Cennik kar, czyli ile dokładnie zapłacimy za naruszenie zasad ochrony danych osobowych?

Dążąc do ujednolicenia skali stosowanych sankcji, 19 lutego 2019 r. holenderski organ ochrony danych (niderl. Autoriteit Persoonsgegevens) wydał rozporządzenie w sprawie administracyjnych kar pieniężnych, określane powszechnie jako ich „cennik” albo „taryfikator”. Na gruncie przyjętych przez Grupę Roboczą art. 29 wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych z 3 października 2017 r. kary finansowe stanowią zasadnicze narzędzie umożliwiające egzekwowanie nowo wprowadzonego prawa przez właściwe organy nadzorcze.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.

ODBIERZ PAKIET

Mimo upływu blisko roku od rozpoczęcia obowiązywania europejskiego rozporządzenia EROD nie ustanowiła dotychczas żadnych zasad obliczania kar pieniężnych. W związku z tym organ nadzorczy w Holandii postanowił wydać własne ogólne przepisy administracyjne dotyczące ustalania wysokości tych sankcji (rozporządzenie organu ochrony danych w sprawie administracyjnych kar pieniężnych 2019).

Holendrzy są prekursorami tego rodzaju instrukcji, jednak nie ulega wątpliwości, że organy nadzorcze pozostałych krajów będą czerpać z podanego im na tacy cennika – przynajmniej do momentu pojawienia się kolejnych, podobnych opracowań. Wobec tego warto przybliżyć reguły, którymi najprawdopodobniej będzie kierować się również polski Prezes Urzędu Ochrony Danych Osobowych przy nakładaniu kolejnych kar finansowych.

Kategorie kluczem

Newralgicznym elementem struktury aktu wydanego przez holenderski organ jest kategoryzacja poszczególnych przepisów oraz ich odniesienie do określonych stawek kar pieniężnych. Przepisy RODO, a  akże szeregu aktów krajowych, których naruszenie grozi karą grzywny, sklasyfikowano według maksymalnej wysokości. Potencjalne działania zagrożone grzywną podzielono na cztery kategorie, z uwzględnieniem wagi naruszonej normy. Ustala się ją na podstawie obiektywnej oceny wartości przepisów, ich miejsca w hierarchii ustawodawczej, jak również realizowanych przez nie celów i interesów publicznych, którym służą konkretne unormowania. Do każdej z kategorii przyporządkowano zaś określone stawki kar pieniężnych.

^{Fragment załącznika nr 1 do rozporządzenia organu ochrony danych w sprawie administracyjnych kar pieniężnych}

Tylko milion?

W toku analizy taryfikatora szczególną uwagę zwraca dysproporcja pomiędzy maksymalną stawką kary przyjętą przez holenderski organ nadzorczy (1 milion euro) a tą przewidzianą przez RODO (20 milionów euro). Czy oznacza to, że przedmiotowe rozporządzenie uniemożliwia nałożenie kary wyższej niż milion euro? Bynajmniej – jeśli jest to uzasadnione okolicznościami, a maksymalna stawka przewidziana przez rozporządzenie w danej sytuacji nie będzie w opinii organu nadzorczego odpowiednia, dopuszczalne jest zastosowanie sankcji w wymiarze przekraczającym wskazaną kwotę. W konkluzji należy stwierdzić, że oznaczone stawki są jedynie wartościami sugerowanymi, niedeterminującymi ostatecznie kształtu decyzji wydawanych przez organy nadzorcze.

^{Wysokość grzywny podstawowej za wykroczenia, dla których obowiązuje kwota maksymalna kary w wysokość 900.000 €}

Dalsze instrukcje

Niezależnie od przeliczników wskazanych w formie tabel, stanowiących załączniki do rozporządzenia, holenderski urząd skonstruował również ogólne dyrektywy dotyczące wymiaru sankcji, opisując jew treści aktu. Stosownie do wytycznych urzędu wysokość nakładanej kary powinna być proporcjonalna i wystarczająco odstraszająca zarówno dla sprawcy (prewencja szczególna), jak i dla potencjalnych sprawców (prewencja ogólna). Autoriteit Persoonsgegevens akcentuje ponadto dopuszczalność wzięcia pod rozwagę, przy wydawanej decyzji, szeregu czynników dotyczących danej sprawy, a mogących mieć wpływ na rozmiary nakładanych sankcji. Ewentualne okoliczności łagodzące bądź obciążające, mające odzwierciedlenie w stawce kary przyjętej przez właściwy organ, zostały enumeratywnie przytoczone w omawianym rozporządzeniu. Mianowicie, określając wysokość kary pieniężnej, nakładający ją organ powinien wziąć pod uwagę w każdym przypadku:

1. charakter, powagę i czas trwania naruszenia, z uwzględnieniem charakteru, zakresu lub celu przedmiotowego przetwarzania, a także liczbę dotkniętych nim osób, których dane dotyczą, oraz zakres poniesionej przez nie szkody;
2. umyślny lub nieumyślny charakter naruszenia;
3. środki podjęte przez administratora lub podmiot przetwarzający w celu ograniczenia szkód poniesionych przez osoby, których dane dotyczą;
4. zakres odpowiedzialności administratora lub podmiotu przetwarzającego, przy uwzględnieniu środków technicznych i organizacyjnych, wdrożonych zgodnie z art. 25 i 32 RODO;
5. wcześniejsze istotne naruszenia popełnione przez administratora lub podmiot przetwarzający;
6. stopień współpracy z organem nadzorczym w celu zaradzenia naruszeniu i ograniczenia jego ewentualnych negatywnych skutków;
7. kategorie danych osobowych, których dotyczy naruszenie;
8. sposób, w jaki organ nadzoru dowiedział się o naruszeniu, w szczególności czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosił naruszenie;
9. zgodność z określonymi w art. 58 ust. 2 RODO środkami, które zostały wcześniej podjęte względem administratora lub podmiotu przetwarzającego w odniesieniu do tej samej sprawy;
10. stosowanie zatwierdzonych kodeksów postępowania, zgodnie z art. 40 RODO, lub zatwierdzonych mechanizmów certyfikacji, zgodnych z art. 42 RODO;
11. wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak korzyści finansowe osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem lub uniknięte straty.

Mając na uwadze przywołane okoliczności łagodzące bądź obciążające, organ określa wysokość kary przez podwyższenie podstawowej kwoty (w dopuszczalnych granicach) lub jej obniżenie (do przewidzianej minimalnej wysokości).Innym założeniem towarzyszącym (a przynajmniej takim, który powinien towarzyszyć) nakładaniu wspominanych kar administracyjnych jest zasada proporcjonalności. Zobowiązuje ona organ wydający decyzję do uwzględniania uwarunkowań finansowych sprawcy przy określaniu wysokości kary.

W przypadku ustalenia negatywnego położenia finansowego obciążonego podmiotu organ może zminimalizować karę pieniężną. W tym kontekście holenderski organ odwołuje się również do przepisów wprowadzających RODO, które ustanawiają wymóg uwzględniania potrzeb małych, średnich i mikroprzedsiębiorstw w stosowaniu przepisów.

Niebezpieczna recydywa

Szczególne podwyższenie kary może zostać zastosowane w przypadku powrotu określonego podmiotu do dokonywania naruszeń, czyli tzw. recydywy. Uprawniony organ może wówczas podwyższyć stawkę aż o 50%, wykraczając przy tym poza ustalone granice wymiaru kary, przewidziane w danej sytuacji. Zastosowanie konstrukcji recydywy w postępowaniach z obszaru ochrony danych osobowych niewątpliwie jest instrumentem pozwalającym urzeczywistnić rządzące tym procesem zasady prewencji zarówno szczególnej, jak i ogólnej, choć z drugiej strony – bardzo niekorzystnym dla podmiotów ponoszących związane z tym konsekwencje.

Co dalej?

Wydane przez Holendrów rozporządzenie bez wątpienia będzie dla pozostałych europejskich organów drogowskazem przy nakładaniu kolejnych kar administracyjnych. Jednak czy inne kraje pójdą śladem holenderskiego organu ochrony danych i stworzą własne taryfikatory, czy może zadowolą się przygotowanym już opracowaniem? Zważywszy na istotę RODO oraz jego fundamentalne cele, wydaje się, że synchronizacja porządków krajowych także w zakresie wydawanych decyzji byłaby jak najbardziej zasadnym rozwiązaniem, ułatwiającym stosowanie prawa nie tylko organom nadzorczym, lecz także podmiotom wcielającym je w życie w swojej codziennej działalności.

Tymczasem lokalne organy nadzorcze coraz częściej sięgają po kary pieniężne. Czy ta tendencja wpłynie na ujednolicenie linii orzeczniczej, przekonamy się zapewne w ciągu najbliższych lat, a może nawet miesięcy.