Aspektem RODO, który najbardziej pobudza wyobraźnię, są kary przewidziane za nieprzestrzeganie nowych przepisów. Poniekąd słusznie – w najwyższym wymiarze są w stanie pogrążyć przedsiębiorstwo, a przynajmniej poważnie nadwyrężyć jego budżet.
Jednak aby „zasłużyć” na najwyższy wymiar kary, firma musiałaby dopuścić się wyjątkowo poważnych naruszeń nowych przepisów. Choć wysokość kar jest na pewno interesująca, przeanalizujemy też procedurę, które zwykle poprzedzają nałożenie kar – czyli kontrolę w firmie.
Wstępne informacje o RODO/GDPR, a także kilka słów o założeniach niniejszego cyklu artykułów, znajdziesz we wpisie pilotowym, który przeczytasz tu.
Wpis pierwszy, o podstawowych założeniach RODO/GDPR i polskich ustawach dostosowujących nasze prawo do nowych przepisów, przeczytasz tu.
Wpis drugi, o prawach osób, których dane są przetwarzane i obowiązkach przedsiębiorców w ramach nowych przepisów, przeczytasz tu.
Przeczytaj też dwa wpisy o ePrivacy, czyli rozporządzeniu towarzyszącemu RODO. Są tu: wpis 1 i wpis 2.
Jeszcze uwaga techniczna – określeń RODO i GDPR będziemy w niniejszym artykule używać zamiennie. Oznaczają one to samo rozporządzenie, a ponieważ oba pojawiają się w dyskusjach, warto, abyś był „oswojony” z obydwoma terminami.
Podobnie jak w poprzednich artykułach o RODO i ePrivacy, poprosiliśmy o wpis gościnny i obszerny komentarz Panią Joannę Swaryczewską-Dede z kancelarii Porębski i Wspólnicy, specjalizującą się między innymi w zagadnieniach związanych z przetwarzaniem danych osobowych, oraz zajmującą się przygotowywaniem dokumentacji wewnętrznej dla przedsiębiorców, prowadzeniem audytów, a także doradztwem z zakresu ochrony danych osobowych.
Temat nie jest łatwy – usiądź wygodnie i zarezerwuj sobie 10 minut na przeczytanie artykułu. Zaczynamy.
Kary RODO – sankcje za niedostosowanie
O karach pisaliśmy w artykule o rozporządzeniu ePrivacy, ponieważ stosuje te same sankcje co GDPR, ale przypomnijmy dla efektu:
Naruszenie niektórych przepisów rozporządzenia może doprowadzić do nałożenia kar administracyjnych w wysokości do 10 000 000 EUR. W przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Natomiast naruszenie innych przepisów rozporządzenia grozi karami do 20 000 000 EUR lub 4% całkowitego rocznego światowego dochodu w przypadku przedsiębiorstwa.
Kary RODO – Procedura kontroli i karania
GDPR stanowi, że kontrolą przestrzegania przepisów o ochronie danych osobowych oraz nakładaniem ewentualnych sankcji zajmują się odpowiednie organy państwowe, powołane w każdym państwie członkowskim Unii Europejskiej.
W nowym projekcie polskiej ustawy o ochronie danych osobowych, dostosowującej nasze przepisy do RODO, zostały przewidziane procedury kontroli zgodności z przepisami RODO oraz nakładania kar w przypadku stwierdzenia uchybień.
Projekt wskazuje, że postępowanie kontrolne może być prowadzone zgodnie z planem kontroli zatwierdzonym przez Prezesa Urzędu Ochrony Danych Osobowych (który ma zastąpić GIODO), bądź poza planem na podstawie uzyskanych przez Prezesa Urzędu informacji albo przeprowadzonych analiz.
Zgodnie z projektem, do kontroli działalności gospodarczej przedsiębiorcy stosuje się przepisy rozdziału 5 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej z wyłączeniem m.in. art. 79, który wskazuje, że podmiot, który będzie podlegał kontroli powinien zostać o niej poinformowany, tak by mógł się do niej przygotować.
Oznacza to, że kontrole przestrzegania przepisów o ochronie danych osobowych będą mogły odbywać się bez zapowiedzi.
W razie stwierdzenia w toku postępowania kontrolnego, że w podmiocie kontrolowanym mogło dojść do naruszenia przepisów o ochronie danych osobowych, Prezes Urzędu niezwłocznie wszczyna postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych.
Projekt ustanawia jednoinstancyjność postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, pozbawionego istniejącego do tej pory wniosku o ponowne rozpatrzenie sprawy jako środka odwoławczego.
Prezes Urzędu będzie miał prawo autokontroli (uchylenia i zmiany) swoich decyzji w terminie 30 dni od dnia wniesienia skargi.
Procedura kontroli i karania – komentarz prawnika
„Dotychczas, w zakresie nieuregulowanym w przepisach o ustawie o ochronie danych osobowych do kontroli GIODO stosowane były przepisy ustawy o swobodzie działalności gospodarczej, w tym wspomniany art. 79 ust. 4, zgodnie z którym organ kontrolujący zawiadamiał o planowanej kontroli. Dzięki takiemu zawiadomieniu kontrolowany podmiot ma możliwość przygotowania się do kontroli, a w szczególności sprawdzenia dokumentacji, uzupełnienia ewentualnych nieprawidłowości, które mogłyby zostać zakwestionowane podczas postępowania kontrolnego.
Zgodnie z projektem nowej ustawy o ochronie danych osobowych, postępowanie kontrolne ma odbywać się bez zapowiedzi. Biorąc pod uwagę surowość sankcji za nieprzestrzeganie przepisów RODO przedsiębiorcy powinni jak najszybciej rozpocząć przygotowania do dostosowania swoich przedsiębiorstw do nowej regulacji prawnej.
Projektowane odejście od dwuinstancyjnego modelu postępowania w sprawie naruszenia przepisów o ochronie danych osobowych budzi skrajne reakcje. Z jednej strony pojawiają się głosy aprobujące takie rozwiązanie i wskazujące, że wpłynie to na szybkość postępowania przed organem ochrony danych. Z drugiej strony w środowisku prawniczym mówi się, że argument ograniczenia przewlekłości to za mało oraz że taka propozycja może być niezgodna z konstytucją.
Biorąc jednak pod uwagę, że dotychczasowa praktyka wskazuje na niezwykle niską skuteczność wniosków o ponowne rozpatrzenie sprawy przed GIODO, wprowadzenie jednoinstancyjnego postępowania przed nowym organem ochrony danych osobowych wydaje się dobrym rozwiązaniem. Strony postępowania będą mogły od razu zaskarżyć decyzję prezesa urzędu do sądu, bez konieczności składania wniosku o ponowne rozpatrzenie sprawy.„
Kary RODO – Uprawnienia Prezesa Urzędu Ochrony Danych Osobowych
Nowe przepisy nadają Prezesowi Urzędu szereg uprawnień już w przypadku stwierdzenia naruszenia (art. 55 projektu). Projekt w zakresie uprawnień organu ochrony danych odsyła do RODO.
Prezes Urzędu może podjąć następujące rozstrzygnięcia:
- udzielić upomnienia,
- nakazać administratorowi lub podmiotowi przetwarzającemu spełnienie żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy GDPR,
- nakazać administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów RODO,
- nakazać administratorowi zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych,
- wprowadzić czasowe lub całkowite ograniczenia przetwarzania, w tym zakaz przetwarzania;
- nakazać sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz powiadomienie o tych czynnościach odbiorców, którym dane osobowe ujawniono,
- cofnąć certyfikację lub nakazać podmiotowi certyfikującemu cofnięcie certyfikacji lub nieudzielanie certyfikacji,
- nałożyć administracyjną karę pieniężną,
- nakazać zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.
Projekt ustawy przewiduje, że w przypadku gdy wobec podmiotu, który naruszył przepisy o ochronie danych osobowych została nałożona administracyjna kara pieniężna, istnieje możliwość odroczenia zapłaty kary i rozłożenia jej na raty przez Prezesa Urzędu.
Co istotne, w przypadku gdy waga naruszenia przepisów o ochronie danych osobowych jest znikoma, a strona zaprzestała naruszenia Prezes Urzędu może w drodze decyzji udzielić upomnienia.
Warto dodać, iż wszystkie rozstrzygnięcia Prezesa podlegają rygorowi natychmiastowej wykonalności. Natomiast wniesienie przez stronę skargi do sądu administracyjnego powoduje wstrzymanie wykonania decyzji tylko w zakresie dotyczącym administracyjnej kary pieniężnej.
Uprawnienia Prezesa UODO – komentarz prawnika
Zgodnie z przepisami RODO administracyjne kary pieniężne, nakładane przez Prezesa Urzędu muszą być w każdym indywidualnym przypadku: skuteczne, proporcjonalne i odstraszające. Biorąc pod uwagę wysokość przewidzianych w RODO sankcji finansowych za naruszenia, należy się spodziewać że kary będą pełnić wskazane wyżej funkcje.
Zwracam uwagę, że organ ochrony danych decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, powinien w każdym przypadku mieć na uwadze m.in.:
- charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
- umyślny lub nieumyślny charakter naruszenia,
- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
- stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich w celu zapewnienia bezpieczeństwa danych,
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
- sposób, w jaki organ dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.
Biorąc pod uwagę powyższe, w przypadku naruszenia ochrony danych administrator, bądź procesor powinni:
- zgłosić wystąpienie incydentu bezpieczeństwa organowi ochrony danych – jeśli organ dowie się o naruszeniu ochrony danych od podmiotu trzeciego, np. osoby, której dane dotyczą, należy spodziewać się że sankcja będzie bardziej dotkliwa,
- jak najszybciej podjąć działania w celu zminimalizowania skutków naruszeń oraz zapobieżenia naruszeniu ochrony danych osobowych w przyszłości,
- bezwzględnie współpracować z organem nadzorczym, dostarczając mu wszelkie niezbędne informacje i dokumenty.
Kary RODO – Dodatkowe prawa osób poszkodowanych
W projekcie nowej ustawy o ochronie danych osobowych przewidziano również możliwość dochodzenia roszczeń na drodze sądowej przed sądami cywilnymi (obok wszczęcia postępowania administracyjnego). Osoba, której prawa przysługujące na mocy przepisów ochronie danych osobowych zostały naruszone może żądać zaniechania takiego działania, a także dopełnienia czynności potrzebnych do usunięcia skutków naruszenia.
Nie wyłącza to jednak możliwości wystąpienia z innymi roszczeniami z tytułu naruszenia przepisów o ochronie danych osobowych wobec podmiotu, który dopuścił się naruszenia.
Osoba, której prawa (związane z ochroną danych osobowych) zostały naruszone będzie miała następujące roszczenia przeciwko administratorowi danych/procesorowi:
- na podstawie art. 24 k.c. – roszczenia niemajątkowe i majątkowe z tytułu naruszenia dóbr osobistych (np. prawa do prywatności);
- roszczenia odszkodowawcze (w przypadku szkody majątkowej lub niemajątkowej) na podstawie art. 82 GDPR;
- roszczenie niemajątkowe o usunięcie skutków, którego bezpośrednim źródłem będzie ustawa o ochronie danych osobowych bez potrzeby odwoływania się do pojęcia dóbr osobistych.
Oznacza to, że osoba której prawa zostały naruszone będzie w stanie na drodze cywilnej uzyskać szeroką ochronę.
Prawa osób poszkodowanych – komentarz prawnika
„RODO wprowadza do polskiego porządku prawnego nowy rodzaj powództwa z którym będzie mogła wystąpić każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów o ochronie danych osobowych. Dotychczas tego rodzaju możliwość nie była uregulowana wprost w przepisach prawa. Pokrzywdzony mógł co prawda wnieść powództwo do sądu powołując się na naruszenie dobra osobistego w postaci prywatności. Jednakże, w takiej sprawie powód w pozwie zobowiązany był wykazać, że działania pozwanego stanowią naruszenie jego dobra osobistego.
Od 25 maja 2018 r. w pozwie wystarczające będzie powołanie się na naruszenie samych przepisów o ochronie danych osobowych. Będzie to z pewnością sporym ułatwieniem dla podmiotów danych.
Administratorzy oraz procesorzy będą musieli się liczyć z tym, że naruszenie przepisów o ochronie danych może mieć dla nich bardzo przykre skutki finansowe. Konsekwencją naruszenia może być bowiem nie tylko wysoka kara administracyjna, ale również konieczność wypłaty odszkodowania osobie, której prawa zostały naruszone. Jako, że nic nie działa na przedsiębiorców tak jak widmo kary finansowej, rygorystyczne przepisy w tym zakresie powinny skłonić ich do jak najszybszego podjęcia działań celem dostosowania do wymogów RODO.”
Na tym, na razie, kończymy nasz cykl o GDPR (RODO) i ePrivacy. Masz już pełen obraz nowego prawa i wiesz co Cię czeka – zarówno jako przedsiębiorcę, jak i osobę prywatną.
Zgodnie z zapowiedzią, do niniejszego cyklu będziemy wracać i go aktualizować w miarę postępu prac nad polską ustawą dostosowującą, oraz pojawiania się nowych danych czy interpretacji.
Jeżeli chcesz przypomnieć sobie poszczególne artykuły cyklu, kliknij w poniższe linki: