Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Firma

Kary w RODO: skutecznie, proporcjonalnie i odstraszajšco

Adobe Stock
Zgodnie z tekstem Rozporzšdzenia o ochronie danych oraz wytycznymi Grupy Roboczej 29, gdy zostanie stwierdzone naruszenie RODO, właœciwy organ nadzorczy obowišzany będzie do reakcji na takie naruszenie przez zastosowanie najbardziej odpowiedniego œrodka naprawczego. W fazie wybierania œrodka naprawczego organy nadzorcze powinny zastosować się do kilku kluczowych zasad. Jedna z nich wskazuje, że działanie przepisów powinno prowadzić do nałożenia „równoważnych kar".

25 maja 2018 r. we wszystkich państwach członkowskich UE wejdzie w życie Ogólne rozporzšdzenie o ochronie danych („RODO" / „Rozporzšdzenie"). RODO ma zapewnić jednolite postępowanie z danymi osobowymi w Europie, doprowadzić do istotnej harmonizacji wymogów i standardów w zakresie ochrony danych osobowych w całej UE. Kluczowe znaczenie dla zapewnienia funkcjonowania zharmonizowanego systemu ochrony danych osobowych ma konsekwentne egzekwowanie zasad, między innymi poprzez nakładanie administracyjnych kar pieniężnych przez organy nadzorcze. Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, powołana na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 paŸdziernika 1995 r. („Grupa Robocza 29"/ „GR 29"), wydała wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporzšdzenia nr 2016/679.

Kluczowe zasady dla organow nadzorczych

Zgodnie z tekstem Rozporzšdzenia o ochronie danych oraz wytycznymi Grupy Roboczej 29, gdy zostanie stwierdzone naruszenie RODO, właœciwy organ nadzorczy obowišzany będzie do reakcji na takie naruszenie przez zastosowanie najbardziej odpowiedniego œrodka naprawczego. W fazie wybierania œrodka naprawczego organy nadzorcze powinny zastosować się do kilku kluczowych zasad. Jedna z nich wskazuje na to, że naruszenie rozporzšdzenia powinno prowadzić do nałożenia „równoważnych kar".

Przez pojęcie „równoważnoœci", zgodnie z motywem 10 RODO, należy rozumieć zapewnienie przez wszystkie państwa członkowskie równorzędnego stopnia stosowania przepisów Rozporzšdzenia. Wspomniana równorzędnoœć ma zasadnicze znaczenie dla okreœlenia zakresu obowišzków organów nadzorczych w celu zapewnienia spójnoœci w korzystaniu z uprawnień naprawczych, w tym kar (administracyjnych). Należy przy tym pamiętać, że samo Rozporzšdzenie, ani wytyczne Grupy Roboczej 29 nie zawierajš katalogu kar przypisanych do danego przewinienia. Rozporzšdzenie posługuje się wyłšcznie maksymalnymi pułapami, dostosowanie wysokoœci kary do przewinienia pozostawiono organom nadzoru.

Indywidualnie w każdym przypadku

Kolejnymi równie ważnymi zasadami majšcymi znaczenie przy nakładaniu administracyjnych kar pieniężnych przez organ nadzorczy jest charakter œrodka naprawczego, który zgodnie z art. 83 ust. 1 powinien być „skuteczny, proporcjonalny i odstraszajšcy", a także zgodnie z art. 83 ust. 2 dokonywanie oceny powinno być rozpatrywane indywidualnie w każdym przypadku. Organ nadzorczy, dokonujšc oceny, co w danym przypadku jest skuteczne, proporcjonalne i odstraszajšce, będzie musiał mieć na uwadze cel wybranego œrodka naprawczego, którym jest przywrócenie zgodnoœci z przepisami lub ukaranie za bezprawne zachowanie. Najprawdopodobniej dopiero praktyka i wykładnia orzecznicza wykształci jednoznaczne albo dokładniejsze znaczenie niedookreœlonych pojęć.

Organ nadzorczy jest odpowiedzialny za wybór najodpowiedniejszego œrodka. Wybór musi uwzględniać wszystkie œrodki naprawcze, w tym nałożenie odpowiedniej administracyjnej kary pieniężnej, czy to towarzyszšcej œrodkowi naprawczemu na mocy art. 58 ust. 2, czy też występujšcej samodzielnie. Indywidualny przypadek należy rozpatrywać w kategoriach proporcjonalnoœci i skutecznoœci, nie zapominajšc o odstraszajšcym charakterze zastosowanego œrodka. Jeżeli naruszenie jest niewielkie lub jeżeli grożšca kara pieniężna mogłaby stanowić dla osoby fizycznej nieproporcjonalne obcišżenie, można zamiast tego udzielić upomnienia. Jednakże, zgodnie ze stanowiskiem Grupy Roboczej 29 „celem nie jest tu traktowanie kar pieniężnych jako ostatecznoœci albo powstrzymanie się od ich stosowania", a jedynie zwrócenie uwagi na to, że organy nadzorcze powinny bardzo dokładnie rozpoznać i zbadać dane naruszenie, po to by uniemożliwić podważenie skutecznoœci ich działania.

Ostatnia z zasad polega na aktywnym udziale i wymianie informacji między organami nadzorczymi. Chodzi tu przede wszystkim o współpracę pomiędzy organami a także między organami a Komisjš Europejskš. ?

Zasada ta jest wynikiem tego, że nakładanie kar pieniężnych jest dla niektórych państw członkowskich nowoœciš w dziedzinie ochrony danych osobowych. W zwišzku z czym współpraca ta powinna polegać w głównej mierze na wymianie doœwiadczeń oraz praktyk w zakresie nakładania kar pieniężnych, tak aby dać wyraz zasadzie równoważnoœci kar.

Jakie kryteria

W art. 83 ust. 2 znajduje się katalog kryteriów oceny, które majš być stosowane przez organy nadzorcze przy nakładaniu administracyjnych kar pieniężnych.

Grupa Robocza 29 w wydanych wytycznych podjęła próbę wyjaœnienia tych kryteriów, wskazujšc między innymi na wskazówki dotyczšce sposobu interpretacji poszczególnych okolicznoœci faktycznych danej sprawy w œwietle kryteriów okreœlonych w RODO:

Charakter, waga i czas trwania

W Rozporzšdzeniu wskazuje się, że naruszenie niektórych przepisów może być poważniejsze niż naruszenie pozostałych , między innymi przez ustanowienie dwóch różnych maksymalnych wysokoœci administracyjnej kary pieniężnej, tj. 10 mln oraz 20 mln euro. Organy nadzorcze oceniajšc okolicznoœci faktyczne sprawy w œwietle ogólnych kryteriów okreœlonych w art. 83 ust. 2, majš możliwoœć podjęcia decyzji, w której wskażš, że w konkretnym przypadku istnieje większa lub mniejsza potrzeba reagowania za pomocš œrodka naprawczego w formie kary pieniężnej – bierze się w tym zakresie pod uwagę charakter naruszenia. Na przykład, gdy dany przypadek nie stanowi poważnego zagrożenia dla praw osób, których dane dotyczš oraz nie wpływa na istotę danego obowišzku. Rozporzšdzenie w motywie 148 posługuje się wobec takich przypadków pojęciem „niewielkie naruszenie", co pozwala karę pieniężnš zastšpić upomnieniem. Podobnie, motyw 148 stwarza takš samš możliwoœć zastšpienia kary pieniężnej upomnieniem w przypadku, gdy administratorem danych jest osoba fizyczna, a grożšca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obcišżenie.

O wadze naruszenia stanowić będzie z kolei „zakres, cel danego przetwarzania, liczba poszkodowanych osób, których dane dotyczš, oraz rozmiar poniesionej przez nie szkody" w kontekœcie charakteru naruszenia. Organy nadzorcze będš miały za zadanie ustalić zarówno, czy majš do czynienia z pojedynczym zdarzeniem, czy powtarzajšcymi się sytuacjami, czy cel przetwarzania został okreœlony i był uzasadniony, a także czy osoba, której dane dotyczš poniosła szkodę i ewentualnie jaki jest jej rozmiar, w szczególnoœci: jeżeli przetwarzanie może poskutkować dyskryminacjš, kradzieżš tożsamoœci lub oszustwem dotyczšcym tożsamoœci, stratš finansowš, naruszeniem dobrego imienia, naruszeniem poufnoœci danych osobowych chronionych tajemnicš zawodowš, nieuprawnionym odwróceniem pseudonimizacji lub wszelkš innš znacznš szkodš gospodarczš lub społecznš".

Czas trwania naruszenia według Grupy Roboczej 29 powinno okreœlać się w kontekœcie tego, czy naruszajšcy podjšł odpowiednie œrodki zapobiegawcze, czy naruszenie było celowe, a także czy zostały wprowadzone wymagane œrodki techniczne i organizacyjne majšce zapobiegać naruszeniom.

Umyœlny lub nieumyœlny charakter

W interpretacji Grupy Roboczej 29 przez pojęcie „umyœlnie" należy rozumieć sytuację, w której sprawca chce czyn popełnić, wykazuje pewnš wolę i celowoœć działania, a także œwiadomoœć, że w zwišzku z pewnym działaniem może dojœć do popełnienia czynu zabronionego. Nieumyœlnoœć oznacza natomiast, że czyn popełniony został wskutek niezachowania ostrożnoœci lub bez zamiaru spowodowania naruszenia.

Według wytycznych, okolicznoœciami wskazujšcymi na umyœlne naruszenia mogš być niezgodne z prawem przetwarzanie wyraŸnie zatwierdzone przez œcisłe kierownictwo administratora lub – wbrew opinii inspektora ochrony danych lub wbrew istniejšcym zasadom – na przykład uzyskiwanie i przetwarzanie danych o pracownikach u konkurenta z zamiarem zdyskredytowania tego konkurenta na rynku.

Z kolei okolicznoœciami wskazujšcymi na zaniedbanie może być nieprzeczytanie i nieprzestrzeganie istniejšcych zasad, błšd ludzki, niesprawdzenie danych osobowych w opublikowanych Ÿródłach, niedokonanie aktualizacji technicznych w odpowiednim czasie, nieprzyjęcie zasad w przeciwieństwie do ich niestosowania.

Ile było współpracy

W przypadku dopuszczenia się naruszenia przez administratora lub podmiot przetwarzajšcy, wpływ na złagodzenie administracyjnej kary pieniężnej może mieć współpraca z organem nadzorczym, a także podjęte stosowne działania w celu zminimalizowania skutków naruszenia, przede wszystkim wszelkie możliwe starania celem ograniczenia skutków naruszenia dla danej osoby. Organ nadzorczy uwzględni takš odpowiedzialnš postawę (bšdŸ jej brak) podczas dokonywania wyboru œrodka naprawczego oraz przy ustalaniu wysokoœci kary pieniężnej majšcej zastosowanie w danej sytuacji. Ważnym elementem jest także sposób w jaki organ nadzorczy dowiedział się o naruszeniu. Dopełnienie obowišzku zawiadomienia organu nadzorczego o dopuszczeniu się naruszenia nie może być wprawdzie interpretowane jako czynnik łagodzšcy, jednak niezawiadomienie organu nadzorczego może grozić zastosowaniem poważniejszej sankcji, która mogłaby być zastosowana, gdyby naruszajšcy wykonał swój obowišzek.

Stopień odpowiedzialnoœci

Ważna jest także rozliczalnoœć administratora lub podmiotu przetwarzajšcego w stosunku do zastosowanych przez te podmioty wymaganych œrodków technicznych i organizacyjnych. Według wytycznych GR 29, organ nadzorczy sprawdzi czy podmiot, który naruszył przepisy Rozporzšdzenia wczeœniej:

- „wdrożył œrodki techniczne zgodne z zasadš uwzględniania ochrony danych w fazie projektowania (privacy by design) lub z zasadš domyœlnej ochrony danych (privacy by default), (art. 25)",

- „wdrożył œrodki organizacyjne, które zapewniajš skutecznoœć zasady uwzględniania ochrony danych w fazie projektowania i zasady domyœlnej ochrony danych (art. 25) na wszystkich poziomach organizacji",

- „czy administrator / podmiot przetwarzajšcy zapewnił odpowiedni poziom bezpieczeństwa (art. 32)" ,

- „czy na odpowiednim poziomie zarzšdzania w organizacji sš znane i stosowane właœciwe procedury/polityki ochrony danych (art. 24)".

Wszelkie istotne wczeœniejsze naruszenia

Organ nadzorczy powinien ocenić czy dany podmiot kiedykolwiek dopuœcił się już tego naruszenia, a także czy naruszenie przebiegało w ten sam sposób. Stosowanie tego kryterium przez organ nadzorczy ma na celu, tak samo jak inne kryteria dobranie odpowiednio œrodka naprawczego, z uwzględnieniem wszystkich pozostałych kryteriów. Kryterium zastosowanego wczeœniej œrodka ma na celu jedynie przypomnienie organom nadzorczym, by stosowały œrodki, które same uprzednio wydały wobec tego samego administratora lub podmiotu przetwarzajšcego „w tej samej sprawie".

Jaka kategoria

Grupa Robocza 29 wskazuje również na kilka kluczowych pytań, które organ nadzorczy może zadać, w celu uzyskania odpowiedzi, mogšcej pomóc mu przy wyborze „najodpowiedniejszego œrodka". Wœród pytań wyszczególnionych przez GR 29 znajdujš się takie, które dotyczš tego, czy naruszenie danych dotyczy tzw. „szczególnych kategorii danych", czyli danych osobowych wrażliwych, a także, czy dane można „bezpoœrednio lub poœrednio zidentyfikować, oraz jak szybko naruszenie spowodowałoby szkodę/dyskomfort danej osoby".

Kodeksy postępowania

Stosowanie zatwierdzonych kodeksów przez danš społecznoœć, w pewnych wypadkach może zastšpić zastosowanie przez organ nadzoru odpowiednich œrodków. Jeżeli zgodnie z kodeksem zostanš podjęte odpowiednie działania przeciwko członkowi danej grupy stosujšcemu się do zapisów kodeksu, a takie działania będš wystarczajšco skuteczne, proporcjonalne lub odstraszajšce, to organ nadzorczy może zaniechać nałożenia kary na podmiot naruszajšcy. Należy przy tym podkreœlić, że uprawnienia organu monitorujšcego pozostajš „bez uszczerbku dla zadań i uprawnień właœciwego organu nadzorczego". Oznacza to, że organ nadzorczy nie ma obowišzku uwzględnienia wczeœniej nałożonych kar zgodnych z kodeksem postępowania.

Obcišżajšce lub łagodzšce czynniki

Grupa Robocza 29 podkreœla charakter otwarty kryterium obcišżajšcego lub łagodzšcego. Wskazuje się jednak, że informacja o osišgnięciu korzyœci z tytułu naruszenia przepisów Rozporzšdzenia przez administratora/ podmiot przetwarzajšcy może stanowić wyraŸnš przesłankę do zastosowania kary pieniężnej. ?

Zdaniem autora

Artur Piechocki, radca prawny w kancelarii APLaw

Organy nadzorcze będš miały za zadanie przywrócić zgodnoœć za pomocš wszystkich dostępnych im œrodków naprawczych. Dzięki wytycznym Grupy Roboczej 29, organy nadzorcze będš mogły lepiej stosować przepisy Rozporzšdzenia. Jednak Grupa Robocza 29 już na wstępie wyraŸnie zaznacza, że „wytyczne nie sš ani wyczerpujšce, ani nie zawierajš wyjaœnień co do różnic występujšcych między systemami prawa administracyjnego, cywilnego i karnego, jeżeli chodzi o nakładanie kar administracyjnych w ogólnoœci". ?

ródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL