Kary za niewdrożenie RODO

W związku z obowiązującym Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanym „RODO”, które weszło w życie 17 maja 2016 r., zaś obowiązuje bezpośrednio w krajowych porządkach prawnych od 25 maja 2018 r., pragniemy poinformować o najbardziej kontrowersyjnych zmianach w zakresie nowej regulacji, a mianowicie karach. Jedną z najistotniejszych zmian, którą przyniosła reforma unijnych przepisów o ochronie danych osobowych, jest bowiem wprowadzenie administracyjnej kary pieniężnej do katalogu sankcji z tytułu naruszenia obowiązków przewidzianych w RODO.

RODO przewiduje dwa pułapy kar:

  1. w wysokości do 10.000.000 EUR albo do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, jeśli podmiot narusza przepisy, tyczące się obowiązków administratora czy podmiotu przetwarzającego, certyfikującego bądź monitorującego,

lub

  1. w wysokości do 20.000.000 EUR albo do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w przypadku naruszenia przepisów o prawach osób, których dane dotyczą podstawowych zasad przetwarzania, przekazywania danych do państw trzecich oraz nieprzestrzegania nakazu ograniczenia przetwarzania bądź zawieszenia danych.

RODO akcentuje, że kara ma być proporcjonalna, skuteczna i odstraszająca. Kryterium doboru kary określa treść art. 83, pkt 2 RODO, zgodnie z którym przy wymiarze kary ocenia się:

  • charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
  • umyślny lub nieumyślny charakter naruszenia,
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych przez nich wdrożonych,
  • wszelkie wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
  • kategorie danych osobowych, których dotyczyło naruszenie,
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
  • jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie uprawnienia naprawcze, a jak tak czy podmiot się do nich zastosował,
  • stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji,
  • wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Należy pamiętać, że oprócz administracyjnych kar pieniężnych RODO przewiduje również uprawnienie podmiotu danych do dochodzenia na drodze cywilnoprawnej odszkodowania za szkodę materialną lub niematerialną, poniesioną w wyniku naruszenia przez administratora zasad wynikających z rozporządzenia.

Ogromna ilość przedsiębiorstw jeszcze nie wdrożyła nowych przepisów. Od 25 maja 2018 roku następca GIODO może nałożyć kary pieniężne już w chwili stwierdzenia naruszenia. Podmiotom, które nie wdrożyły RODO zalecamy natychmiast zainteresować się przepisami rozporządzenia, unikając zagrożenia wysokimi karami, które jest już realne.