W kolejnej części cyklu o zmianach wprowadzanych przez Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) przybliżamy jedne z najgorętszych zagadnień – kary finansowe i odpowiedzialność administratora danych osobowych.
I część cyklu: Rozszerzony obowiązek informacyjny i profilowanie
II część cyklu: Obowiązek prowadzenia rejestru przetwarzania
III część cyklu: Obowiązek zgłaszania naruszenia danych osobowych
Każdy podmiot przetwarzający dane osobowe ponosi odpowiedzialność prawną za nieprzestrzeganie aktualnie obowiązujących regulacji prawnych. Obecnie kluczowa w tym zakresie jest ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, w pewnym zakresie zastosowanie mogą mieć również przepisy Kodeksu cywilnego oraz przepisy Kodeksu pracy. Ale już w 25 maja 2018 roku sytuacja ta ulegnie diametralnej zmianie – od tego dnia zacznie obowiązywać ogólne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych (w skrócie: GDPR lub RODO).
Nowe przepisy przewidują między innymi nieporównywalnie wyższe kary finansowe (nawet do 20 mln euro) i zupełnie nowy tryb ich nakładania.
Administrator danych ponosić będzie odpowiedzialność cywilną. Odszkodowania będzie mogła domagać się każda osoba, która poniosła szkodę (majątkową lub niemajątkową) poprzez naruszenie przepisów RODO. Podmiotem odpowiedzialnym będzie administrator lub podmiot przetwarzający dane – ich odpowiedzialność będzie co do zasady solidarna. Podmiot przetwarzający będzie odpowiadał za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełni obowiązków, które nakłada RODO na podmioty przetwarzające lub gdy będzie działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. W przypadku, gdy wystąpi brak winy administratora lub podmiotu przetwarzającego dane, nie ponoszą oni odpowiedzialności.
RODO dużo zmienia w kwestii kar pieniężnych. Według nowych przepisów kara ma być skuteczna, proporcjonalna i odstraszająca. Karę pieniężną skutecznie będzie można nakładać w zależności od okoliczności każdego indywidualnego przypadku, biorąc pod uwagę:
- Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą oraz rozmiaru poniesionej przez nie szkody.
- Umyślny lub nieumyślny charakter naruszenia.
- Działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.
- Stopień odpowiedzialności administratora lub podmiotu przetwarzającego.
- Wcześniejsze naruszenia.
- Stopień współpracy z organem nadzorczym w celu uniknięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.
- Kategorie danych osobowych, których dotyczyło naruszenie.
- Sposób w jaki organ nadzorczy dowiedział się o naruszeniu.
- Przestrzeganie uprawnień naprawczych nałożonych przez organ nadzorczy.
- Stosowanie zatwierdzonych kodeksów postępowania lub mechanizmów certyfikacji.
- Inne czynniki obciążające lub łagodzące.
Wysokość kary obliczana będzie na trzy różne sposoby.
- Jeżeli administrator lub podmiot przetwarzający naruszy umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie będzie przekraczać wysokości kary za najpoważniejsze naruszenie.
- Kara w wysokości do 10 000 000 EUR lub w przypadku przedsiębiorstwa
w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Taka kara może zostać wymierzona w wypadku naruszenia przepisów dotyczących:- Obowiązków administratora i podmiotu przetwarzającego wynikającego z art. 8 (warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego), art. 11 (przetwarzanie niewymagające identyfikacji); art. 25-39 (z sekcji I RODO obowiązki ogólne, z sekcji II RODO bezpieczeństwo danych osobowych, z sekcji III RODO ocena skutków dla ochrony danych i uprzednie konsultacje, z sekcji IV RODO Inspektor Ochrony Danych), art. 42 (certyfikacja), art. 43 (podmiot certyfikujący);
- Obowiązków podmiotu certyfikacyjnego;
- Obowiązków podmiotu monitorującego.
- Kara w wysokości do 20 000 000 EUR lub w przypadku przedsiębiorstwa
w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Może zostać wymierzona w przypadku naruszenia przepisów:- Podstawowych zasad przetwarzania, w tym warunków zgody (art. 5, 6, 7, 9 RODO); chodzi między innymi o znane z polskiej ustawy o ochronie danych osobowych, aczkolwiek zmodyfikowane na gruncie GDPR zasady legalności i celowości przetwarzania danych, wymagania prawne wobec zgody jako podstawy prawnej przetwarzania danych, czy też warunki przetwarzania danych sensytywnych.
- Praw osób które dane dotyczą (12-22 RODO), in. wymagania wobec obowiązków informacyjnych jakie należy spełniać wobec tych osób, uprawnienia tych osób do dostępu, żądania sprostowania oraz w określonych w GDPR przypadkach żądania usunięcia ich danych, czy też prawo do przenoszenia danych pomiędzy różnymi administratorami danych.
- Przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o których mowa w art. 44-49 GDPR.
- Wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX.
- Nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawiedzenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1
Co do odpowiedzialności karnej, to art. 84 RODO mówi:
Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.