Nowe unijne prawo ochrony danych osobowych: Sankcje i odpowiedzialność

Sankcje przewidziane unijnym rozporządzeniem ogólnym o ochronie danych osobowych (RODO) mają służyć wzmocnieniu procesu harmonizacji przepisów o ochronie danych osobowych oraz zapewnić taki sam poziom ochrony w całej UE. Sankcje mają penalizować poszczególne naruszenia ochrony danych osobowych, a w przyszłości stanowić również środek odstraszający dla innych przedsiębiorców.

SANKCJE ADMINISTRACYJNE

Sankcje administracyjne mogą stanowić kary pieniężne lub środki naprawcze, takie jak nakaz ograniczenia lub zakaz przetwarzania, nakaz sprostowania lub usunięcia danych osobowych, czy nakaz zawieszenia przepływu danych do odbiorcy w państwie poza UE/EOG. Administracyjne kary pieniężne mogą być stosowane oprócz lub zamiast środków naprawczych. Decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, organ nadzorczy zwraca w każdym przypadku uwagę na charakter, wagę i czas trwania naruszenia, cel przetwarzania, liczbę poszkodowanych osób, rozmiar poniesionej szkody, umyślny lub nieumyślny charakter naruszenia, działania podjęte w celu zapobiegania naruszeniom lub zminimalizowania szkody, stopień odpowiedzialności administratora, wdrożone środki techniczne i organizacyjne oraz inne istotne czynniki obciążające lub łagodzące.

W przypadkach o mniejszym znaczeniu oraz jeśli nie zachodzi poważne ryzyko dla podmiotów, których dane są przetwarzane, sankcja może się ograniczać do zaledwie ostrzeżenia lub upomnienia bez nakładania kary pieniężnej.

Naruszenia RODO podlegające karze zostały zaklasyfikowane do dwóch kategorii: za naruszenia należące do pierwszej kategorii może zostać nałożona kara pieniężna do 10.000.000 euro lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa); naruszenia zakwalifikowane do drugiej kategorii zagrożone są karą do 20.000.000 euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Pierwsza kategoria naruszeń obejmuje między innymi: naruszenie zasad prywatności w fazie projektowania (privacy by design) oraz prywatności w ustawieniach domyślnych (privacy by default), naruszenie obowiązku prowadzenia rejestru czynności przetwarzania, brak współpracy z organem nadzorczym, brak odpowiedniego zabezpieczenia przetwarzanych danych, niezgłoszenie naruszenia ochrony danych osobowych oraz nieprowadzenie oceny skutków przetwarzania. Do drugiej kategorii naruszeń należą: naruszenia w zakresie warunków uzyskania zgody, przetwarzania danych wrażliwych, klauzul informacyjnych, przekazywania danych osobowych odbiorcy poza UE/EOG, przetwarzania danych związanych z zatrudnieniem lub niestosowanie się do nakazów organu nadzorczego.

W założeniu przepisy RODO nie przewidują w przypadku nakładania kar pieniężnych możliwości uwzględnienia zdolności finansowej przedsiębiorców, a od organów nadzorczych oczekuje się ujednolicenia ich praktyk oraz nakładania we wszystkich krajach UE kar w podobnych wysokościach za podobne naruszenia. Dlatego należy uświadomić prze-de wszystkim małych przedsiębiorców, ponieważ nałożenie wysokiej kary może być dla ich firmy szczególnie dotkliwe.

ODPOWIEDZIALNOŚĆ CYWILNA I KARNA

Osobom, których dane dotyczą, przysługuje prawo dochodzenia od administratorów lub podmiotów przetwarzających odszkodowania za szkody majątkowe i niemajątkowe. Administrator lub procesor mogą zwolnić się z odpowiedzialności tylko jeśli wykażą, że szkoda powstała z przyczyn od nich niezależnych. Na podstawie art. 80 RODO z pozwem o naruszenie ochrony danych osobowych na rzecz osoby lub osób, której dane dotyczą, może wystąpić także organizacja konsumencka. Ponadto, naruszenie ochrony danych osobowych może powodować odpowiedzialność karną. Art. 84 oraz motyw 149 RODO uprawniają Państwa Członkowskie do przyjęcia przepisów przewidujących sankcje karne według własnego uznania.

PODMIOTY ODPOWIEDZIALNE

Za naruszenia ochrony danych osobowych oprócz administratorów danych mogą odpowiadać również podmioty przetwarzające, w zależności od przypadku – niezależnie od administratora lub solidarnie z nim. Ponadto, na Inspektorów Ochrony Danych nie można nałożyć administracyjnych kar pieniężnych, ale mogą oni odpowiadać względem administratora lub procesora za szkody powstałe na skutek ich nieprawidłowych rekomendacji.

Jeśli są Państwo zainteresowani przeprowadzeniem takiego audytu zachęcamy do kontaktu ze specjalistami z Kancelarii SDZLEGAL SCHINDHELM: mec. Tomaszem Szarkiem, mec. Aleksandrą Baranowską-Górecką oraz mec. Anną Materlą.