Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Kadry

RODO: kary za naruszenie przepisów o ochronie danych osobowych

123RF
O wysokoœci kar za naruszenie przepisów o ochronie danych osobowych zdecydujš krajowe organy ochrony danych. Sankcja może sięgać nawet 20 mln EURO, ale planowany górny limit kar grożšcych polskim podmiotom publicznym ma wynieœć tylko 100 tys. PLN.

25 maja 2018 r. to ostatnio bardzo popularna data, bo od tego dnia zacznie obowišzywać tzw. RODO. Jego pełna nazwa brzmi: Rozporzšdzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w zwišzku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46WE (ogólne rozporzšdzenie o ochronie danych osobowych).

W panujšcej od pewnego czasu i wcišż podgrzewanej w różnych publikacjach atmosferze strachu przed RODO na pierwszy plan wybijajš się drakońskie kary, jakie przewidziano za naruszenie przepisów o ochronie danych osobowych. Mnożš się też oferty skutecznego zabezpieczenia przed kłopotami, jakie RODO ze sobš niesie. W tych przekazach najczęœciej ginie istota nowych regulacji – że jest niš urealnienie ochrony prywatnoœci, a nie wzmożone kontrole i administracyjne represje.

Aktywna ochrona danych

RODO jest w pewnym sensie rewolucjš, ale nie tylko dlatego, że jego przepisy będš bezpoœrednio stosowane i będš jednolite w całej Unii. Rewolucyjny jest przede wszystkim obowišzek aktywnej ochrony danych osobowych, która ma się opierać na dwóch filarach: privacy by design i privacy by default. Wprawdzie te pojęcia nie doczekały się polskiego odpowiednika, ale sprowadzajš się do prostych postulatów – każdy administrator danych ma obowišzek uwzględnić (zaplanować) ochronę danych osobowych w swej działalnoœci i odpowiada za stworzenie skutecznego systemu tej ochrony. Ponadto zawsze musi zapewnić maksymalny poziom tej ochronny, chyba że szczególny przepis lub wyraŸna zgoda podmiotu danych pozwala mu na obniżenie tego poziomu.

Nadšżyć za rozwojem technologii

RODO oraz uzupełniajšce je przepisy krajowe majš być odpowiedziš na wcišż przyspieszajšcy rozwój technologii i techniki w zakresie komunikacji. Nie wszyscy sš w stanie za nim nadšżyć. Badania przeprowadzone w Polsce przez Kantar Public wskazujš, że przy wcišż wzrastajšcym odsetku osób korzystajšcych codziennie z internetu (obecnie już 64 proc.) prawie 3/4 obawia się, że dostawcy usług majš zbyt dużo ich danych osobowych. W sytuacji, gdy nasza codzienna aktywnoœć, w tym kontakty międzyludzkie, w coraz większym stopniu przenoszš się do sieci i lawinowo roœnie iloœć danych trafiajšcych do różnych baz, potrzebne sš nowe narzędzia ochrony prywatnoœci. Potrzebne jest także zwiększenie œwiadomoœci zagrożeń, jakie niesie ze sobš wykorzystywanie danych osobowych. Na przykład zagrożeń wynikajšcych z profilowania, które jest wykorzystywane do wpływania już nie tylko na indywidualne decyzje konsumentów, ale – jak pokazujš ostatnie doniesienia na temat Cambridge Analytica wybory – także na układy polityczne i na życie całych społeczeństw.

Patrzšc na RODO, warto zatem dostrzec, że jego wprowadzenie dotyczy także każdego z nas indywidualnie, a prawidłowe wdrożenie nowych zasad ochrony danych osobowych będzie się przekładać na nasze codzienne życie. Powinniœmy więc traktować RODO jako sprzymierzeńca, a nie jak kolejnš biurokratycznš ucišżliwoœć, do której wprawdzie trzeba się będzie zastosować i wdrożyć procedury, ale o której póŸniej będzie można zapomnieć.

Chronišc dane osobowe, RODO ma jednoczeœnie zapewniać – co jest najczęœciej w publikacjach pomijane, a co wynika już z tytułu Rozporzšdzenia – swobodny przepływ tych danych. Jest on bowiem warunkiem racjonalnego prowadzenia działalnoœci gospodarczej i stanowi niezbędny element prawidłowego działania wspólnego rynku i wymiany gospodarczej w ramach Unii. Gdy potraktujemy RODO jako instrument, który ma chronić i równoważyć różne słuszne interesy, a nie tylko jako zestaw nowych obowišzków obwarowanych srogimi karami, to jego wejœcie w życie może się okazać szansš, a nie zagrożeniem.

Obawa przed sankcjami

Trzeba przyznać, że przewidziane w RODO górne limity kar (10 albo 20 mln EURO oraz 2 albo 4 proc. rocznych obrotów) mogš przemawiać do wyobraŸni. Będš one jednolite we wszystkich 28 państwach członkowskich Unii Europejskiej, więc raczej nie wchodzi w grę unikanie kar poprzez stosowanie „turystyki" w zakresie ochrony danych osobowych. Jednak to, jak często i w jakiej wysokoœci kary będš rzeczywiœcie wymierzane, będzie zależało od polityki karania przyjętej przez poszczególne krajowe organy ochrony danych osobowych. W Polsce kary będš nakładane przez Prezesa Urzędu Ochrony Danych Osobowych (UODO).

Pomijajšc w tym momencie to, czy ze względu na ograniczony budżet UODO jego Prezes będzie w stanie realizować wszystkie zadania wynikajšce z RODO i z przepisów krajowych, można zakładać, że potrzeba będzie trochę czasu na wdrożenie nowych zasad karania. Nie można wykluczyć, że Prezes UODO przyjmie podejœcie podobne do tego, jakie zastosował Prezes UOKiK, gdy wprowadzono równie dotkliwe kary za naruszenie przepisów o ochronie konkurencji i konsumentów. Nakładanie poważnych, idšcych w miliony złotych, kar za praktyki ograniczajšce konkurencję zaczęło się dopiero po upływie kilku lat, w czasie których dano przedsiębiorcom czas na oswojenie się z nowymi przepisami.

Polityka karania

W tym miejscu warto zwrócić uwagę na wydane w paŸdzierniku 2017 r. wytyczne tzw. Grupy Roboczej art. 29 (przedstawicieli organów ochrony danych osobowych wszystkich państw Unii). Już sam fakt wydania tych wytycznych jest potwierdzeniem obaw, że stosowanie kar pieniężnych w ramach RODO, przy tak wyœrubowanych limitach, nie będzie jednolite. Wytyczne wskazujš więc na koniecznoœć zachowania zasady równoważnych kar, to jest takich, które będš odzwierciedleniem podobnego stopnia ochrony danych osobowych we wszystkich państwach członkowskich i które nie będš skutkowały zbyt dużymi rozbieżnoœciami w polityce karania, hamujšcymi swobodny przepływ danych osobowych wewnštrz Unii.

Trzeba zaznaczyć, że wytyczne, choć wskazujš na potrzebę zachowania odstraszajšcego charakteru kar, nie zawierajš podpowiedzi co do ich wysokoœci. Jednoczeœnie przytaczajš doœć szeroki katalog okolicznoœci, które należy uwzględnić przy nakładaniu kar (katalog ten koresponduje z listš wymienionš wprost w RODO). Okolicznoœciš szczególnie obcišżajšcš ma być naruszenie umyœlne, „wykazujšce pogardę" wobec przepisów o ochronie danych osobowych.

Z drugiej strony wypada zauważyć, że w projekcie polskiej ustawy o ochronie danych osobowych planuje się ustalenie wyjštkowo niskiego limitu kary za naruszenie zasad ochrony danych osobowych w przypadku tzw. podmiotów publicznych. Limit ten wynosi tylko 100 tys. PLN, co dla Prezesa UODO będzie z pewnoœciš punktem odniesienia przy nakładaniu kar na podmioty prywatne. Trudno bowiem przyjšć, że za podobne przekroczenia kary nakładane na obydwie kategorie administratorów danych będš diametralnie różne.

I wreszcie – nakładanie kar będzie podlegało kontroli sšdowej. Z pewnoœciš będzie musiało upłynšć kilka lat, zanim ustali się jakaœ praktyka karania, która będzie potwierdzona orzecznictwem sšdowym.

Komentarz eksperta

Piotr Kryczek, radca prawny, wspólnik w kancelarii Chajec Don-Siemion & Żyto

Można zakładać, że nakładanie ostrych kar na administratorów i na inne podmioty przetwarzajšce dane nie nastšpi od razu od 25 maja 2018 r., czyli od poczštku obowišzywania RODO. Natomiast od tego dnia na pewno zmieni się zakres uprawnień podmiotów danych i zwiększy się ryzyko formułowania przez te podmioty wobec przedsiębiorców roszczeń z tytułu naruszenia przepisów o ochronie danych. Liczba takich roszczeń będzie funkcjš rosnšcej œwiadomoœci podmiotów danych odnoœnie do ich praw w zakresie ochrony prywatnoœci jak i do obowišzków administratorów danych. I w tym być może tkwi główne zagrożenie dla przedsiębiorców – że niedopatrzenia w sferze ochrony danych osobowych będš przekładać się nie tyle (i nie tylko) na liczbę kontroli i kary administracyjne, co na roszczenia, w tym finansowe, z tytułu naruszenia zasad ochrony danych osobowych. To z kolei może się przekładać na utratę przez danego przedsiębiorcę reputacji jako rzetelnego i wiarygodnego dostawcy towarów i usług. W warunkach ostrej konkurencji, gdzie zaufanie i lojalnoœć klientów to bardzo istotne elementy biznesplanu, obniżenie reputacji, np. wskutek lekkomyœlnej utraty danych osobowych może spowodować więcej szkód niż wysoka kara pieniężna nałożona przez Prezesa UODO.

ródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL