Dane osobowe w Unii Europejskiej: warto obronić się przed sankcjami

Odpowiednie ukształtowanie środków ochrony danych może mieć kluczowe znaczenie dla uniknięcia lub zmniejszenia sankcji pieniężnych przewidzianych w unijnym rozporządzeniu.

Publikacja: 13.01.2017 05:30

Dane osobowe w Unii Europejskiej: warto obronić się przed sankcjami

Foto: 123RF

Ogólne rozporządzenie o ochronie danych osobowych będzie stosowane we wszystkich krajach UE od maja 2018 r. Przepisy nakładają na administratorów danych i podmioty przetwarzające dane (tzw. procesorów) dodatkowe obowiązki szczególnie w stosunku do osób fizycznych, których dane przetwarzają. Zmienią się też warunki uzyskiwania zgody na przetwarzanie danych, czy zakres obowiązków informacyjnych.

Środki adekwatne do ryzyka

Rozporządzenie pozostawia administratorom więcej swobody (znika obowiązek rejestracji zbiorów danych), z drugiej strony, na podmiotach przetwarzających dane spoczywać będzie większa odpowiedzialność za dobór środków ochrony i wdrożenie procedur odpowiednich do poziomu ryzyka. Zgodnie z promowaną zasadą rozliczalności, administrator lub podmiot przetwarzający na wypadek kontroli będą musieli wykazać, że środki, które wdrożyli dla zapewnienia ochrony danych, są adekwatne do ryzyka (rodzaju działalności, sposobu przetwarzania) oraz że te środki techniczne i organizacyjne są rzeczywiście stosowane.Odpowiednie ukształtowanie środków ochrony danych może mieć kluczowe znaczenie dla uniknięcia lub zmniejszenia sankcji przewidzianych w rozporządzeniu, a te mogą być bardzo dotkliwe.

Kara nawet do 20 mln euro

Do tej pory przedsiębiorcy mogli traktować naruszenia danych osobowych jako naruszenia „mniejszej wagi". Dziś w przypadku zidentyfikowania takiego naruszenia GIODO zazwyczaj wzywa w decyzji do usunięcia uchybień, usunięcia danych osobowych, czy też uzupełnienia, uaktualnienia lub sprostowania danych, aby osiągnąć stan zgodności z prawem. Kary pieniężne nie były podstawowym środkiem oddziaływania na nierzetelnych administratorów, a jeśli nawet były nakładane, to ich wysokość nie była znacząca.

Od 2018 r. ta sytuacja się zmieni. Pieniężna kara ma stać się podstawowym środkiem oddziaływania, a wysokość sankcji ma być na tyle wysoka, aby skutecznie pełniła funkcję odstraszającą i motywowała do przestrzegania przepisów.

Jakie naruszenia

Najwyższa kara do 20 mln euro lub 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku (granicą jest wyższa z kwot) została przewidziana w rozporządzeniu dla:

- Naruszenia podstawowych zasad przetwarzania danych, w tym uzyskiwania zgody na przetwarzanie. Chodzi przede wszystkim o obowiązek zgodnego z prawem przetwarzania danych, rzetelności i przejrzystości przetwarzania, ograniczenia celu przetwarzania, ograniczenie okresu przechowywania danych do uzasadnionego celem przetwarzania, a także o obowiązek zapewnienia integralności i poufności danych oraz ich minimalizacji, czyli przetwarzania wyłącznie w zakresie, który konieczny jest do osiągnięcia danego celu. Administratorzy powinni dochować staranności, aby wyrażenie zgody na przetwarzanie następowało świadomie i dobrowolnie.

- Naruszenia praw osób fizycznych dotyczących: zakresu informacji, jakie administrator zobowiązany jest przekazać osobie fizycznej, zapewnienia prawa dostępu do danych, ich sprostowania, a w odpowiednich przypadkach również do ich usunięcia, ograniczenia przetwarzania, przenoszenia do innego administratora oraz do sprzeciwu wobec przetwarzania, w tym w przypadku stosowania zautomatyzowanego profilowania.

- Przekazywania danych do państw trzecich z naruszeniem przepisów, tj. pomimo niezapewnienia odpowiedniego stopnia ochrony danych. W tym miejscu warto przypomnieć, że podstawą do takiego przekazania mogą być w szczególności odpowiednie umowy przyjęte według wzoru uchwalonego przez Komisję Europejską, decyzja KE stwierdzająca odpowiedni stopień ochrony na danym obszarze lub w danym sektorze, czy też tak zwane wiążące reguły korporacyjne.

Natomiast sankcja do 10 mln euro lub 2 proc. całkowitego rocznego światowego obrotu z poprzedniego roku dotyczyć będzie naruszeń, takich jak niestosowanie zasad privacy by design i privacy by default, obowiązek rejestrowania czynności przetwarzania, nieprzestrzeganie zasad bezpieczeństwa oraz zgłaszania organowi nadzoru informacji o naruszeniach ochrony danych, a także braku wyznaczenia inspektora ochrony danych.

W związku z wysokością kar, warto zastanowić się, jakie kroki można podjąć w celu zmniejszenia ryzyka nałożenia sankcji na administratora. Zgodnie z nowymi przepisami, organ nadzoru, ustalając wysokość kary, będzie zobowiązany wziąć pod uwagę szereg okoliczności.

Po pierwsze, badane będą charakter, waga i czas trwania naruszenia, liczba poszkodowanych oraz rozmiar szkody, osoby fizyczne. Uwzględnione zostaną działania podjęte przez administratora w celu zminimalizowania skutków naruszenia, a także to, czy administrator współpracuje z organem nadzoru po wykryciu naruszenia. Istotne będzie to, czy administrator powiadomił organ nadzoru o naruszeniu samodzielnie, czy też informacja taka została pozyskana przez nadzorcę z innych źródeł. Dlatego przedsiębiorcy powinni zwrócić uwagę na przygotowanie i skuteczne wdrożenie procedur, które pozwolą na sprawne reagowanie w przypadku wykrycia naruszenia oraz na interakcję z GIODO.

Kara może zostać nałożona na podmiot również w przypadku nieumyślnego naruszenia przepisów, jednak umyślny bądź nieumyślny charakter naruszenia, zdolność udowodnienia zastosowania odpowiednich środków technicznych i organizacyjnych, a także wcześniejsza „historia" naruszeń ochrony przez administratora niewątpliwie mogą mieć wpływ na rozstrzygnięcie sprawy.

Kara pieniężna będzie podstawowym środkiem reakcji na naruszenia ochrony danych, a odstąpienie od jej nałożenia może następować jedynie w wyjątkowych sytuacjach. Państwa członkowskie będą uprawnione do przyjęcia przepisów przewidujących sankcje również w przypadkach, gdy nie jest to przewidziane w rozporządzeniu, a obok kary pieniężnej organ nadzoru będzie mógł stosować też inne środki dyscyplinujące, takie jak wydawanie ostrzeżeń, upomnień, ograniczenie lub zakaz przetwarzania danych, czy nakazanie spełnienia żądania osoby fizycznej.

Biorąc pod uwagę nowe podejście do egzekwowania przepisów, zasadę rozliczalności, administratorzy i przetwarzający dane powinni opracować procedury i zapewnić środki techniczne, które pozwolą im wykazać, że dochowali należytej staranności, aby zapewnić bezpieczeństwo przetwarzania danych.

Katarzyna Sawicka, Associate, Deloitte Legal

Agata Jankowska-Galińska, Managing Associate, Deloitte Legal

Ogólne rozporządzenie o ochronie danych osobowych będzie stosowane we wszystkich krajach UE od maja 2018 r. Przepisy nakładają na administratorów danych i podmioty przetwarzające dane (tzw. procesorów) dodatkowe obowiązki szczególnie w stosunku do osób fizycznych, których dane przetwarzają. Zmienią się też warunki uzyskiwania zgody na przetwarzanie danych, czy zakres obowiązków informacyjnych.

Środki adekwatne do ryzyka

Pozostało 93% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Edukacja i wychowanie
Afera w Collegium Humanum. Wykładowca: w Polsce nie ma drugiej takiej „drukarni”
Edukacja i wychowanie
Rozporządzenie o likwidacji zadań domowych niezgodne z Konstytucją?
Praca, Emerytury i renty
Są nowe tablice GUS o długości trwania życia. Emerytury będą niższe