iSecure logo
Blog

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych
Kategorie

W kolejnej części cyklu o zmianach wprowadzanych przez Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) przybliżamy jedne z najgorętszych zagadnień – kary finansowe i odpowiedzialność administratora danych osobowych.

I część cyklu: Rozszerzony obowiązek informacyjny i profilowanie

II część cyklu: Obowiązek prowadzenia rejestru przetwarzania

III część cyklu: Obowiązek zgłaszania naruszenia danych osobowych

Każdy podmiot przetwarzający dane osobowe ponosi odpowiedzialność prawną za nieprzestrzeganie aktualnie obowiązujących regulacji prawnych. Obecnie kluczowa w tym zakresie jest ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, w pewnym zakresie zastosowanie mogą mieć również przepisy Kodeksu cywilnego oraz przepisy Kodeksu pracy. Ale już w 25 maja 2018 roku sytuacja ta ulegnie diametralnej zmianie – od tego dnia zacznie obowiązywać ogólne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych (w skrócie: GDPR lub RODO).

Nowe przepisy przewidują między innymi nieporównywalnie wyższe kary finansowe (nawet do 20 mln euro) i zupełnie nowy tryb ich nakładania.

Administrator danych ponosić będzie odpowiedzialność cywilną. Odszkodowania będzie mogła domagać się każda osoba, która poniosła szkodę (majątkową lub niemajątkową) poprzez naruszenie przepisów RODO. Podmiotem odpowiedzialnym będzie administrator lub podmiot przetwarzający dane – ich odpowiedzialność będzie co do zasady solidarna.  Podmiot przetwarzający będzie odpowiadał za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełni obowiązków, które nakłada RODO na podmioty przetwarzające lub gdy będzie działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. W przypadku, gdy wystąpi brak winy administratora lub podmiotu przetwarzającego dane, nie ponoszą oni odpowiedzialności.

RODO dużo zmienia w kwestii kar pieniężnych. Według nowych przepisów kara ma być skuteczna, proporcjonalna i odstraszająca. Karę pieniężną skutecznie będzie można nakładać w zależności od okoliczności każdego indywidualnego przypadku, biorąc pod uwagę:

  • Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą oraz rozmiaru poniesionej przez nie szkody.
  • Umyślny lub nieumyślny charakter naruszenia.
  • Działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.
  • Stopień odpowiedzialności administratora lub podmiotu przetwarzającego.
  • Wcześniejsze naruszenia.
  • Stopień współpracy z organem nadzorczym w celu uniknięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.
  • Kategorie danych osobowych, których dotyczyło naruszenie.
  • Sposób w jaki organ nadzorczy dowiedział się o naruszeniu.
  • Przestrzeganie uprawnień naprawczych nałożonych przez organ nadzorczy.
  • Stosowanie zatwierdzonych kodeksów postępowania lub mechanizmów certyfikacji.
  • Inne czynniki obciążające lub łagodzące.

Wysokość kary obliczana będzie na trzy różne sposoby.

  1. Jeżeli administrator lub podmiot przetwarzający naruszy umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie będzie przekraczać wysokości kary za najpoważniejsze naruszenie.
  2. Kara w wysokości do 10 000 000 EUR lub w przypadku przedsiębiorstwa
    w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Taka kara może zostać wymierzona w wypadku naruszenia przepisów dotyczących:

    1. Obowiązków administratora i podmiotu przetwarzającego wynikającego z art. 8 (warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego), art. 11 (przetwarzanie niewymagające identyfikacji); art. 25-39 (z sekcji I RODO obowiązki ogólne, z sekcji II RODO bezpieczeństwo danych osobowych, z sekcji III RODO ocena skutków dla ochrony danych i uprzednie konsultacje, z sekcji IV RODO Inspektor Ochrony Danych), art. 42 (certyfikacja), art. 43 (podmiot certyfikujący);
    2. Obowiązków podmiotu certyfikacyjnego;
    3. Obowiązków podmiotu monitorującego.
  3. Kara w wysokości do 20 000 000 EUR lub w przypadku przedsiębiorstwa
    w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Może zostać wymierzona w przypadku naruszenia przepisów:

    1. Podstawowych zasad przetwarzania, w tym warunków zgody (art. 5, 6, 7, 9 RODO); chodzi między innymi o znane z polskiej ustawy o ochronie danych osobowych, aczkolwiek zmodyfikowane na gruncie GDPR zasady legalności i celowości przetwarzania danych, wymagania prawne wobec zgody jako podstawy prawnej przetwarzania danych, czy też warunki przetwarzania danych sensytywnych.
    2. Praw osób które dane dotyczą (12-22 RODO), in. wymagania wobec obowiązków informacyjnych jakie należy spełniać wobec tych osób, uprawnienia tych osób do dostępu, żądania sprostowania oraz w określonych w GDPR przypadkach żądania  usunięcia ich danych, czy też prawo do przenoszenia danych pomiędzy różnymi administratorami danych.
    3. Przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o których mowa w art. 44-49 GDPR.
    4. Wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX.
    5. Nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawiedzenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1

Co do odpowiedzialności karnej, to art. 84 RODO mówi:

Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne  i odstraszające.

Podobne wpisy:

Regulamin konkursu – na co zwrócić uwagę?

Niemal każda firma od czasu do czasu zainteresowana jest przeprowadzeniem konkursu. Nie ma dwóch takich samych zabaw, bo w zależności od potrzeb i możliwości danego podmiotu, forma prowadzenia konkursu może się różnić. Najczęściej jednak opracowywane są regulaminy – innymi słowy mówiąc zasady prowadzenia konkursu. I to właśnie na tym aspekcie skupię się w tym krótkim […]

Zabezpieczenia pamięci przenośnej według irlandzkiego organu nadzorczego

Co słychać na zielonej wyspie? Jak dobrze wiemy, jednym z głównych obowiązków administratora danych wynikających z ogólnego rozporządzenia o ochronie danych (RODO) jest zapewnienie odpowiednich środków bezpieczeństwa danych osobowych. Te środki powinny chronić przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem (posługiwaniem się) danymi osobowymi, w tym przed kradzieżą, zniszczeniem, uszkodzeniem lub ich ujawnieniem. Skąd administrator […]

Kontrola uprawnień i dostępów do systemów zgodnie z RODO

Wstęp Niniejszy artykuł ma na celu omówienie znaczenia i implikacji kontroli uprawnień oraz dostępów do systemów w erze cyfrowej, gdzie informacje szybko zyskują na wartości. RODO, inicjatywa Unii Europejskiej, określa surowe kryteria dotyczące przetwarzania danych osobowych, a wśród nich właśnie kontrola uprawnień i dostępów odgrywa kluczową rolę. Zarządzanie tymi uprawnieniami nie jest jedynie wyzwaniem technologicznym, […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki