Aktualności/Newsy

it
dane_osobowe
newsy
2017-03-23

Administracyjne kary pieniężne w RODO

Niniejszy, kolejny już wpis na temat zmian wprowadzonych przez RODO, dotyczy kar administracyjnych, nakładanych na administratorów danych osobowych w przypadku naruszenia przepisów rozporządzenia. 

Obecna regulacja
W pierwszej kolejności należy wskazać, iż obecnie odpowiedzialność administracyjnoprawna podmiotów przetwarzających dane osobowe została uregulowana w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. 

Zgodnie z art. 12 pkt 3 wspomnianej ustawy, jedyną sankcją o charakterze pieniężnym, jaką Generalny Inspektor Ochrony Danych Osobowych może nałożyć na przedsiębiorcę – w przypadku niewykonania obowiązków wynikających z uprzednio wydanej decyzji – jest tzw. grzywna przymuszająca. Jej wysokość regulują z kolei przepisy o postępowaniu egzekucyjnym w administracji. Przewidziana tam (art. 121) maksymalna wysokość grzywny, jaka może zostać nałożona w przypadku osób fizycznych wynosi 10.000 zł, a w przypadku osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej – 50.000 zł. 

Wskazać należy również, iż wysokość grzywien nakładanych wielokrotnie na przedsiębiorcę nie może łącznie przekroczyć kwoty 50.000 zł w przypadku osób fizycznych, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej – kwoty 200.000 zł.
Z uwagi na fakt, iż administracyjne kary finansowe przewidziane w obecnych przepisach pozostają nieporównywalnie niższe od kar przewidzianych w RODO, warto dokonać szczegółowej analizy nowego rozporządzenia, za naruszenie którego zostały przewidziane bardzo surowe sankcje.

Warunki nakładania kar pieniężnych w RODO
Organ krajowy, decydując o nałożeniu kary administracyjnej oraz jej wysokości, zobowiązany jest wziąć pod uwagę szereg szczegółowych warunków, opisanych w art. 83 ust. 2 RODO. Wśród nich należy wskazać w szczególności na:
•   charakter, wagę i czas trwania naruszenia (z uwzględnieniem charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób oraz rozmiaru poniesionej przez nie szkody),
•    umyślny lub nieumyślny charakter naruszenia,

•    kategorię danych osobowych, której dotyczy naruszenie,
•    działania podjęte przez administratora w celu zminimalizowania poniesionej szkody,
•    historię wcześniejszych naruszeń przepisów przez administratora,
•    sposób w jaki organ nadzorczy dowiedział się o naruszeniu. 

Wymiary kar w RODO
Rozporządzenie przewiduje dwa podstawowe wymiary administracyjnych kar pieniężnych.
Kara w maksymalnej wysokości do 10.000.000 €, a w przypadku przedsiębiorstwa – do 2%  jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, stosowana jest w  przypadku naruszenia przepisów art. 8, 11, 25-39, 42-43 RODO. Zastosowanie każdorazowo będzie miała kara wyższa. 

Sankcją w postaci administracyjnej kary pieniężnej we wskazanej wyżej wysokości zagrożone jest naruszenie następujących obowiązków administratora danych osobowych (lub procesora):
•  obowiązek uzyskiwania zgody od opiekuna dziecka poniżej 16. roku życia w przypadku oferowania dziecku usług społeczeństwa informacyjnego,
•   zakaz przetwarzania danych osobowych, jeżeli ich przetwarzanie w formie umożliwiającej identyfikację podmiotu danych nie jest już konieczne,
•   obowiązek uwzględniania ochrony danych w fazie projektowania oraz stosowania domyślnej ochrony danych,

•   obowiązek rejestrowania czynności przetwarzania danych,
•  obowiązek odpowiedniego zabezpieczenia danych z uwzględnieniem dostępnych rozwiązań i kosztów ich wdrożenia, a także charakteru, zakresu i kontekstu przetwarzania oraz ryzyk z nim związanych, 
•   obowiązek zawiadamiania organu nadzorczego o naruszeniach ochrony danych osobowych, 
•   obowiązek informowania podmiotów danych o naruszeniach ochrony danych osobowych, 

•   obowiązek szacowania ryzyka i oceny wpływu przetwarzania na prawa i wolności podmiotów danych,  
•   obowiązek wyznaczenia inspektora ochrony danych osobowych i zapewnienia mu odpowiednich gwarancji niezależności,

Surowszej odpowiedzialności – w wysokości do 20.000.000 €, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, podlega naruszenie przepisów w zakresie:

• podstawowych zasad przetwarzania danych osobowych (w tym między innymi: zgodność przetwarzania danych z prawem, rzetelność i przejrzystość; konkretyzacja i ograniczenie celu ich przetwarzania; prawidłowość danych),
•  warunków wyrażenia zgody na przetwarzanie danych (w tym między innymi prawa do wycofania zgody w dowolnym momencie),
•  praw osób, których dane dotyczą (w tym w zakresie uzyskiwania informacji i dostępu do danych osobowych; prawa do sprostowania, usunięcia oraz ograniczenia przetwarzania danych; prawa do wniesienia sprzeciwu wobec przetwarzania),

•   zasad przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych,
•  wszelkich obowiązków wynikających z prawa krajowego (w tym między innymi w zakresie prawa do wolności wypowiedzi i informacji, tajemnicy czy przetwarzania w celach archiwalnych, naukowych, historycznych i statystycznych),
•   nieprzestrzegania środków nadzorczych, w tym nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych.

Przypominamy, że przepisy rozporządzenia zaczną mieć bezpośrednie zastosowanie od 25 maja 2018 roku.
Pełna treść rozporządzenia w języku polskim dostępna jest pod adresem: 
http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=PL

cofnij