Jedną z najważniejszych modyfikacji, jakie niesie ze sobą reforma prawa ochrony danych osobowych wprowadzona przez ogólne rozporządzenie o ochronie danych osobowych (RODO), jest wprowadzenie administracyjnej kary pieniężnej za naruszenia tego rozporządzenia, nakładanej w każdym państwie członkowskim przez organy nadzorcze według tych samych reguł określonych w artykule 83 RODO. Przepis ten określa przesłanki zastosowania administracyjnej kary pieniężnej, wyznacza jej wysokość oraz wskazuje wpływające na nią okoliczności.

Warto odnotować, że administracyjna kara pieniężna może być nałożona zarówno na administratora, jak i na podmiot przetwarzający, niezależnie od tego, czy są to osoby fizyczne, prawne, czy też inne podmioty i jednostki.

Przesłanki stosowania kar i ich wysokość:

Wysokość możliwej do nałożenia sankcji pieniężnej została uzależniona od dwóch czynników: rodzaju naruszenia oraz charakteru podmiotu, wobec którego ma być ona zastosowana.

Kara do 10 mln euro, a w przypadku przedsiębiorstw do 2% ich całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie znajdzie kwota wyższa), może zostać nałożona za naruszenie obowiązków administratora i podmiotu przetwarzającego, o których mowa w:

  • art. 8 (obowiązki w zakresie warunków wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego);
  • art. 11 (obowiązki w zakresie przetwarzania niewymagającego identyfikacji);
  • art. 25 (obowiązki w zakresie uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych);
  • art. 26 (obowiązki w zakresie określenia zasad współadministrowania);
  • art. 27 (obowiązki w zakresie wyznaczania przedstawiciela administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii);
  • art. 28 (obowiązki w zakresie doboru podmiotu przetwarzającego);
  • art. 29 (obowiązki w zakresie przetwarzania danych z upoważnienia administratora lub podmiotu przetwarzającego);
  • art. 30 (obowiązki w zakresie rejestrowania czynności przetwarzania);
  • art. 31 (obowiązki w zakresie współpracy z organem nadzorczym);
  • art. 32 (obowiązki w zakresie bezpieczeństwa przetwarzania);
  • art. 33 (obowiązki w zakresie zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu);
  • art. 34 (obowiązki w zakresie zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych;
  • art. 35 (obowiązki w zakresie dokonywania oceny skutków dla ochrony danych);
  • art. 36 (obowiązki w zakresie przeprowadzania uprzednich konsultacji z organem nadzorczym);
  • art. 37 (obowiązki w zakresie wyznaczania inspektora ochrony danych);
  • art. 38 (obowiązki w zakresie określenia statusu inspektora ochrony danych);
  • art. 39 (obowiązki w zakresie wykonywania zadań inspektora ochrony danych);
  • art. 42 i 43 (obowiązki dotyczące certyfikacji i podmiotu certyfikującego).

Wystarczy przy tym stwierdzenie któregokolwiek z powyższych naruszeń, by organ nadzorczy nałożył sankcję pieniężną.

Kara do 20 mln euro, a w przypadku przedsiębiorstw do 4% ich całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie znajdzie kwota wyższa), może zostać nałożona za naruszenie m.in.:

- podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w.

  • art. 5 (obowiązki w zakresie zasad dotyczących przetwarzania danych osobowych);
  • art. 6 (obowiązki w zakresie zgodności przetwarzania z prawem);
  • art. 7 (obowiązki w zakresie warunków wyrażenia zgody);
  • art. 9 (obowiązki w zakresie przetwarzania szczególnych kategorii danych osobowych).

- praw osób, których dane dotyczą, o których mowa w:

  • art. 12 (prawo do bycia poinformowanym w przejrzysty sposób o przetwarzaniu danych);
  • art. 13 (prawa związane z informacjami podawanymi w przypadku zbierania danych od osoby, której dane dotyczą);
  • art. 14 (prawa związane z informacjami podawanymi w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą);
  • art. 15 (prawo dostępu do danych przysługujące osobie, której dane dotyczą);
  • art. 16 (prawo żądania sprostowania danych);
  • art. 17 (prawo do usunięcia danych, tj. "prawo do bycia zapomnianym");
  • art. 18 (prawo do ograniczenia przetwarzania);
  • art. 19 (prawo do bycia powiadomionym o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania);
  • art. 20 (prawo do przenoszenia danych);
  • art. 21 (prawo do wniesienia sprzeciwu wobec przetwarzania danych);
  • art. 22 (prawo do niepodlegania zautomatyzowanemu podejmowanie decyzji w indywidualnych przypadkach, w tym profilowaniu).

W tym wypadu również wystarczy stwierdzenie któregokolwiek z powyższych naruszeń, by organ nadzorczy nałożył sankcję pieniężną.

Samo stwierdzenie zaistnienia naruszeń przepisów rozporządzenia stanowiących podstawę do nałożenia powyższych kar administracyjnych nie obliguje organu do sięgnięcia po ten rodzaj sankcji. Jak wskazuje się w motywie 148 RODO, należy za powyższe naruszenia nakładać sankcje, w tym administracyjne kary pieniężne - oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Gdy naruszenie reguł określonych w rozporządzeniu jest niewielkie lub grożąca osobie fizycznej sankcja finansowa stanowiłaby dla niej nieproporcjonalne obciążenie, wówczas organ może w miejsce nałożenia administracyjnej kary pieniężnej udzielić jedynie upomnienia.

Okoliczności wpływające na wysokość kar:

Rozstrzygając o nałożeniu sankcji administracyjnej, a także określając jej wysokość, organ nadzorczy musi uwzględnić szereg okoliczności wskazanych w artykule 83 ust. 2, do których należą – wg klasyfikacji cyt. za Joanną Łuczak [w: Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.), „RODO. Ogólne rozporządzenie o ochronie danych. Komentarz”, WKP 2018]:

  • elementy związane z incydentem stanowiącym naruszenie RODO:
    • charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania;
    • umyślny lub nieumyślny charakter naruszenia;
    • kategorie danych, których dotyczyło naruszenie;
    • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 RODO.
  • zachowanie administratora (podmiotu przetwarzającego) przed ocenianym naruszeniem:
    • wszelkie wcześniejsze naruszenia ze strony podmiotu, wobec którego sankcja ma być zastosowana;
    • stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji.
  • zachowanie administratora (podmiotu przetwarzającego) po naruszeniu:
    • ewentualne działania podjęte przez ten podmiot w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
    • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności czy i w jakim zakresie podmiot ten zgłosił naruszenie;
    • stopień jego współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
    • stopień przestrzegania środków naprawczych zastosowanych wobec tego podmiotu wcześniej przez organ nadzorczy w tej samej sprawie.
  • skutki naruszenia:
    • liczba poszkodowanych osób, których dane dotyczą;
    • rozmiar poniesionej przez te osoby szkody.

Powyższy katalog okoliczności nie ma zamkniętego charakteru.

Zgodnie z art. 83 ust. 3 RODO, jeśli w ramach tych samych lub powiązanych operacji przetwarzania dany podmiot narusza kilka przepisów rozporządzenia, całkowita wysokość nałożonej z tego tytułu sankcji pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze naruszenie.

Wpisy powiązane:

Naruszenie ochrony danych osobowych.

Obowiązek informacyjny RODO.

Rejestr czynności przetwarzania danych osobowych.

Analiza ryzyka.

Bezpieczeństwo przetwarzanych danych.

Zasady RODO.

Zasada rozliczalności.

Wdrożenie RODO.

Kontrola zgodności z RODO.

Środki naprawcze wg RODO.

Powierzenie przetwarzania danych osobowych.

Data publikacji: 29.06.2018.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

Audyt i wdrożenie RODO | Poznań, Warszawa, Bydgoszcz