RODO: Sankcje za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych

RODO: Sankcje za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych

Za nieprzestrzegania nowych przepisów dotyczących ochrony danych osobowych grożą surowe kary pieniężne oraz inne sankcje

Wraz z początkiem obowiązywania nowych przepisów dotyczących ochrony danych osobowych (czyli RODO oraz nowej ustawy o ochronie danych osobowych) można spodziewać się wzmożonej aktywności organu nadzorczego, który będzie weryfikował stopień implementacji nowych regulacji w przedsiębiorstwie oraz wypełnienia obowiązków dotyczących przetwarzania danych osobowych. Jakie sankcje grożą przedsiębiorcom?

Ewentualne stwierdzone braki oraz nieprawidłowości w zakresie przetwarzania danych osobowych mogą skutkować bardzo poważnymi konsekwencjami dla przedsiębiorców - począwszy od administracyjnych kar pieniężnych w wysokości nawet do 20 milinów euro, poprzez odpowiedzialność cywilną administratorów, a skończywszy nawet na odpowiedzialności karnej.

Podstawa prawna odpowiedzialności

Od 25 maja 2018 r. zaczną obowiązywać przepisy unijnego rozporządzenia dotyczącego ochrony danych osobowych (tzw. RODO). Wspomniane przepisy regulują zagadnienia dotyczące praw i obowiązków osób, których dane osobowe są przetwarzane oraz podmiotów przetwarzających te dane.

Wspomniane rozporządzenie wprowadza stosowne procedury kontrolne oraz kary za stwierdzone naruszenia w zakresie przetwarzania danych osobowych, pozostawiając przy tym jednocześnie państwom członkowskim pewną swobodę w tym zakresie poprzez możliwość przyjęcia odpowiednich przepisów krajowych. 

Z powyższej możliwości skorzystał polski ustawodawca przygotowując nowy projekt ustawy o ochronie danych osobowych. Ww. projekt rozszerza określoną w RODO odpowiedzialność podmiotów przetwarzających dane osobowe oraz katalogi sankcji m.in. o odpowiedzialność karną (nowy projekt ogranicza odpowiedzialność karna w stosunku do tej, która obowiązuje na gruncie aktualnej ustawy o ochronie danych osobowych).

Głównymi źródłami informacji na temat grożących sankcji za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych będzie zatem nie tylko RODO, ale również ustawa o ochronie danych osobowych, kodeks cywilny oraz kodeks karny.

Kary administracyjne oraz uprawnienia naprawcze

W przypadku stwierdzenia naruszeń RODO organ nadzorczy (według projektu ustawy o ochronie danych osobowych będzie to Prezes Urzędu Ochrony Danych Osobowych) dysponuje szeregiem środków naprawczych oraz administracyjnych kar pieniężnych, które mogą być stosowane łącznie, w zależności od okoliczności każdego indywidualnego przypadku. 

Środki naprawcze

W razie stwierdzenia naruszeń RODO organ nadzorczy jest uprawniony w szczególności do:

  • wydawania ostrzeżeń przedsiębiorcom przetwarzającym dane osobowe dotyczących możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania;
  • udzielania upomnień przedsiębiorcom przetwarzającym dane osobowe w przypadku naruszenia przepisów RODO przez operacje przetwarzania;
  • nakazania przedsiębiorcom przetwarzającym dane osobowe spełnienia żądań osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO;
  • nakazania przedsiębiorcom przetwarzającym dane osobowe dostosowania operacji przetwarzania do przepisów RODO, a w szczególności, w stosownych przypadkach wskazania sposobu i terminu dostosowania;
  • nakazania przedsiębiorcom przetwarzającym dane osobowe zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
  • wprowadzenia czasowego lub całkowitego ograniczenia przetwarzania danych, w tym zakazu przetwarzania;
  • nakazania sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazania powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
  • cofnięcia certyfikacji lub nakazania podmiotowi certyfikującemu cofnięcia certyfikacji lub nakazania podmiotowi certyfikującemu nieudzielenia certyfikacji;
  • nakazania zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

Ww. środki naprawcze będą mogły być nakładane na przedsiębiorców zamiast lub obok innych sankcji, w tym obok administracyjnych kar pieniężnych.

Administracyjne kary pieniężne

Niezależnie od ww. środków naprawczych, organ nadzorczy jest uprawniony do nakładania na przedsiębiorcę, który naruszył postanowienia RODO, kary pieniężnej.

Stosując kary pieniężne organ nadzorczy ma obowiązek uwzględnić okoliczności każdego indywidualnego przypadku, natomiast kara ma być skuteczna, proporcjonalna oraz odstraszająca.

Do okoliczności, które organ nadzorczy będzie brał pod uwagę decydując o ukaraniu danego podmiotu oraz ustalając wysokości kary należą m. in.: charakter, czas i waga naruszenia, umyślność lub nieumyślność podmiotu, wdrożone u administratora środki organizacyjne oraz techniczne, czy też sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, a w szczególności, czy i w jakim zakresie przedsiębiorca zgłosił naruszenie.

Administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) podlegają następujące naruszenia przepisów:

  • naruszenie obowiązków administratora i podmiotu przetwarzającego wymienionych w RODO, jak np.: brak weryfikacji wyrażenia zgody przez opiekuna dziecka, które nie ukończyło jeszcze 16 roku życia, na przetwarzanie jego danych osobowych, brak prowadzenia rejestru operacji przetwarzania, brak powołania IOD w przypadkach obligatoryjnych, bark informowania organu nadzorczego o naruszeniach w zakresie ochrony danych osobowych, nieprzestrzeganie obowiązków związanych z certyfikacja przedsiębiorcy przez stosowny podmiot;
  • naruszenie obowiązków podmiotu certyfikującego wymienionych w RODO;
  • naruszenie obowiązków podmiotu monitorującego związanych z podjęciem stosownych działań w przypadku stwierdzenia naruszenia przez danego przedsiębiorcę zatwierdzonego kodeksu postępowania.

Administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) podlegają następujące naruszenia przepisów:

  • naruszenie podstawowych zasad przetwarzania, w tym warunków zgód na przetwarzanie określonych w RODO;
  • naruszenie praw osób, których dane są przetwarzane;
  • naruszenie przepisów dotyczących przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;
  • nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienie dostępu organowi nadzorczemu;
  • naruszenie obowiązków wynikających z przepisów krajowych danego państwa członkowskiego, uchwalonych na podstawie RODO;
  • nieprzestrzeganie środków naprawczych nałożonych przez organ nadzorczy.

Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów RODO, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie. Oznacza to, że w przypadku gdy w przypadku jednego procesu przetwarzania zostanie naruszone kilka procesów, to organ nadzorczy nałoży tylko jedną karę, przy czym będzie to kara wyższa.

Karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Na wniosek ukaranego organ nadzorczy może odroczyć uiszczenie kary pieniężnej albo rozłożyć ją na raty ze względu na ważny interes wnioskodawcy. Organ nadzorczy może uchylić odroczenie uiszczenia kary pieniężnej albo rozłożenie jej na raty, jeżeli ujawniły się nowe lub uprzednio nieznane okoliczności istotne dla rozstrzygnięcia lub jeżeli rata nie została uiszczona w terminie.

Środki finansowe pochodzące z kar pieniężnych stanowią dochód budżetu państwa, przy czym 1 % kar pieniężnych zostanie przeznaczony na Fundusz Ochrony Danych Osobowych - państwowy fundusz celowy - powołany w celu upowszechniana wiedzy o prawach i obowiązkach związanych z ochroną danych osobowych.

Odpowiedzialność cywilna

Nałożenie na przedsiębiorcę ww. administracyjnej kary pieniężnej nie zwalnia go z ewentualnej odpowiedzialności cywilnej wobec osób, których dane dotyczą.

Każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, może żądać, zaniechania tego działania a także może żądać ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków.

Ponadto każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Należy przy tym zwrócić uwagę na pewne rozróżnienie odpowiedzialności administratora oraz podmiotu przetwarzającego. 

Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym przepisy RODO, natomiast podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Zarówno administrator, jak i podmiot przetwarzający zostają jednakże zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden podmiot i zgodnie z RODO odpowiadają oni za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania. Podmiot, który zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych podmiotów, które uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.

Do postępowania w sprawach roszczeń odszkodowawczych znajdą zastosowanie przepisy kodeksu postępowania cywilnego. Sądem właściwym w sprawach roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, w tym roszczeń z tytułu naprawienia szkody, będzie sąd okręgowy i to niezależnie od wartości przedmiotu sporu.

O wniesieniu pozwu w sprawach dotyczących odszkodowania sąd zawiadamia niezwłocznie organ nadzorczy. Jeżeli przed organem nadzorczym albo sądem administracyjnym toczy się postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych albo postępowanie takie zostało zakończone, organ nadzorczy zawiadamia o tym sąd okręgowy, przed którym wytoczony powództwo cywilne. Sąd może zawiesić toczące się przed nim postępowanie do czasu zakończenia postępowania przed organem nadzorczym.

Odpowiedzialność karna

Do opracowywanego projektu ustawy o ochronie danych osobowych wprowadzono również przepisy karne. Wprowadzone regulacje nie stanowią jednakże kopii obecnie obowiązujących przepisów, albowiem celem ustawodawcy było ograniczenie rozbudowanych przepisów karnych do tych niezbędnych z punktu widzenia systemu ochrony danych osobowych. 

Odpowiedzialność karna ma być co do zasady wyjątkiem przewidzianym dla najcięższych naruszeń przepisów i stanowić jedynie uzupełnienie dla odpowiedzialności administracyjnej oraz cywilnej.

W projekcie ustawy przewidziano odpowiedzialność karną za udaremnianie lub utrudnianie kontrolującym prowadzenia kontroli przestrzegani przepisów o ochronie danych osobowych, za co grozi kara grzywny. Orzekanie w tych sprawach ma następować na podstawie przepisów kodeksu postępowania w sprawach o wykroczenia.

Ponadto projekt przewiduje odpowiedzialność w przypadku przetwarzania określonej kategorii danych (tzw. "danych wrażliwych") bez podstawy prawnej, za co grozi kara grzywny, kara ograniczenia wolności albo pozbawienia wolności. Zgodnie z projektem orzekanie w tych sprawach będzie następowało na podstawie przepisów kodeksu postępowania karnego. 

Obok ww. przepisów należy zwrócić uwagę na fakt, iż naruszenie przepisów o ochronie danych osobowych może również stanowić czyn zabroniony w rozumieniu przepisów kodeksu karnego - np. przestępstwa przeciwko ochronie informacji.

Mając na uwadze ww. szeroki wachlarz sankcji, które grożą przedsiębiorcom za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych, warto już teraz upewnić się, czy dane przedsiębiorstwo spełnia wszystkie wymogi stawiane przez RODO oraz ustawę ochrony danych osobowych, aby uniknąć wysokich kar oraz odszkodowań spowodowanych kontrolami.