Nowe kary finansowe za naruszenie danych osobowych - RODO 2018

Jednym z głównych celów tego rozporządzenia było wzmocnienie praw osób indywidualnych. A skoro zależy nam na zwiększeniu bezpieczeństwa, to i trzeba się troszczyć o poszanowanie przepisów, tak by skutecznie egzekwować ich przestrzeganie. A w razie potrzeby nakładać odstraszające kary i dochodzić roszczeń.

Koniec z brakami w ochronie danych?

Dawne, choćby, zawiadamianie o przetwarzaniu danych osobowych wiązało się z nadmiernymi kosztami finansowymi i obciążeniami administracyjnymi, co konsekwentnie przekładało się na braki i luki w ochronie danych. Dalszym skutkiem tej sytuacji było nikłe społeczne zaufanie co do prowadzonych działań.

Według badań Eurobarometru prawie 1/3 respondentów (31%) uważało, iż nie posiada żadnej kontroli nad swoimi danymi, upublicznianymi online. Stąd też, RODO zamienia te powszechne obowiązki zawiadamiania na konkretne procedury i mechanizmy, koncentrujące się w głównej mierze na tych działaniach w przetwarzaniu, które powodują wysokie ryzyko ewentualnego naruszenia praw czy wolności osób fizycznych.

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Nowe uprawnienia GIODO

Dlatego też, dla spójnego monitorowania wdrażania i przestrzegania ustanowionego prawa, w każdym państwie członkowskim organy nadzorcze (obecnie: GIODO) dostają te same uprawnienia, w tym te do prowadzenia postępowań wyjaśniających, naprawcze, doradcze, do zgłaszania wykroczeń organom sprawiedliwości (i późniejszym uczestnictwie w postępowaniu sądowym), a przede wszystkim do nakładania kar. Należy jednak zauważyć, że wydawanie prawnie wiążących decyzji przez te instytucje może być przedmiotem kontroli sądowej tam, gdzie decyzja ta została wydana.

Zobacz: Finanse

Co istotne, jeśli naruszenie rozporządzenia jest niewielkie bądź ze względu na charakter, wagę i podjęte działania minimalizujące szkodę i inne czynniki łagodzące, nie musi kończyć się to karą finansową. Zamiast tego, można udzielić upomnienia, zwłaszcza gdy ewentualna sankcja byłaby nieproporcjonalna do zaistniałej sytuacji.

W przypadku sankcji nałożonych na osobę, niebędącą przedsiębiorstwem, odpowiedni organ nadzorczy bierze również pod uwagę ogólny poziom dochodów w danym państwie oraz warunki ekonomiczne tej osoby.

A poszczególne państwa członkowskie określają dodatkowo, w jakim stopniu i zakresie podlegają temu organy publiczne.

Jakie są szczegółowe warunki co do administracyjnych kar pieniężnych?

Należą do nich: charakter, waga i czas trwania naruszenia, jego umyślność bądź brak, podjęte działania naprawcze, stopień odpowiedzialności administratora albo podmiotu przetwarzającego, kategorie danych osobowych, które dotyczyły owego naruszenia, czy zostało ono zgłoszone do organu nadzorczego, stosowanie zatwierdzonych mechanizmów certyfikacji lub kodeksów przetwarzania i ponadto wszelkie inne czynniki, mające wpływ na tę sytuację.

Polecamy: Gazeta Samorządu i Administracji

Gdyby naruszone zostało (umyślnie lub nie) kilka przepisów rozporządzenia, to całkowita wysokość kary nie może przekraczać tej nałożonej za największe wykroczenie. Do kwoty dochodzącej do 10 000 000 euro, a dla przedsiębiorstw do 2% jego całkowitego światowego obrotu z poprzedniego roku. Zastosowanie ma kwota wyższa, kiedy tyczy się to obowiązków administratora albo podmiotu certyfikującego czy monitorującego.

Za to w przypadku wykroczeń dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, praw osób, przekazywania danych odbiorcy w państwie trzecim lub organizacji międzynarodowej bądź nieprzestrzegania nakazu, tymczasowego ograniczenia czy zawieszenia przepływu danych kwota ta zwiększa się.

Tutaj już wchodzą koszty aż do 20 000 000 euro lub 4% wysokości całkowitego rocznego światowego obrotu.

Państwa członkowskie przyjmują też przepisy określające inne sankcje za naruszenie RODO, w szczególności za te niepodlegające administracyjnym karom pieniężnym, oraz podejmują wszelkie niezbędne środki. Kary te muszą być efektywne, proporcjonalne i odstraszające.

Sporą nowością jest więc wprowadzenie tak drastycznych sankcji za ewentualne wykroczenia. Zrozumiałe jednak są powody takiej decyzji, po to by rzeczywiście i skutecznie chroniło się nasze dane.