Zasady postępowania z danymi osobowymi w całej Unii określa rozporządzenie (UE) 2016/679, a procedury ochrony przed naruszeniami w Polsce nowa ustawa o ochronie danych osobowych. Oba akty wchodzą w życie 25 maja.
Nowe rygory
RODO obok administracyjnych środków ochrony przed decyzjami prezesa Urzędu Ochrony Danych Osobowych (następcą GIODO), gwarantuje każdej osobie prawo do skutecznej ochrony przed sądem cywilnym, jeżeli jej prawa zostały naruszone w wyniku przetwarzania jej danych osobowych. W pierwszym postępowaniu za naruszenie podstawowych zasad przetwarzania danych grozi kara nawet do 20 mln euro, a przedsiębiorstwu – do 4 proc. jego rocznego światowego obrotu.
– To są oczywiście kary maksymalne teraz służące za straszak, ale w żadnym wypadku nie będą dotyczyć małych i średnich firm, gdyż rozporządzenie, które ma stosować prezes UODO, zawiera kryteria, którymi musi się kierować. W szczególności proporcjonalnością do naruszenia – ocenia Wojciech Klicki, prawnik z Fundacji Panoptykon.
Dodajmy, że sankcje pieniężne polska ustawa ograniczyła dla jednostek sektora finansów publicznych do 100 tys. zł. A od decyzji o karze prezesa UODO będzie można się odwołać do sądu administracyjnego, a potem do NSA.
Prezes UODP może oczywiście i zakazywać określonych działań przetwarzającym dane, to samo mogą orzekać sądy cywilne, ale sąd cywilny może też zasądzać na rzecz poszkodowanych odszkodowanie, które należy rozumieć szeroko, gdyż art. 82 RODO mówi o szkodzie majątkowej lub niemajątkowej, może to być zatem zarówno zwyczajne odszkodowanie lub zadośćuczynienia, np. za poniesioną krzywdę czy utratę dobrego imienia.