iSecure logo
Blog

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych
Kategorie

W kolejnej części cyklu o zmianach wprowadzanych przez Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) przybliżamy jedne z najgorętszych zagadnień – kary finansowe i odpowiedzialność administratora danych osobowych.

I część cyklu: Rozszerzony obowiązek informacyjny i profilowanie

II część cyklu: Obowiązek prowadzenia rejestru przetwarzania

III część cyklu: Obowiązek zgłaszania naruszenia danych osobowych

Każdy podmiot przetwarzający dane osobowe ponosi odpowiedzialność prawną za nieprzestrzeganie aktualnie obowiązujących regulacji prawnych. Obecnie kluczowa w tym zakresie jest ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, w pewnym zakresie zastosowanie mogą mieć również przepisy Kodeksu cywilnego oraz przepisy Kodeksu pracy. Ale już w 25 maja 2018 roku sytuacja ta ulegnie diametralnej zmianie – od tego dnia zacznie obowiązywać ogólne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych (w skrócie: GDPR lub RODO).

Nowe przepisy przewidują między innymi nieporównywalnie wyższe kary finansowe (nawet do 20 mln euro) i zupełnie nowy tryb ich nakładania.

Administrator danych ponosić będzie odpowiedzialność cywilną. Odszkodowania będzie mogła domagać się każda osoba, która poniosła szkodę (majątkową lub niemajątkową) poprzez naruszenie przepisów RODO. Podmiotem odpowiedzialnym będzie administrator lub podmiot przetwarzający dane – ich odpowiedzialność będzie co do zasady solidarna.  Podmiot przetwarzający będzie odpowiadał za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełni obowiązków, które nakłada RODO na podmioty przetwarzające lub gdy będzie działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. W przypadku, gdy wystąpi brak winy administratora lub podmiotu przetwarzającego dane, nie ponoszą oni odpowiedzialności.

RODO dużo zmienia w kwestii kar pieniężnych. Według nowych przepisów kara ma być skuteczna, proporcjonalna i odstraszająca. Karę pieniężną skutecznie będzie można nakładać w zależności od okoliczności każdego indywidualnego przypadku, biorąc pod uwagę:

  • Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą oraz rozmiaru poniesionej przez nie szkody.
  • Umyślny lub nieumyślny charakter naruszenia.
  • Działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.
  • Stopień odpowiedzialności administratora lub podmiotu przetwarzającego.
  • Wcześniejsze naruszenia.
  • Stopień współpracy z organem nadzorczym w celu uniknięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.
  • Kategorie danych osobowych, których dotyczyło naruszenie.
  • Sposób w jaki organ nadzorczy dowiedział się o naruszeniu.
  • Przestrzeganie uprawnień naprawczych nałożonych przez organ nadzorczy.
  • Stosowanie zatwierdzonych kodeksów postępowania lub mechanizmów certyfikacji.
  • Inne czynniki obciążające lub łagodzące.

Wysokość kary obliczana będzie na trzy różne sposoby.

  1. Jeżeli administrator lub podmiot przetwarzający naruszy umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie będzie przekraczać wysokości kary za najpoważniejsze naruszenie.
  2. Kara w wysokości do 10 000 000 EUR lub w przypadku przedsiębiorstwa
    w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Taka kara może zostać wymierzona w wypadku naruszenia przepisów dotyczących:

    1. Obowiązków administratora i podmiotu przetwarzającego wynikającego z art. 8 (warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego), art. 11 (przetwarzanie niewymagające identyfikacji); art. 25-39 (z sekcji I RODO obowiązki ogólne, z sekcji II RODO bezpieczeństwo danych osobowych, z sekcji III RODO ocena skutków dla ochrony danych i uprzednie konsultacje, z sekcji IV RODO Inspektor Ochrony Danych), art. 42 (certyfikacja), art. 43 (podmiot certyfikujący);
    2. Obowiązków podmiotu certyfikacyjnego;
    3. Obowiązków podmiotu monitorującego.
  3. Kara w wysokości do 20 000 000 EUR lub w przypadku przedsiębiorstwa
    w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Może zostać wymierzona w przypadku naruszenia przepisów:

    1. Podstawowych zasad przetwarzania, w tym warunków zgody (art. 5, 6, 7, 9 RODO); chodzi między innymi o znane z polskiej ustawy o ochronie danych osobowych, aczkolwiek zmodyfikowane na gruncie GDPR zasady legalności i celowości przetwarzania danych, wymagania prawne wobec zgody jako podstawy prawnej przetwarzania danych, czy też warunki przetwarzania danych sensytywnych.
    2. Praw osób które dane dotyczą (12-22 RODO), in. wymagania wobec obowiązków informacyjnych jakie należy spełniać wobec tych osób, uprawnienia tych osób do dostępu, żądania sprostowania oraz w określonych w GDPR przypadkach żądania  usunięcia ich danych, czy też prawo do przenoszenia danych pomiędzy różnymi administratorami danych.
    3. Przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o których mowa w art. 44-49 GDPR.
    4. Wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX.
    5. Nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawiedzenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1

Co do odpowiedzialności karnej, to art. 84 RODO mówi:

Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne  i odstraszające.

Podobne wpisy:

Przetwarzanie danych służbowych

DPIA w organizacji

Jednym z częstych uchybień, które mają miejsce podczas wdrażania RODO, jest błędna ocena co do braku przesłanek do przeprowadzenia oceny skutków dla ochrony danych (Data Protection Impact Assessment, DPIA). Często może być wynikiem przeświadczenia, że skoro niejedna analiza procesu została zrobiona przed wdrożeniem RODO (np. podczas audytu), to już nic więcej nie trzeba oceniać. Natomiast […]

Przydatne aplikacje

When does the processor become a controller?

Can the processor also act as a controller in the course of a personal data processing entrustment agreement? Can the processor, after termination of the entrustment agreement, become the controller of personal data which it previously processed only on behalf of another entity? Answers to these questions are important for determining the duties and potential […]

Body leasing a zgodność z RODO

Samo pojęcie i funkcjonowanie body leasingu powoduje w praktyce wiele różnych problemów, w szczególności na gruncie ochrony danych osobowych. Zarówno przedsiębiorcy korzystający z usług body leasingu, jak i przedsiębiorcy oferujący skorzystanie z usług body leasingu powinni należycie zadbać o właściwe uregulowanie kwestii bezpieczeństwa informacji w zakresie najmu kadry pracowniczej. Problematyczne jest nie tylko określenie zakresu […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki