30 stycznia 2018

Michał omasiak

Kary administracyjne: ODO, a RODO

Kary pieniężne stanowią bardzo szeroko rozbudowany element regulacji RODO tj. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, dalej zwanego RODO. System kar pieniężnych przewidziany przez RODO w sposób zasadniczy różni się […]

Kary pieniężne stanowią bardzo szeroko rozbudowany element regulacji RODO tj. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, dalej zwanego RODO.

System kar pieniężnych przewidziany przez RODO w sposób zasadniczy różni się od tego obowiązującego dotychczas. Na gruncie obecnej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2015 r., poz. 2135) naruszenia związane z ochroną danych osobowych stanowią przestępstwo. Przestępstwa te w zależności od charakteru i stopnia naruszenia zagrożone są sankcją karną grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2. Samych kategorii naruszeń (przestępstw) w obecnym stanie prawnym jest zaledwie sześć (art. 49, 51-54a ustawy). Należną do nich:

  1. przetwarzanie danych przez nieuprawnionego,
  2. udostępnianie danych osobom nieuprawnionym,
  3. naruszenie obowiązku zabezpieczenia danych,
  4. niezgłoszenie danych do rejestru,
  5. niedopełnienie obowiązku poinformowania,
  6. udaremnianie wykonania czynności kontrolnej.

Wszystkie powyższe przestępstwa można popełnić tylko umyślnie, za wyjątkiem przestępstwa udostępniania danych osobom nieuprawnionym, które można popełnić także nieumyślnie. Oznacza to, że obecnie naruszenia przepisów o ochronie danych osobowych popełnione z uwagi na lekkomyślność lub niedbalstwo (tj. nieumyślnie), co do zasady nie są uznawane za przestępstwa. W aktualnym stanie prawnym zasadniczo każdy podmiot naruszający przepisy o ochronie danych osobowych może liczyć na łagodne traktowanie na gruncie prawa karnego, bowiem udowodnienie umyślności popełnienia przestępstwa umyślnego jest trudne. Skuteczny zarzut popełnienia przestępstwa zasadniczo powinien zostać poprzedzony nie tylko interwencją Generalnego Inspektora Danych Osobowych, który nakazuje przywrócenie stanu zgodnego z prawem (art. 18 ustawy), ale dodatkowo następstwem tej interwencji powinno być umyślne niezastosowanie się przez podmiot naruszający do zaleceń organu nadzorczego.  W praktyce dopiero, gdy podmiot naruszający obowiązek nałożony decyzją przez Generalnego Inspektora Danych Osobowych, nie stosuje się do tej decyzji, rozważane jest złożenie do organów ścigania wniosku o podejrzenie popełnienia przestępstwa (art. 19 ustawy). Droga od naruszenia przepisów do ukarania sprawy jest więc aktualnie bardzo odległa, a zatem i same przypadki sankcji karnych występują rzadko. Niemniej nawet jeżeli naruszenie zostałoby stwierdzone to karę grzywny za to naruszenie nakłada sąd karny, który miarkuje charakter i wysokość kary.

Jeżeli zaś chodzi o sankcje administracyjne to przed bardzo długi czas samo GIODO nie było uprawnione  do nakładania kar finansowych.  Taka możliwość pojawiła się kilka lat temu nowelizacją ustawy z dnia 07.03.2011 r. i to w bardzo ograniczonym zakresie. GIODO może nałożyć jedynie grzywnę, ale tylko w celu przymuszenia, w przypadku niewykonania wydanej przez niego decyzji. Zgodnie z art. 121 ustawy o postępowaniu egzekucyjnym w administracji, wysokość takiej grzywny (nakładanej w celu przymuszenia) wynosi:

  • dla osób fizycznych do 10 000 zł za każde uchybienie, ale nie więcej niż 50 000 zł w jednym postępowaniu egzekucyjnym
  • dla osób prawnych do 50 000 zł za każde uchybienie, ale nie więcej niż 200 000 zł
    w jednym postępowaniu egzekucyjnym.

Powyższe kary administracyjne nie są karami, które mógłby odstraszyć największe podmioty działające na rynku, a te najczęściej przetwarzają dane osobowe w sposób masowy.

Z uwagi na powyższe sankcje lub „utrudnioną” procedurę ich egzekwowania obowiązki przewidziane ustawą o ochronie danych osobowych są obecnie traktowane przez  przedsiębiorców trochę po niepoważnie, mówiąc kolokwialnie po „macoszemu“.

Porównując sankcje przewidziane przez RODO do tych obecnie obowiązujących, można śmiało powiedzieć, że zmiana prawa ochrony danych osobowych, ma w tym zakresie charakter rewolucyjny.

RODO wciąż pozostawia możliwość ustalenia przez prawo krajowe odpowiedzialności karnej za dokonanie naruszeń. Niemniej na gruncie RODO to sankcje administracyjne – kary pieniężne będą głównym narzędziem egzekwowania obowiązków Rozporządzenia i ustawy krajowej.  Kary te będzie mógł nakładać organ nadzorczy – w Polsce jest nim Generalny Inspektor Ochrony Danych Osobowych.

Sankcje pieniężne za naruszenie przepisów RODO są ogromne. Istnieją zasadniczo dwa rodzaje kar i dzielą się na:  (1) kary za naruszenie standardowych postanowień (art. 83 ust. 4) RODO oraz na (2) kary za naruszenie istotnych postanowień RODO (art. 83 ust. 5 RODO).

Pierwsze z nich zagrożone są sankcją kary grzywny w wysokości do 10 000 000 EUR (dziesięciu milionów EURO), a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. (art. 83  ust. 4). Drugie, bardziej istotne naruszenia, zagrożone są karą w wysokości do 20 000 000 EUR (dwudziestu milionów EURO), a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Jeżeli naruszeń jest wiele, lecz są one dokonywane w ramach tej samej operacji przetwarzania danych (lub powiązanych ze sobą operacji) kara pieniężna jest jedna – jednak jest to kara przewidziana za najpoważniejsze naruszenie, a więc możliwie najwyższa.

Do pierwszej (standardowej) kategorii naruszeń RODO zalicza:

  1. naruszenie obowiązków administratora i podmiotu przetwarzającego, w tym m in. ochrona przetwarzania danych dot. małoletniego, danych niewymagających identyfikacji właściciela danych , procedur współadministrowania, procedur rejestracji czynności przetwarzania, bezpieczeństwa przetwarzania czy zgłaszania naruszenia danych osobowych podmiotowi nadzorczemu (pełny katalog obowiązków i możliwych naruszeń jest ustalony w art. 8,11, 25-39, oraz art. 42 i 43 RODO);
  2. naruszenie obowiązków podmiotu certyfikującego, o których mowa w art. 42 oraz 43 RODO;
  3. naruszenie obowiązków podmiotu monitorującego, o których mowa w art. 41 ust. 4 RODO;

Do drugiej (istotnej) kategorii naruszeń RODO zalicza:

  1. naruszenie podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa, w tym:
  • 1) 5 RODO (chodzi tu o zgodność z prawem, rzetelność i przejrzystość, granice, cele, adekwatność, terminy, poufność, integralność przetwarzania danych),
  • 2) 6 RODO (przetwarzanie niezgodne z prawem),
  • 3) 7 RODO (niedopełnienie warunków uzyskania zgody właściciela danych)
  • 4) 9 RODO (naruszenia dot. przetwarzania tzw. „danych wrażliwych” jak: związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby),

 

  1. Naruszenie praw osób, których dane dotyczą, w tym:
  • 1) 12 (przejrzystość danych),
  • 2) 13 (informowania właściciela danych o przetwarzaniu),
  • 3) 14 (informowanie właściciela danych o przetwarzaniu – jeżeli dane zostały pozyskane od osoby trzeciej),
  • 4) 15 (prawa dostępu właściciela danych do przetwarzanych danych),
  • 5) 16 (prawo sprostowania danych),
  • 6) 17 (prawo do usunięcia danych – „bycia zapomnianym”),
  • 7) 18 (prawo do zadania ograniczenia przetwarzania danych),
  • 8) 19 (informowanie o usunięci danych lub ograniczeniu ich przetwarzania),
  • 9) 20 (prawo do przenoszenia danych),
  • 10) 21 (prawo do sprzeciwu przetwarzania danych),
  • 11) 22 (prawo do nieoceniania osoby na podstawie zautomatyzowanych danych).

 

  1. Naruszenie przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej (przekazywanie „poza kraje UE”), o którym to przekazywaniu mowa w tym:
  • 1) 44 (ogólne zasady przekazywania),
  • 2) 45 (przekazywanie na podstawie decyzji Komisji Europejskiej),
  • 3) 46 (przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń – gdy brak jest decyzji Komisji Europejskiej),
  • 4) 47 (przekazywanie na podstawie wiążących reguł korporacyjnych),
  • 5) 48 (przekazywanie na podstawie wyroku sądu lub trybunału),
  • 6) 49 (przekazywanie w wyjątkowych sytuacjach w przypadku braku odpowiednich zabezpieczeń).

Rewolucyjny charakter sankcji nie dotyczy tylko samych wysokości kar i ogromnego katalogu naruszeń, w których możliwe jest ich stosowanie. W przeciwieństwie bowiem do aktualnie obowiązujących przepisów diametralnej zmianie ulega też moment i sam tryb nakładania kar. Jak stanowi RODO kary muszą być w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Kary mogą być nałożone niezależnie od innych środków dyscyplinujących (tzw. czynności naprawczych nakładanych na podmiot przetwarzający dane). RODO przewiduje również, że kary mogą być nakładane zamiast środków dyscyplinujących lub łącznie z samymi środkami dyscyplinującymi.

Co istotne na gruncie RODO kara będzie mogła zostać nałożona niezależnie od tego czy podmiot dokonujący naruszenia działał w sposób umyślny czy nieumyślny. Już więc przypadki samego niedbałego działania czy lekkomyślne postępowanie podmiotu przetwarzającego dane spotka się z surową sankcją pieniężną. Warto podkreślić, że sankcja pieniężna ma w tym wypadku charakter administracyjny a nie karny, co oczywiście nie wyklucza (dopuszcza to samo RODO), że za te same przewinienia państwo członkowskie może przewidywać sankcje karne.

RODO przewiduje wyłącznie dwa kryteria określania wysokości kar administracyjnych tj. (1) maksymalny ogólny wymiar kary określony kwotowo (do 10 albo do 20 mln euro) oraz (2) maksymalny szczególny wymiar kary jako procent od wartości obrotu podmiotu dokonującego naruszenia w poprzednim roku obrotowym. Ten drugi wymiar kary w praktyce może być nawet wyższy niż 10 albo 20 mln euro (a więc najwyższy ogólny wymiar kary), jeżeli naruszenia dokonuje podmiot osiągający odpowiedni duże obroty.  Przenosząc pojęcie „obrót” – chodzi tu o przychód podmiotu dokonującego naruszenia za poprzedni rok obrotowy. Można się domyślić, że tak skalkulowana podstawa wymiaru sprawia, że kary pieniężne nakładane przez Generalnego Inspektora Ochrony Danych Osobowych osobowych będą wysokie.

 

Sama wysokość kary będzie zależna od szeregu czynników przewidzianych w RODO. Organ nadzorczy wymierzając karę będzie brał pod uwagę:

  1. a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nich szkody;
  2. b) umyślny lub nieumyślny charakter naruszenia;
  3. c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  4. d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;
  5. e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
  6. f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  7. g) kategorie danych osobowych, których dotyczyło naruszenie;
  8. h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
  9. i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
  10. j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz
  11. k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy.

W tym miejscu nasuwa się wątpliwość czy tego rodzaju kryteria nie są zbyt ogólne. RODO nie daje bowiem odpowiedzi, jak poszczególne kryteria wpływają na wysokość kary. W tym miejscu można pokusić się o pewną analogię do kar nakładanych przez Prezesa Urzędu Ochrony Konkurencji i Konsumentów. Ustawa o Ochronie Konkrecji i Konsumentów podobnie jak RODO formułuje jedynie ogólne kryteria wysokości stosowania kar. Tego rodzaju kryteria zostały następnie uściślone na potrzeby praktyczne przez Prezesa Urzędu Ochrony Konkurencji i Konsumentów, który w maju 2013 r. na swojej stronie internetowej opublikował „Wyjaśnienia w sprawie ustalania wysokości kar pieniężnych za stosowanie praktyk naruszających zbiorowe interesy konsumentów”. W kryteriach tych Prezes Urzędu Ochrony Konkurencji i Konsumentów wskazuje jak w sposób procentowy dane naruszenie wpływa na wysokość danej kary. I tak np. zaniechanie przez przedsiębiorcę stosowania praktyki naruszającej zbiorowe interesy konsumentów – powoduje zmniejszenie kary do 30%,  natomiast umyślność naruszenia – powoduje zwiększenie kary  o 50%. W przypadku RODO sytuacja ta jest o tyle trudna, że RODO nie przewiduje, jaka powinna być minimalna kara za naruszenia, a więc nie wiadomo nawet, jaką bazowa kwotę należałoby miarkować (zwiększać lub zmniejszać procentowo) w oparciu o powyższe kryteria w przypadku konkretnego naruszenia. W takim wypadku to ustawodawca krajowy powinien taką kwotę bazową określić w ustawie precyzującej postanowienia RODO.

Pozostaje jeszcze kwestia waluty kary administracyjnej. W tym wypadku w ustawie krajowej również należy spodziewać się rozwiązań analogicznych jak te przewidziane w art. 5 ustawy o ochronie konkurencji i konsumentów, który stanowi, że  przeliczenie wartości euro oraz innych walut obcych na złote oraz wartości złotego na euro jest dokonywane według kursu średniego walut obcych ogłoszonego przez Narodowy Bank Polski w ostatnim dniu roku kalendarzowego poprzedzającego rok zgłoszenia zamiaru koncentracji lub nałożenia kary.

Podsumowując należy stwierdzić, że sankcje przewidziane w stosunku do przestrzegania przepisów o ochronie danych osobowych nabrały charakteru realnego. Sankcje te objęły o wiele więcej przypadków naruszeń niż przepisy dotychczas obowiązujące. Administracyjne sankcje pieniężne nie będą miały jak dotychczas jedynie charakteru ewentualnego (na wypadek niedostosowania się do decyzji organu nadzorczego). Wręcz przeciwnie sankcje mogą mieć charakter natychmiastowy i bezpośredni już z dniem stwierdzenia przez organ nadzorczy dokonania naruszeń. Sam organ nadzorczy obok środka dyscyplinującego, którym jest możliwość wezwania podmiotu przetwarzającego dane do przeprowadzania tzw. „czynności naprawczych”, otrzymał niezwykle silny oręż w walce z naruszeniami. Orężem tym są właśnie administracyjne kary pieniężne, z których to organ nadzorczy będzie mógł korzystać w sposób bardzo elastyczny i wedle swego uznania.  Oczywiście uznanie te nie będzie dowolne. Wymiar kary, a nawet zasadność jej zastosowania (tj. ocena czy nie wystarczą same czynności naprawcze), będą musiały mieścić się w kryteriach miarkowania wysokości kary określnych  w samym RODO. Niemniej jak wyżej wskazano sama wysokość kar administracyjnych oraz kryteria jej stosowania powinna być przedmiotem szczególnych (precyzujących) regulacji prawa krajowego. RODO obowiązuje już od 17 maja 2016 r. Sam obowiązek jego stosowania w polskim porządku prawnym zaktualizuje się 25 maja 2018 r. Czasu jest bardzo niewiele, również dla polskiego ustawodawcy.

Michał Tomasiak, Radca Prawny, Kancelaria Prawna Rachelski i Wspólnicy