Tematyka ochrony danych osobowych znalazła się w centrum uwagi dzięki surowym karom pieniężnym za nieprzestrzeganie ogólnego rozporządzenia o ochronie danych (RODO). Dyskusja na ten temat niemal została sprowadzona do kwestii kar, choć unijne rozporządzenie daje do dyspozycji organu nadzorczego także inne środki prawne, które mogą zastąpić sankcje finansowe w wypadku stwierdzonych uchybień.

Zgodnie z regulacją zawartą w art. 58 ust. 2 RODO organom nadzorczym (w tym polskiemu Prezesowi Urzędu Ochrony Danych Osobowych) przysługuje szeroka paleta tzw. uprawnień naprawczych, które służą wymuszeniu przestrzegania wymogów unijnego rozporządzenia. Najdonioślejszym i najbardziej znanym środkiem naprawczym pozostają oczywiście administracyjne kary pieniężne, które organ nadzorczy może zastosować – zależnie od okoliczności konkretnej sprawy – na mocy art. 83 RODO oprócz lub zamiast środków, o których mowa poniżej. Wśród pozostałych uprawnień naprawczych służących organowi nadzorczemu wymienić należy:

  1. wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów rozporządzenia poprzez planowane operacje przetwarzania;

  2. udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania;

  3. nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy rozporządzenia;

  4. nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;

  5. nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;

  6. wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;

  7. nakazanie na mocy art. 16, 17 i 18 RODO sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 rozporządzenia powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;

  8. cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43 RODO, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;

  9. nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

Na szczególną uwagę zasługują uprawnienia wskazane w pkt. 6) oraz 9). Pierwszy z tych środków, wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania, jest środkiem pozostającym w cieniu kar finansowych (sięgających nawet 20 mln euro), jednak w praktyce jego zastosowanie mogłoby się okazać bardziej dotkliwe niż kwota pieniężna nałożona na przedsiębiorcę tytułem kary. Administrator bowiem miałby wciąż szansę pozyskania środków na opłacenie kary prowadząc działalność, natomiast zakazanie przetwarzania danych mogłoby być równoznaczne z koniecznością zaprzestania prowadzenia działalności gospodarczej przez administratora, co w bliskiej perspektywie prowadziłoby do bankructwa. Spore utrudnienia w funkcjonowaniu przedsiębiorstwa mogłoby z kolei spowodować choćby czasowe ograniczenie przetwarzania danych (podmiotowe lub przedmiotowe). Zatem omawiany środek, delikatnie mówiąc, pozostaje niedoceniony przez osoby koncentrujące się jedynie na ryzyku wynikającym z kar pieniężnych.

Podobnie rzecz się ma z uprawnieniem PUODO do nakazania zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej. Sankcja ta będzie dotkliwa w szczególności dla podmiotów, które swój biznes opierają na usługach świadczonych przez podmioty mające swą siedzibę bądź infrastrukturę (np. serwery) w tzw. państwach trzecich, tj. pozostających poza terytorium Europejskiego Obszaru Gospodarczego. W dobie wciąż postępującej globalizacji nie są to wypadki rzadkie, stąd wielu administratorów – w wypadku otrzymania takiego zobowiązania – byłoby zmuszonych do dokonania daleko idących zmian w obrębie własnego przedsiębiorstwa.

Pamiętać należy przy tym, iż postępowanie prowadzone przez PUODO jest jednoinstancyjne a w/w środki są natychmiast wykonalne - niemożliwa będzie więc gra na czas polegająca się na odwoływaniu od decyzji PUODO i próbach przedłużania postępowania odwoławczego. Skarga na decyzję PUODO wniesiona do sądu administracyjnego wstrzymuje jedynie wykonalność decyzji o nałożeniu kary pieniężnej.

Zwrócić należy uwagę również i na te „sankcje”, które nie będą de facto stanowiły większej dolegliwości dla przedsiębiorców. Mowa tu oczywiście o upomnieniach, ostrzeżeniach czy nakazach zmierzających do korekty działalności administratora (lub podmiotu przetwarzającego) i uzyskania w ten sposób zgodności z RODO. Na pewno takie sankcje winny dotyczyć podmiotów, które podjęły starania o uzyskania takiej zgodności, choć z uwagi na niezwykle skomplikowaną materię związaną z ochroną danych osobowych nie we wszystkich aspektach osiągnęły zamierzony cel.

Pamiętać jednak trzeba o sankcji za lekceważące podejście do w/w środków naprawczych (o charakterze niepieniężnym), zgodnie bowiem z art. 83 ust. 6 RODO nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Wpisy powiązane:

Naruszenie ochrony danych osobowych.

Kary pieniężne wynikające z RODO.

Bezpieczeństwo przetwarzanych danych.

Zasady RODO.

Zasada rozliczalności.

Wdrożenie RODO.

RODO - podstawowe informacje.

Kontrola zgodności z RODO.

Czasowe ograniczenie przetwarzania danych osobowych.

Data publikacji: 12.12.2018.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

Audyt i wdrożenie RODO | Poznań, Warszawa, Bydgoszcz