę i ustalając jej wysokość, bierze pod uwagę:
-
charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
-
umyślny lub nieumyślny charakter naruszenia,
-
działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
-
stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych,
-
wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
-
stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
-
kategorie danych osobowych, których dotyczyło naruszenie,
-
sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
-
jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki – przestrzeganie tych środków,
-
stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji,
-
wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
Przedsiębiorco, czy rzeczywiście grożą ci wysokie kary?
Odpowiadając na pytanie, czy opisane wyżej wysokie kary w rzeczywistości będą stosowane przez kontrolerów PUODO, warto odnieść się do praktycznych wskazówek Grupy Roboczej art. 29 zawartych w dokumencie pt. Wytyczne dotyczące zastosowania i nakładania administracyjnych kar pieniężnych na potrzeby rozporządzenia 2016/679 (ang. Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679), przyjętych 3 października 2017 r.
W dokumencie tym wyraźnie wskazuje się, że skuteczna, odstraszająca i proporcjonalna kara powinna uwzględniać cel – przywrócenie stanu zgodnego z przepisami RODO, ale również ukaranie zachowania sprzecznego z tymi przepisami. Grupa art. 29 podkreśla, że kary te wcale nie powinny być używane w ostateczności. Powinny natomiast być stosowane w taki sposób, by nie stały się jedynie teoretyczne oraz by były skuteczne i działały jako realny czynnik odstraszający. Zatem przedsiębiorcy powinni liczyć się z tym, że regulacje RODO dotyczące kar pieniężnych nie pozostaną jedynie martwymi zapisami.
Jednocześnie proporcjonalność tych kar, zdaniem Grupy art. 29, zakłada, że jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia.