Tzw. ogólne rozporządzenie o ochronie danych (General Data Protection Regulation - skr. GDPR) wejdzie w życie 25 maja 2018 r. we wszystkich krajach członkowskich Unii Europejskiej. Jego celem jest zwiększenie bezpieczeństwa i swobody przepływu danych osobowych oraz doprowadzenie do pełnej harmonizacji prawa materialnego w ramach wspólnoty.
Zgodnie z zapisem, każdy organ nadzorczy będzie zobligowany do stosowania kar, które będą „w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające”. Wymiar kar będzie zależny od takich czynników, jak „charakter, waga, czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody, umyślny lub nieumyślny charakter naruszenia, działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą”. Warto więc zauważyć, że szczególnie istotne przy dochodzeniu staną się środki prewencyjne podjęte przez podmiot, jak odpowiednio skonstruowane i wdrożone procedury cyberbezpieczeństwa. W przypadku umyślnego bądź nie naruszenia przepisów przez firmę, mogą one stać się bowiem „okolicznością łagodzącą” i zmniejszyć wielkość kary. A będą one niemałe.
Jak wynika z GDPR, w sytuacji naruszeń w zakresie „obowiązków administratora i podmiotu przetwarzającego, obowiązków podmiotu certyfikującego, obowiązków podmiotu monitorującego obowiązków administratora” kara pieniężna może sięgnąć aż 10 mln euro, a w przypadku przedsiębiorstwa – do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Dla międzynarodowych firm i organizacji kwoty te mogą być niebotyczne.
Kary są jeszcze wyższe, jeśli dochodzi do takich wykroczeń, jak „naruszenie podstawowych zasad przetwarzania, w tym warunków zgody, naruszenie praw osób, których dane dotyczą”. Podmioty przetwarzające dane osobowe mogą otrzymać za nie karę wynoszącą nawet ponad 20 mln euro.
Stąd szczególnie istotne jest, by firmy już teraz zainwestowały w skuteczny system cyberbezpieczeństwa, który ochronie je przed takimi przykrościami.
