RODO a administracyjne kary pieniężne

aktualności
10.05.2018

Wraz z wejściem w życie RODO przedsiębiorcy powinni liczyć się ze wzmożonymi kontrolami ze strony inspektorów organu nadzorczego. Będą oni weryfikować, w jakim stopniu przedsiębiorca wdrożył nowe przepisy. Za ich naruszenie grożą wysokie kary pieniężne. Co dokładnie im grozi za naruszenie wymogów stawianych przez RODO?

Obecnie na podstawie przepisów krajowych za naruszenie przepisów prawa ochrony danych osobowych przedsiębiorcy grozi odpowiedzialność karna, administracyjnoprawna oraz cywilnoprawna.

Od 25 maja, gdy wejdzie w życie RODO, zaczną również obowiązywać bardzo wysokie kary pieniężne, sięgające nawet kilku milionów euro. Mają one być skuteczne, proporcjonalne i odstraszające. Za każdym razem branych pod uwagę będzie kilka czynników, m.in.:

charakter, waga i czas trwania naruszenia przy jednoczesnym uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
umyślny lub nieumyślny charakter naruszenia;
działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych przez nich środków technicznych i organizacyjnych;
wszelkie wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
kategoria danych osobowych, których dotyczyło naruszenie.

Wysokość kary w RODO

Karze pieniężnej do wysokości 10 mln euro, a w przypadku przedsiębiorstwa w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) podlega m.in.:

administrator i podmiot przetwarzający w przypadku naruszenia m.in. obowiązków otrzymania zgody przez dziecko na przetwarzanie danych osobowych, naruszenie zasad ochrony danych osobowych w fazie projektowania;
podmiot certyfikujący – w przypadku naruszenia przepisów dotyczących certyfikacji.

Administracyjnej karze pieniężnej w maksymalnej kwocie 20 mln euro, a w przypadku przedsiębiorstwa w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) podlega:

naruszenie przepisów podstawowych zasad przetwarzania, w tym warunków zgody;
naruszenie praw osób, których dane dotyczą, np. prawa do przenoszenia danych, prawa do bycia zapomnianym, prawa do informacji czy prawa dostępu; przekazywanie danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;
naruszenie wszelkich obowiązków wynikających z prawa państwa członkowskiego;
nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy.

Jak widać, górna granica kar ustawiona jest bardzo wysoko. Nie wydaje się jednak, aby kary, zwłaszcza te nakładane na początku obowiązywania RODO, sięgały górnych granic.

Według danych statystycznych przedstawionych przez GIODO w 2016 r. przeprowadzono 192 kontrole, a w 2017 r. – 199. Z raportu GIODO wynika, że przy okazji badania systemów informatycznych w 2016 r. tylko 1 proc. badanych systemów nie wypełniało obowiązku posiadania dokumentacji przetwarzania danych osobowych. Badanie systemów informatycznych w latach 2013-16 pod kątem realizacji wymogów technicznych i organizacyjnych wykazało, że niemalże wszystkie obowiązki były wypełnione ze stuprocentową skutecznością.

*Autor: Katarzyna Blachowicz, radca prawny, młodszy partner w Kancelarii Prawnej GWW

Artykuł ukazał się w Gazecie Wyborczej.

Podziel się

Powiązane wpisy