Zapraszamy do strefy RODO - prezentujemy najważniejsze zmiany i nowości Więcej

Wysokie kary administracyjne w RODO
nie straszymy, a przypominamy

Wysokie kary administracyjne RODO

Słabością aktualnych przepisów dot. ochrony danych osobowych są znikome konsekwencje za ich nie przestrzeganie. Sankcje finansowe są istotnym narzędziem gwarantującym poszanowanie przepisów ochrony danych osobowych.

W aktualnym stanie prawnym przedsiębiorca może być ukarany grzywną w celu przymuszenia do wykonania decyzji GIODO, w przypadku osób prawnych maksymalnie do 200.000 zł w jednym postępowaniu. Grzywny te są nakładane w postępowaniu egzekucyjnym w administracji.

Po 25 maja 2018 roku organ nadzorczy będzie mógł decydować o nałożeniu kary pieniężnej już w chwili stwierdzenia naruszenia, a nie dopiero w wyniku niewykonania decyzji administracyjnej.

Przy ustaleniu wysokości kary, organ nadzorczy będzie brał pod uwagę:

  • charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
  • umyślny lub nieumyślny charakter naruszenia,
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych przez nich wdrożonych,
  • wszelkie wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
  • kategorie danych osobowych, których dotyczyło naruszenie,
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
  • jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie uprawnienia naprawcze, a jak tak czy podmiot się do nich zastosował,
  • stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji,
  • wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Ważne
Rozporządzenie w zależności od naruszenia przewiduje dwa pułapy kar:

1) w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego,
lub
2) w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Kara niższa będzie miała zastosowanie w przypadku naruszenia przepisów dotyczących:

  • obowiązku uzyskania zgody od opiekuna dziecka poniżej 16 roku życia w przypadku oferowania dziecku usług społeczeństwa informacyjnego (art. 8 Rozporządzenia),
  • zakazu przetwarzania danych osobowych, jeżeli ich przetwarzanie w formie umożlwiającej identyfikację podmiotu danych nie jest już konieczne (art. 11 Rozporządzenia),
  • obowiązku stosowania mechanizmów privacy by design i privacy by default (art. 25 Rozporządzenia),
  • obowiązek uregulowania relacji pomiędzy współadministaorami zgodnie z wytycznymi Rozporządzenia (art. 26 Rozporządzenia),
  • obowiązku wyznaczenia przedstawiciela na terenie UE (art. 27 Rozporządzenia),
  • przestrzegania przez podmiot przetwarzający obowiązków nałożonych na niego w umowie z administratorem i przepisach Rozporządzenia, obowiązek odpowiedniego uregulowania relacji z podmiotem przetwarzającym, (art. 28 Rozporządzenia),
  • obowiązku przetwarzania z upoważnienia administratora lub podmiotu przetwarzającego (art. 29 Rozporządzenia),
  • obowiązku rejestrowania czynności przetwarzania (art. 30 Rozporządzenia),
  • obowiązku współpracy z organem nadzorczym (art. 31 Rozporządzenia),
  • obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 32 Rozporządzenia),
  • obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 Rozporządzenia),
  • obowiązku zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowy (art. 34 Rozporządzenia),
  • obowiązek oceny skutków planowanych operacji przetwarzania dla ochrony danych (art. 35 Rozporządzenia),
  • obowiązek uprzednich konsultacji z organem nadzorczym, w przypadku gdyby dany rodzaj przetwarzania powodowałby wysokie ryzyko, co potwierdziła ocena skutków dla ochrony danych (art. 36 Rozporządzenia),
  • obowiązek wyznaczenia inspektora ochrony danych oraz zapewnienie mu odpowiednich zasobów i gwarancji niezależności (art. 37 Rozporządzenia),
  • statusu inspektora ochrony danych (art. 38 Rozporządzenia),
  • wypełniania zadań inspektora ochrony danych (art. 39 Rozporządzenia,
  • obowiązków podmiotu certyfikującego (art. 42 i 43 Rozporządzenia),
  • obowiązków podmiotu monitorującego przestrzegania kodeksu postępowania w zakresie jego naruszania przez administratora lub podmiot przetwarzający, w tym zawieszania lub wykluczania administratora i podmiotu przetwarzającego spośród stosujących kodeks (art. 41 ust 4 Rozporządzenia).

Kara wyższa będzie miała zastosowanie w przypadku naruszenia przepisów dotyczących:

  • podstawowych zasad przetwarzania, w tym warunków uzyskania zgody (art. 5, 6, 7, 9 Rozporządzenia),
  • praw osób, których dane dotyczą m.in.: prawa dostępu do danych, prawa do sprostowania, prawa do bycia zapomnianym, prawa do ograniczenia przetwarzania, prawa do przenoszenia danych, prawo do wniesienia sprzeciwu, prawo do tego by nie podlegać decyzji, która opera się wyłącznie na zautomatyzowanym przetwarzaniu w tym profilowaniu (art. 12–22 Rozporządzenia,
  • zasad transferu danych osobowych do państw trzecich lub organizacji międzynarodowych (art. 44–49 Rozporządzenia),
  • wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego w związku z zapewnieniem wolności wypowiedzi i informacji, przetwarzaniem danych w kontekście zatrudnienia, przetwarzaniem danych w celach archiwalnych, naukowych, historycznych, statystycznych, przetwarzaniem danych przez kościoły i związki wyznaniowe (Rozdział IX Rozporządzenia),
  • nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy,
  • prawa organu nadzorczego dostępu do siedziby administratora lub podmiotu przetwarzającego.

Kary dla organów lub podmiotów publicznych mogą zostać obniżone przez każdy kraj członkowski. W projekcie nowej ustawy o ochronie danych osobowych, polski ustawodawca proponuje obniżenie kar do 100.000 zł.

W związku z powyższym przygotowania do dostosowania organizacji do wymogów RODO należy rozpocząć już dziś.

 

Sprawdź również:

Skuteczne wdrożenie RODO z kim je zrealizować?

HIT RODO NAWIGATOR pobierz za darmo

Strefa RODO najważniejsze zmiany i nowości

 

 


Adw. Marcin Zadrożny
08 listopada 2017
Biuletyn info... Biuletyn ODO 24

Raz w miesiącu wysyłamy subiektywny przegląd najważniejszych informacji i wydarzeń oraz naszych promocji i nowości. Wystarczy poniżej podać swój adres e-mail.

Zobacz poprzednie wydanie.