Co i za co grozi przy naruszeniu RODO?

Za naruszenie przepisów o ochronie danych osobowych, w tym RODO grozi, a raczej będzie grozić:

1. odpowiedzialność karna,
2. odpowiedzialność cywilnoprawna,
3. odpowiedzialność administracyjna.

Odpowiedzialność karna

Zgodnie z art. 107 i art. 108 nowej ustawy o o ochronie danych osobowych:

1. Osoba, która przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniona podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Jeżeli ww. czyn dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, taka osoba podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.
3. Za udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych, będzie grozić kara: grzywny, kara ograniczenia wolności albo kara pozbawienia wolności do lat dwóch.

Opisane przeze mnie przestępstwa są ścigane z urzędu.

Zgodnie z art. 304 KPK:

1. każdy, dowiedziawszy się o popełnieniu przestępstwa ściganego z urzędu, ma społeczny obowiązek zawiadomić o tym prokuratora lub Policję,
2. Instytucje państwowe i samorządowe, które w związku ze swą działalnością dowiedziały się o popełnieniu przestępstwa ściganego z urzędu, są obowiązane niezwłocznie zawiadomić o tym prokuratora lub Policję oraz przedsięwziąć niezbędne czynności do czasu przybycia organu powołanego do ścigania przestępstw lub do czasu wydania przez ten organ stosownego zarządzenia, aby nie dopuścić do zatarcia śladów i dowodów przestępstwa.

Odpowiedzialność cywilnoprawna

Zgodnie z art. 79 i art. 82 RODO w związku z rozdziałem 10 nowej ustawy o ochronie danych osobowych:

1. Osoba, której prawa zostały naruszone będzie mogła żądać zaniechania naruszenia swych  praw lub dopełnienia czynności niezbędnych do usunięcia jego skutków itd.
2. Osoba która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, będzie miała prawo uzyskać, od administratora lub podmiotu przetwarzającego, odszkodowanie lub zadośuiszczenie za poniesioną szkodę.

Odpowiedzialność administracyjna

Kwestia kar pieniężnych została uregulowana w art. 83 RODO i rozdziale 11 nowej ustawy o ochronie danych osobowych.

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Za naruszenie:

1. obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 –39 oraz 42 i 43 RODO;
2. obowiązków podmiotu certyfikującego, o których mowa w art. 42 oraz 43 RODO;
3. obowiązków podmiotu monitorującego, o których mowa w art. 41 ust. 4 RODO;

może zostać nałożona kara pieniężna w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Za naruszenie:

1. podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9;
2. praw osób, których dane dotyczą, o których mowa w art. 12–22;
3. przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44–49;
4. wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX;
5. nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1.

może zostać nałożona kara pieniężna w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Kary będzie nakładał Prezes Urzędu Ochrony Danych Osobowych.

Projekt ustawy o ochronie danych osobowych przewiduje mniejsze kary pieniężne dla:

1. jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych,  instytutu badawczego i Narodowego Banku Polskiego – w wysokości do 100 000 złotych,
2. jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 13 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych – w wysokości do 10 000 złotych.

Reasumując osobie, która naruszy prawo o ochronie danych osobowych będzie grozi cały katalog różnych sankcji. Jest to rewolucyjna zmiana w porównaniu z obecnym stanem faktycznym i prawnym.