Poradnik Przedsiębiorcy

Odpowiedzialność za naruszenie przepisów RODO

Zaniedbanie obowiązków wynikających z przepisów RODO może skutkować dla przedsiębiorcy przetwarzającego i przechowującego dane osobowe poważnymi konsekwencjami. Administracyjna kara finansowa to nie jedyny środek, który grozi nieuważnemu przedsiębiorcy – naruszenie przepisów RODO może nieść za sobą również odpowiedzialność karną oraz cywilnoprawną.

Przestrzeganie przepisów RODO podlega kontroli

Przestrzeganie przepisów RODO podlega kontroli, która w Polsce jest prowadzona na podstawie przepisów ustawy o ochronie danych osobowych, przez pracowników Urzędu Ochrony Danych Osobowych (UODO). Kontrolerowi przysługuje szereg uprawnień (m.in. wstępu do budynków i pomieszczeń wykorzystywanych przez przedsiębiorcę do prowadzenia działalności, wglądu do dokumentów, przesłuchiwania świadków, żądania wyjaśnień od przedsiębiorcy i jego pracowników, zlecenia zewnętrznych ekspertyz i opinii). 

Po zakończeniu kontroli Prezes UODO, w zależności od wyników przeprowadzonych czynności, może zadecydować o wszczęciu postępowania w sprawie naruszenia przepisów.

Postępowanie w sprawie naruszenia przepisów może zostać również wszczęte w każdym przypadku, w którym Prezes UODO poweźmie informację o naruszeniu danych osobowych (np. z uwagi na skargę zgłoszoną przez osobę, której dane dotyczą lub z uwagi na doniesienia medialne).

Co istotne, na każdym administratorze danych osobowych ciąży obowiązek zgłoszenia organowi nadzorczemu każdego przypadku naruszenia ochrony danych, chyba że jest mało prawdopodobne, że naruszenie spowodowało naruszenie praw lub wolności osób fizycznych.

Administrator danych osobowych ma obowiązek zawiadomienia UODO bez zbędnej zwłoki (maksymalnie do 72 godzin od stwierdzenia naruszenia) o każdym naruszeniu zasad ochrony. Dokonanie zgłoszenia będzie okolicznością łagodzącą w przypadku, w którym organ nadzorczy zdecyduje się nałożyć na administratora danych karę za naruszenie przepisów RODO.

Zgłoszenie musi zawierać elementy wskazane w przepisach ustawy o ochronie danych osobowych, m.in. opis charakteru naruszenia, przybliżoną liczbę osób, których dane zostały naruszone, opis możliwych konsekwencji zdarzenia, wskazanie zastosowanych przez administratora środków. 

Milionowe kary administracyjne za naruszenie przepisów RODO

Naruszenie przepisów RODO może skutkować odpowiedzialnością administracyjną. Przepisy RODO przewidują dwie kategorie kar finansowych, uszeregowane w zależności od kategorii dokonanego naruszenia.

Organ nadzorczy może nałożyć karę administracyjną w wysokości do 10 000 000,00 euro lub w wysokości do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego w przypadku naruszenia:

  • określonych obowiązków administratora i podmiotu przetwarzającego (m.in. obowiązki dotyczące wyrażenia zgody przez dziecko, przetwarzania niewymagającego certyfikacji, rejestrowanie czynności przetwarzania, zapewnienia bezpieczeństwa przetwarzania, współpracy z organem nadzorczym, zgłaszanie organowi nadzorczemu informacji o naruszeniu zasad ochrony, zawiadomienie osoby, której dane dotyczą o naruszeniu zasad ochrony jej danych osobowych, przeprowadzenia oceny skutków dla ochrony danych, wyznaczenie inspektora ochrony danych osobowych);

  • określonych obowiązków podmiotu certyfikującego;

  • określonych obowiązków podmiotu monitorującego.

Za nieprzestrzeganie przepisów RODO grozi kara administracyjna w wysokości do 10 lub 20 milionów euro lub do 2 lub 4% całkowitego rocznego obrotu z poprzedniego roku obrotowego.

Wyższa kara – w wysokości do 20 000 000,00 euro lub w wysokości do 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego może zostać nałożona na administratora danych w przypadku naruszenia:

  • podstawowych zasad przetwarzania, w tym warunków wyrażenia zgody;

  • praw osób, których dotyczą przetwarzane dane osobowe;

  • zasad przekazywania danych osobowych odbiorcy do państwa trzeciego lub organizacji międzynarodowej;

  • obowiązków wynikających z praw państwa członkowskiego (w Polsce będzie to ustawa o ochronie danych osobowych);

  • nieprzestrzegania nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy.

Jeżeli organ nadzorczy uzna, że zastosowanie kary pieniężnej byłoby zbyt dotkliwym środkiem, może wykorzystać środki naprawcze wskazane w rozporządzeniu RODO (np. upomnienie albo wprowadzenie ograniczenie przetwarzania danych).

Przy podejmowaniu decyzji o wymiarze kary organ powinien wziąć pod uwagę następujące czynniki:

  • charakter czynu, jego wagę i czas trwania naruszenia, przy jednoczesnym uwzględnieniu sposobu przetwarzania danych (jego charakteru, zakresu, celu, liczby poszkodowanych oraz wymiaru poniesionych szkód);

  • umyślny lub nieumyślny charakter naruszenia;

  • działania podjęte w celu zminimalizowania szkody;

  • stopień odpowiedzialności administratora danych lub podmiotu przetwarzającego dane z uwzględnieniem wdrożonych przez nich środków technicznych;

  • wcześniejszy sposób postępowania – wszelkie wcześniejsze naruszenia przepisów o ochronie danych osobowych oraz przestrzeganie środków nałożonych na administratora danych w związku z wcześniejszym naruszeniem;

  • zachowanie po naruszeniu zasad ochrony, w tym stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego negatywnych skutków;

  • kategorie danych osobowych, których dotyczyło naruszenie przepisów RODO;

  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu – w szczególności, czy informacja ta została zgłoszona przez administratora danych lub podmiot przetwarzający;

  • stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji;

  • wszelkie inne czynniki obciążające lub łagodzące (np. osiągnięte korzyści finansowe lub uniknięte straty).

Kara jest nakładana w drodze decyzji administracyjnej wydawanej przez Prezesa UODO. Zgodnie z obowiązującymi przepisami ukarany podmiot ma 14 dni na jej uiszczenie – termin ten jest liczony od dnia upływu terminu na wniesienie skargi albo od uprawomocnienia orzeczenia sądu administracyjnego.

Ze względu na ważny interes ukaranego podmiotu Prezes UODO może odroczyć zapłatę kary albo rozłożyć jej płatność na raty, a także udzielić ulgi w jej wykonaniu.

Decyzja o wymierzeniu kary jest zaskarżalna za pomocą skargi wnoszonej do sądu administracyjnego. 

Osoba fizyczna może pozwać administratora danych

Osoba, której prawa zostały naruszone w wyniku złamania przez administratora danych przepisów RODO, ma prawo do:

  • żądania zaniechania naruszeń;

  • odszkodowania za poniesione szkody;

  • zadośćuczynienia za doznaną krzywdę.

Postępowanie w tej sprawie toczy się na ogólnych zasadach wskazanych w Kodeksie cywilnym i Kodeksie postępowania cywilnego, choć o wszczęciu postępowania sąd ma obowiązek zawiadomić Prezesa UODO, który ma prawo do wstąpienia do postępowania, a także do przedstawienia sądowi rozpoznającego sprawę swojego istotnego poglądu.

Co ważne, wydana przez Prezesa UODO decyzja o naruszeniu przepisów o ochronie danych osobowych jest wiążąca dla sądu – jeżeli UODO uzna, że doszło do naruszenia przepisów, sąd rozpoznający sprawę w postępowaniu cywilnym nie może orzec, że do naruszenia nie doszło. 

Za naruszenie przepisów RODO grozi odpowiedzialność karna

Naruszenie przepisów RODO może skutkować również odpowiedzialnością karną. Przepisy karne zostały zawarte w ustawie o ochronie danych osobowych i przewidują one – w zależności od rodzaju czynu – karę grzywny, karę ograniczenia wolności lub karę pozbawienia wolności nawet do lat trzech.

Przetwarzanie danych osobowych, które jest niedopuszczalne albo dokonane przez osobę, która nie jest uprawniona do podejmowania takich czynności, jest zagrożone karą grzywny, ograniczenia wolności lub pozbawienia wolności do lat dwóch. W przypadku, w którym czyn dotyczy danych osobowych o szczególnym znaczeniu (np. danych biometrycznych, danych ujawniających pochodzenie rasowe lub etniczne, danych dotyczących zdrowia), wymiar kary pozbawienia wolności został zwiększony do lat trzech.

Przestępstwem jest również udaremnianie lub utrudnianie przeprowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych. Czyn ten jest zagrożony karą grzywny, ograniczenia wolności lub pozbawienia wolności do lat dwóch.