Wejściu w życie tzw. RODO towarzyszyły duże emocje. Największe z nich rodziły się wokół olbrzymich sankcji karnych, które potencjalnie mógł otrzymać przedsiębiorca za wszelkie uchybienia związane z ochroną danych osobowych. Czy rzeczywiście jest się czego obawiać? Czy kontrole przeprowadzane przez Urząd Ochrony Danych Osobowych są prawdopodobne i czy rzeczywiście mogą zakończyć się nałożeniem kary rzędu kilku milionów euro za naruszenia przepisów RODO?
Na początku należy zaznaczyć, że w Polsce jedynym podmiotem uprawnionym do przeprowadzania kontroli w zakresie nieprawidłowości związanych z ochroną danych osobowych jest Urząd Ochrony Danych Osobowych. Ma on bardzo scentralizowaną strukturę, co oznacza, że jego siedziba mieści się w jednym mieście – tj. w Warszawie. Jednocześnie trzeba sobie zdawać sprawę, że podmiotów przetwarzających dane osobowe jest niezmiernie dużo, gdyż niemal każda działalność gospodarcza się z tym wiąże w większym bądź mniejszym zakresie. Z tego powodu oraz ograniczonego potencjału kadrowego UODO prawdopodobieństwo kontroli tzw. prewencyjnej jest niewielkie. Wzrasta ono znacznie w przypadku powstania istotnego incydentu mogącego mieć negatywny wpływ na prawa i wolności osób, których dane dotyczą.
Przykłady takich sytuacji to:
-
utrata bazy danych klientów na skutek działania osób trzecich (np. kradzież przez podmiot świadczący usługi informatyczne, kradzież pracownicza itd.);
-
przypadkowe ujawnienie bazy danych (np. przesłanie ich na błędny adres e-mail, przypadkowe umieszczenie jej fragmentów na stronie internetowej itd.);
-
utrata sprzętu komputerowego na skutek włamania do siedziby firmy;
-
istotne uszkodzenie bazy danych na skutek awarii sprzętu (w sytuacji, gdy nie posiadamy kopii zapasowej i nie jesteśmy w stanie odtworzyć bazy danych).
W takich sytuacjach zazwyczaj będziemy mieli do czynienia z tzw. naruszeniem ochrony danych osobowych, które może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, dyskryminacji, kradzieży lub sfałszowania tożsamości, stratą finansową, naruszeniem dobrego imienia podmiotu, którego dane dotyczą lub wszelkimi innymi znacznymi szkodami gospodarczymi lub społecznymi.
W takiej sytuacji przedsiębiorca musi pamiętać o obowiązku zgłoszenia naruszenia organowi nadzorczemu (Prezesowi Urzędu Ochrony Danych) w ciągu 72 godzin, chyba że jest w stanie wykazać, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Ponadto, w większości takich przypadków przedsiębiorca będzie też musiał powiadomić osoby, których dane ujawniono bądź utracono.
Jakie kary grożą za naruszenia przepisów RODO?
Przytoczone powyżej przykłady to skrajne sytuacje powodujące najpoważniejsze konsekwencje nie tylko dla podmiotu danych (czyli osób, których dane dotyczą), lecz także dla ich administratora, czyli przedsiębiorcy. UODO nie nałoży kary za konkretne zdarzenie (np. przypadkowe ujawnienie danych), ale za ewentualne nieprzestrzeganie przepisów RODO, które w konsekwencji doprowadziły do naruszenia. RODO daje organowi nadzorczemu możliwość nałożenia administracyjnych kar pieniężnych w wysokości:
-
do 10 000 000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) za np.:
-
nieprawidłowości w zakresie powierzenia przetwarzania danych;
-
niewłaściwe prowadzenie rejestru czynności przetwarzania lub jego brak;
-
brak współpracy z organem nadzorczym (to organ nadzorczy występuje z inicjatywą ewentualnej współpracy, jeśli zachodzi taka potrzeba);
-
niewłaściwe zabezpieczenie danych osobowych (tj. nieuwzględniające obecnego stanu wiedzy technicznej, charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw i wolności osób fizycznych);
-
niezgłoszenie naruszenia ochrony danych osobowych lub niezawiadomienie o naruszeniu osób, których dane dotyczą;
-
do 20 000 000 EUR lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) za np.:
-
przetwarzanie danych osobowych niezgodnie z zasadami RODO (np. zasada minimalizacji danych, prawidłowości, ograniczenia celu itd.);
-
przetwarzanie danych osobowych bez podstawy prawnej;
-
niedotrzymanie warunków wyrażenia zgody na przetwarzanie danych osobowych (np. warunku dobrowolności zgody);
-
niedotrzymanie warunków przetwarzania szczególnych kategorii danych osobowych (tj. np. danych o stanie zdrowia, wyznaniu, orientacji seksualnej);
-
niedopełnienie obowiązku w zakresie realizacji praw osoby, której dane dotyczą (np. obowiązek informacyjny, prawo dostępu do danych, prawo do sprostowania itd.);
-
nieprawidłowości w zakresie przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych.
Czy kary mogą osiągnąć wysokość kilku milionów euro?
Zgodnie z przytoczonymi powyżej regulacjami, kary pieniężne mogą osiągnąć olbrzymie wartości, ponieważ teoretycznie każdy przedsiębiorca może zostać obciążony karą 20 000 000 EUR, a duże przedsiębiorstwo osiągające znaczne dochody karą o wiele wyższą – sięgającą kilkuset milionów euro. Trzeba jednak zauważyć dwie istotne rzeczy, tj. po pierwsze – administracyjne kary pieniężne nie mają obligatoryjnego charakteru, to znaczy, że nawet mimo stwierdzenia nieprawidłowości organ nadzorczy nie jest zobowiązany do jej wymierzenia. Po drugie – przy określaniu wysokości kary organ nadzorczy musi uwzględnić szereg czynników mogących wpłynąć na jej wysokość. Należą do nich np.:
-
charakter, waga i czas trwania naruszenia;
-
umyślny lub nieumyślny charakter naruszenia;
-
działania podjęte przez administratora w celu zminimalizowania szkody;
-
przeszłość administratora (tzn. czy to pierwszy incydent) i stopień jego współpracy z organem nadzorczym.
Konieczność uwzględnienia powyższych okoliczności powoduje, że w zdecydowanej większości przypadków dotyczących drobnych uchybień kary pieniężne będą orzekane jako ostateczność. A ich wysokość z pewnością nie będzie oscylowała w górnej granicy.
Sytuacje, w których firmy doradcze czy szkoleniowe straszą niewielkich przedsiębiorców bezwzględnymi karami w wysokości 20 000 000 EUR można traktować jako próbę wymuszenia na przedsiębiorcy skorzystania z usług takich nieuczciwych firm.
Wysokie kary finansowe zostały wprowadzone do porządku prawnego przede wszystkim po to, by przeciwdziałać nieuczciwym praktykom przetwarzania danych osobowych przez duże koncerny działające w branży teleinformatycznej oraz świadczące tzw. usługi społeczeństwa informacyjnego. Nie oznacza to oczywiście, że narzędzia tego nie będzie można wykorzystać w odniesieniu do małego czy średniego przedsiębiorcy. Jednak aby tak się stało, muszą pojawić się istotne przesłanki zwiększające jego odpowiedzialność.
Przykład 1.
Przedsiębiorcy skradziono komputery z dużą bazą klientów zawierającą szeroki zakres informacji. Były one przechowywane w zamkniętym pomieszczeniu z pełną kontrolą dostępu (kod dostępowy dla pracowników z wymaganym upoważnieniem i przeszkoleniem). Ponadto, pomieszczenie spełniało wysokie standardy bezpieczeństwa (zamki i drzwi spełniające wysokie normy bezpieczeństwa), a środki bezpieczeństwa były określone na podstawie cyklicznie przeprowadzanej analizy ryzyka i audytów bezpieczeństwa. Przedsiębiorca zgodnie z przepisami RODO zgłosił naruszenie organowi nadzorczemu.
W takiej sytuacji przedsiębiorca może liczyć na bardzo łagodną karę lub jej całkowity brak.
Przykład 2.
Przedsiębiorcy skradziono komputery z dużą bazą klientów zawierającą szeroki zakres informacji. Były one przechowywane i użytkowane w pomieszczeniu recepcji pozostawianym czasowo bez nadzoru. Przedsiębiorca zignorował zalecenia wcześniejszej kontroli UODO, nie prowadził analizy ryzyka oraz audytów bezpieczeństwa. Nie stosował środków bezpieczeństwa adekwatnych do ryzyka, a także nie zgłosił organowi nadzorczemu naruszenia.
W tej sytuacji kara finansowa może być bardzo dotkliwa (uwzględniająca potencjał finansowy przedsiębiorcy).
Jeśli nie kary pieniężne, to co?
Do tej pory głównymi narzędziami, jakimi posługiwał się organ nadzorczy, były tzw. uprawnienia naprawcze (przed wejściem w życie RODO organ nadzorczy nie miał uprawnień do nakładania kar pieniężnych). W obecnym porządku prawnym (tj. po wejściu w życie RODO) uprawnienia naprawcze również pełnią istotną rolę. Mają one postać głównie nakazów oraz zakazów i mogą być orzekane jako kary samoistne lub obok ewentualnej kary pieniężnej. Należą do nich:
-
wydawanie ostrzeżeń dotyczących możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania;
-
udzielanie upomnień w przypadku naruszenia przepisów RODO przez operacje przetwarzania;
-
nakazanie spełnienia żądania osoby, której dane dotyczą;
-
nakazanie dostosowania operacji przetwarzania do przepisów RODO;
-
nakazanie zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
-
wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
-
nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania;
-
cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;
-
nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.
Uwaga!
Poza powyżej omówionymi przypadkami, przetwarzanie danych osobowych, których w ogóle nie można przetwarzać albo nie ma się uprawnień do ich przetwarzania, może zostać uznane za przestępstwo zagrożone karą pozbawienia wolności do lat 3 (dotyczy to np. przypadku sprzedaży nielegalnie pozyskanej bazy danych).
Podsumowanie, czyli jak uchronić się przed karami?
Najlepszym sposobem na uniknięcie kar jest niedawanie Urzędowi Ochrony Danych Osobowych powodu do przeprowadzenia kontroli. Niezależnie od wielkości przedsiębiorstwa należy trzymać się dwóch podstawowych zasad, tj.:
-
stosowanie zabezpieczeń adekwatnych do poziomu zagrożeń, tak by nie dopuścić do incydentów, które zgodnie z prawem należy zgłosić Prezesowi UODO;
-
dbanie o rzetelną realizację praw osób, których dane dotyczą i dokumentowanie tego procesu (w dwóch pierwszych miesiącach po wejściu w życie RODO do UODO wpłynęło 1300 skarg – każda skarga musi zostać rozpatrzona, a te uznane za zasadne mogą być przyczyną przeprowadzenia kontroli).
Dalsze zasady dla małych i średnich firm, których należy się trzymać, by spać spokojnie, a które nie są czasochłonne i bardzo kosztowne, to:
-
prowadzenie rejestru czynności przetwarzania lub rejestru kategorii czynności przetwarzania;
-
dbanie o to, by do przetwarzania danych osobowych dopuszczeni byli tylko upoważnieni i przeszkoleni pracownicy;
-
powierzanie danych osobowych tylko na podstawie precyzyjnie skonstruowanych umów, których przestrzeganie można zweryfikować;
-
dbanie o to, by każdy z procesów związany z ochroną danych był rzetelnie udokumentowany (zgodnie z zasadą rozliczalności).
Jeśli mamy do czynienia z dużą firmą, na dużą skalę przetwarzającą dane osobowe lub z firmą niewielką, ale operującą dużymi zbiorami danych, najlepszym rozwiązaniem będzie wyznaczenie kompetentnego inspektora ochrony danych lub skorzystanie z usług firm specjalizujących się w ochronie danych.