Na temat kar za naruszenie RODO napisano już wiele. Nie ulega, bowiem wątpliwości, że nic tak nie przemawia do wyobraźni, jak świadomość wysokości kar, jakie mogą nam grozić za naruszenie obowiązujących przepisów, niezależnie od tego, w jakiej branży działamy lub czym się zajmujemy,. Tak samo jest w przypadku przestrzegania przepisów o ochronie danych osobowych. Każda […]
Na temat kar za naruszenie RODO napisano już wiele. Nie ulega, bowiem wątpliwości, że nic tak nie przemawia do wyobraźni, jak świadomość wysokości kar, jakie mogą nam grozić za naruszenie obowiązujących przepisów, niezależnie od tego, w jakiej branży działamy lub czym się zajmujemy,. Tak samo jest w przypadku przestrzegania przepisów o ochronie danych osobowych. Każda osoba, która poświęciła, choć trochę czasu na zaznajomienie się z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/697 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO), a także naszej ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej Ustawa) wie, że kary pieniężne za naruszenie przepisów o ochronie danych osobowych mogą być horrendalnie wysokie. Generalnie RODO dzieli się na sankcje, do jakich nałożenia uprawnione są organy nadzorcze na dwie kategorie. Do pierwszej należą tzw. uprawnienia (środki) o których mowa w art. 58 ust.2 RODO. Są to sankcje o charakterze nazwijmy to prewencyjno-ostrzegawczym. Do drugiej kategorii zaś należą administracyjne kary pieniężne, o których mowa w art.83 RODO. Odrębną kategorią są środki karne, o czym niżej.
Kary RODO – administracyjne kary pieniężne
Jeśli chodzi o administracyjne kary pieniężne to RODO przewiduje dwa ich przedziały :
- (i) do 10 mln EUR, ewentualnie w przypadku przedsiębiorstw lub grupy przedsiębiorstw do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym stosuje się karę wyższą,
- (ii) do 20 mln EUR, ewentualnie w przypadku przedsiębiorstw lub grupy przedsiębiorstw do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym stosuje się karę wyższą. Na marginesie można dodać, że zgodnie z art. 103 Ustawy równowartość wyrażonych w EUR kwot, o których mowa w art.83 RODO oblicza się w złotych według średniego kursu euro ogłaszanego przez NBP w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku NBP nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów NBP.
Oczywiście w/w kary pieniężne są karami maksymalnymi, a RODO w art. 83 ust.2 wprost stwierdza, że decydując się na nałożenie takiej kary pieniężnej oraz ustalenie jej wysokości organ nadzorczy (Prezes Urzędu Ochrony Danych Osobowych) powinien indywidualnie ocenić każdy przypadek i wziąć pod uwagę wszystkie okoliczności danej sprawy. Oczywiście inaczej będą oceniane te przypadki, w których naruszenie ma mniejszą wagę (np. dotyczy wycieku kilku lub kilkunastu adresów e-mailowych klientów), czas jego trwania nie był długi, charakter naruszeń nie był umyślny, administrator podjął działania zaradcze i nie działał w warunkach recydywy. Inaczej natomiast będą oceniane te przypadki, w których liczba poszkodowanych osób jest znaczna (np. wyciek tysięcy danych klientów banku, wyciek danych medycznych ze szpitala itp.), działania administratora miały charakter umyślny, naruszenie dotyczyło szczególnych kategorii danych (np. danych dotyczących pochodzenia rasowego, poglądów politycznych, światopoglądu, stanu zdrowia) a podmiotowi, który dopuścił się naruszenia zdarza się to nie pierwszy raz. Należy jednak pamiętać, że Prezes UODO nie musi od razu sięgać do administracyjnej kary pieniężnej. Może bowiem zamiast niej skorzystać z mniej drastycznych środków tj. tzw. uprawnień, o których mowa w art. 58 ust.2 RODO. W ramach tych uprawnień Prezes UODO może przykładowo : wydawać ostrzeżenia dotyczące możliwości naruszenia RODO, udzielać upomnień, nakazać administratorowi spełnienia żądania osoby, której dane dotyczą, nakazać administratorowi dostosowanie operacji przetwarzania do wymogów RODO, nakazać administratorowi sprostowanie lub usunięcie danych osobowych, wprowadzić czasowy lub całkowite ograniczenie przetwarzania danych w tym zakaz przetwarzania itp. Trzeba mieć jedynie nadzieję, że Prezes UODO, nie zważając na potrzeby budżetu będzie, w przypadku mniejszych naruszeń korzystał również z uprawnień, o których mowa w art.58 ust.2 RODO a nie tylko administracyjnych kar pieniężnych.
Kary RODO – kryteria oceny naruszenia przepisów
Tak, jak już wspomniano podejmując decyzję o nałożeniu administracyjnej kary pieniężnej Prezes UODO powinien w sposób indywidualny ocenić każde naruszenie posługując się pewnymi kryteriami, o których mowa w art. 83 ust.2 RODO. Chodzi tu m.in. o takie kryteria jak :
- (i) charakter, waga i czas trwania naruszeń z uwzględnieniem liczby poszkodowanych osób,
- (ii) umyślny lub nieumyślny charakter naruszenia,
- (iii) kategorie danych osobowych, które dotyczyło naruszenie (inaczej będzie oceniana sytuacja, gdy dotyczy ono danych szczególnych),
- (iv) sposobu, w jakim organ nadzoru dowiedział się o naruszeniu (tj. czy administrator sam o tym powiadomił, czy też Prezes UODO dowiedział się o tym np. z mediów), a także sposobu współpracy z organem nadzoru w celu usunięcia naruszeń,
- (v) działań podjętych przez administratora po ujawnieniu naruszenia w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
- (vi) wcześniejsze naruszenia (tj. czy administrator nie działa w warunkach „recydywy”).
Adekwatność kary RODO do rodzaju naruszenia
Kryteria te mają zapewnić adekwatność kary do rodzaju naruszenia. Generalnie bowiem w każdym indywidualnym przypadku nałożona kara pieniężna powinna być : skuteczna, proporcjonalna i odstraszająca. Nie da się ukryć, że to ostatnie słowo daje sporo do myślenia. W przypadku, gdyby w naszej ocenie kara była niewspółmierna do stopnia naruszenia zawsze pozostaje nam możliwość zaskarżenia jej do sądu administracyjnego. Należy pamiętać, że sankcje przewidziane w RODO nie są jedynymi sankcjami, jakie mogą nas spotkać za naruszenie przepisów o ochronie danych. Odrębny katalog sankcji wynika też z przepisów Ustawy. O ile jednak sankcje z RODO adresowane są generalnie do administratora, a więc podmiotu przetwarzającego dane o tyle adresatami kar wynikających z Ustawy są, co do zasady osoby fizyczne, w tym członkowie organów zarządzających podmiotów przetwarzających dane. I tak stosownie do art.69 ust.1 Ustawy, kto w związku z toczącym się postępowaniem w sprawie naruszenia przepisów o ochronie danych osobowych będąc do tego zobowiązanym nie stawił się, jako świadek w toczącym się postępowaniu albo bezzasadnie odmówił złożenia zeznań lub okazania dowodów lub odmówił udziału w innych czynnościach urzędowych prowadzonych przez Urząd Ochrony Danych Osobowych (art.88 kodeksu postępowania administracyjnego) może zostać ukarany grzywną w wysokość od 500 zł do 5.000 zł. Ponadto należy też zwrócić uwagę na inne przepisy karne zawarte w ustawie z 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z art. 107 ust.1 Ustawy, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega karze grzywny, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeśli zaś czyn określonych powyżej dotyczy danych szczególnych (np. pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, danych dotyczących stanu zdrowie, orientacji seksualnej) kara pozbawienia wolności może być orzeczona do trzech lat. Kto natomiast udaremnia lub utrudnia kontrolującemu prowadzenie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych, może być stosownie do postanowień art.108 Ustawy ukarany karą grzywny, karą ograniczenia wolności albo pozbawieniem wolności do lat dwóch.
Radca prawny
Wojciech Ostrowski
Rachelski i Wspólnicy Kancelaria Prawna Spółka komandytowa