fbTrack
REKLAMA
REKLAMA

Firma

Jakie kary za naruszenie regulacji o ochronie danych osobowych

123RF
Za złamanie obowiązujących przepisów regulujących ochronę danych osobowych przedsiębiorcom grożą sankcje o charakterze karnym, administracyjnoprawnym, jak i cywilnoprawnym. Z dniem wejścia w życie Ogólnego Rozporządzenia o Ochronie Danych Osobowych (dalej: RODO) sankcje te się zmienią na niekorzyść przedsiębiorców. RODO wprowadza bowiem bardzo wysokie kary finansowe.

Zagadnienia związane z ochroną danych osobowych reguluje przede wszystkim ustawa z 29 sierpnia 1997r. o ochronie danych osobowych (dalej: ODOU) oraz wydane na jej podstawie rozporządzenia.

System sankcji związanych z naruszeniem przepisów ODOU oparty został na przepisach karnych. Penalizowane jest przetwarzanie danych przez nieuprawnionego, udostępnianie danych osobom nieuprawnionym, naruszenie obowiązku zabezpieczenia danych, niezgłoszenie danych do rejestru, niedopełnienie obowiązków informacyjnych oraz udaremnianie czynności kontrolnych. W zależności od rodzaju naruszenia – ustawa przewiduje karę grzywny, ograniczenia wolności, a nawet – pozbawienia wolności do lat trzech.

Odpowiedzialności karnej podlegają konkretne osoby fizyczne, którym ta odpowiedzialność może zostać przypisana, według zasad przewidzianych w prawie karnym materialnym i procesowym. W związku z charakterem wykonywanej pracy, opierającej się w znaczącym stopniu na przetwarzaniu i dostępie do danych osobowych - osobami najbardziej narażonymi na poniesienie odpowiedzialności karnej są m.in. administratorzy bezpieczeństwa informacji, pracownicy działów sprzedaży, czy też działów HR. W praktyce przepisy te nie są jednak zasadniczo stosowane.

Zgodnie z art. 23 Kodeksu cywilnego jednym z podlegających ochronie dóbr osobistych jest prawo do prywatności. W pojęciu tym mieści się prawo do ochrony danych osobowych. Prawo to realizowane może być (zgodnie z art. 24 k.c.) m.in. poprzez żądanie zaniechania naruszenia, żądanie dopełnienia czynności, mających na celu usunięcie jego skutków, żądanie zadośćuczynienia pieniężnego lub naprawienie powstałej szkody.

Teraz jest grzywna

Finansowa odpowiedzialność administracyjnoprawna przewidziana za naruszenie ustawy o ochronie danych osobowych jest obecnie ograniczona. Generalny inspektor ochrony danych osobowych może nałożyć tzw. grzywnę przymuszającą na przedsiębiorcę jedynie, gdy stwierdzi niewykonanie przez przedsiębiorcę obowiązków nałożonych na niego w decyzji wydanej uprzednio przez GIODO. Wysokość grzywny reguluje ustawa z 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji. Każdorazowo nałożona grzywna nie może przekraczać kwoty 10 tys. zł w stosunku do osób fizycznych, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej - kwoty 50 tys. zł. Grzywny nakładane wielokrotnie nie mogą łącznie przekroczyć kwoty 50 tys. zł, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej – kwoty 200 tys. zł.

Biorąc pod uwagę wysokość grzywny, a także praktykę GIODO – duzi przedsiębiorcy nie muszą teraz obawiać się znaczących kar. Nakładanie przez GIODO kar administracyjnych lub też pociąganie do odpowiedzialności karnej w obecnym stanie prawnym nie zdarza się często. Dlatego też obecne regulacje nie spełniają efektywnie funkcji motywującej do dbałości o przestrzeganie przepisów o ochronie danych osobowych. Sytuacja zmieni się diametralnie z dniem 25 maja 2018 r.

Rodzaje odpowiedzialności

Odpowiedzialność przedsiębiorców za naruszenie RODO przewidziana przepisami Rozporządzenia, ma charakter odpowiedzialności administracyjnoprawnej (egzekwowana przez właściwe organy nadzoru) oraz cywilnoprawnej (postępowanie sądowe w sprawie odszkodowania inicjuje osoba, której dane dotyczą).

RODO dopuszcza ustanawianie w porządkach krajowych przepisów przewidujących sankcje karne za naruszenie Rozporządzenia, w tym za naruszenie krajowych przepisów przyjętych na jego mocy i w jego granicach. Sankcje karne będą mogły również obejmować pozbawienie zysków wynikających z naruszenia RODO.

Uprawnienia osób fizycznych

RODO wprost wskazuje uprawnienia, jakie przysługiwać będą osobom fizycznym w przypadku przetwarzania ich danych z naruszeniem prawa. Zaliczają się do nich w szczególności:

- prawo do wniesienia skargi do organu nadzorczego (GIODO), jeśli osoba fizyczna sądzi, iż przetwarzanie jej danych osobowych odbywa się z naruszeniem prawa;

- prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego dotyczącej osoby fizycznej;

- prawo do skutecznego środka ochrony prawnej przed sądem, przeciwko administratorowi lub podmiotowi przetwarzającemu dane, jeżeli osoba fizyczna uzna, że prawa przysługujące jej na mocy Rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem przepisów.

Wszczęcie postępowania sądowego przeciwko administratorowi lub podmiotowi przetwarzającemu dane będzie możliwe niezależnie od skarg złożonych do organu nadzoru.

Administracyjne sankcje pieniężne

Rozporządzenie wprowadza wysokie administracyjne kary pieniężne za naruszenie jego postanowień. Wysokość kary określana ma być indywidualnie w stosunku do każdego przedsiębiorcy. Kara powinna być skuteczna, proporcjonalna i odstraszająca.

Decydując o karze oraz ustalając jej wysokość, organ zwraca uwagę na:

- charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

- umyślny lub nieumyślny charakter naruszenia;

- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

- stopień odpowiedzialności administratora lub podmiotu przetwarzającego;

- wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

- kategorie danych osobowych, których dotyczyło naruszenie;

- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

- stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji;

- wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Jeżeli administrator lub podmiot przetwarzający dane naruszy umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów RODO, całkowita wysokość kary pieniężnej nie przekroczy wysokości kary za najpoważniejsze naruszenie.

Dwa przedziały

Rozporządzenie wyróżnia dwa przedziały kar pieniężnych:

- do 10 mln euro, a w przypadku przedsiębiorcy – alternatywnie do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa;

- do 20 mln euro, a w przypadku przedsiębiorcy – alternatywnie do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa.

Biorąc pod uwagę charakter naruszeń w wielu przypadkach GIODO uprawniony będzie do nakładania kary w wyższej wysokości. Będzie tak w przypadkach naruszenia zasad przetwarzania, w tym warunków pozyskiwania zgody, praw osób fizycznych (m.in. prawa do uzyskania informacji, dostępu do danych, prawa do bycia zapomnianym, czy prawa do przeniesienia danych do innego administratora), a także niezgodnego z RODO przekazywania danych osobowych do państw trzecich.

—Katarzyna Sawicka, Associate, Deloitte Legal

—Agata Jankowska-Galińska, Managing Associate, Deloitte Legal

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA
REKLAMA