Administracyjne kary pieniężne – zasady nakładania. Część 1

17.11.2017r.

W zasadzie niemal wszystkie artykuły prasowe poświęcone RODO zawierają informację o wysokich administracyjnych karach pieniężnych, które mają być nakładane na podmioty naruszające nowe przepisy. Nic dziwnego. Do tej pory odpowiedzialność za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych istniała, jednak była to w głównej mierze odpowiedzialność karna, która dotykała relatywnie niewielką część podmiotów dopuszczających się naruszeń. Od 25 maja 2018 r. odpowiedzialność będzie głównie finansowa. Decyzja o nałożeniu kary nie będzie podejmowana przez sąd, lecz przez organ administracji. Tym samym droga od zidentyfikowania naruszenia do otrzymania kary ulegnie znacznemu skróceniu. Oczywiście jeżeli nie będziemy się zgadzać z decyzją będziemy mogli dochodzić swoich racji przed sądem. Będziemy musieli jednak to robić ze świadomością istnienia w obrocie prawnym niekorzystnej dla nas decyzji, która być może zgodnie z polityką naszej firmy, będzie musiała znaleźć odzwierciedlenie w prowadzonych przez nas księgach np. w postaci rezerwy o odpowiedniej wysokości. A taka może być nie mała. Przypomnijmy, w przypadku przedsiębiorców chodzi o maksymalnie 20 000 000 EUR albo 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.  W poniższym artykule oraz w jego kolejnych częściach postaramy się odpowiedzieć na pytania, za co można otrzymać taką karę, jakie czynniki będą brane pod uwagę przy ustalaniu jej wysokości, kto będzie decydował w tej sprawie oraz czym przy podejmowaniu takiej decyzji będzie musiał się kierować. Nasze odpowiedzi uwzględniają projekt wytycznych wydany na początku października 2017 r. przez Grupę Roboczą art. 29 (zespół doradczy UE złożony z przedstawicieli organów nadzorczych w zakresie danych osobowych powołanych w państwach Unii, przedstawicielem Polski jest GIODO; same wytyczne mogą jeszcze ulec zmianie).

Jakie kary?

RODO przewiduje dwie główne kary pieniężne za określone w treści Rozporządzenia naruszenia. Jedna w maksymalnej wysokości przytoczonej powyżej oraz druga w wysokości 10 000 000 EUR albo 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (dotyczy przedsiębiorców), przy czym podobnie jak przy pierwszym rodzaju kary – zastosowanie ma kwota wyższa.

Za co dokładnie?

Kara do wysokości 20 mln EUR/4% obrotu może zostać nałożona za naruszenie przepisów dotyczących:

– podstawowych zasad przetwarzania, takich jak m.in.:

  1. zasada przetwarzania zgodnie z prawem, w sposób rzetelny i w sposób przejrzysty dla osoby, której dane są przetwarzane;
  2. zasada zbierania danych w konkretnych, wyraźnych i prawnie uzasadnionych celach;
  3. zasada ograniczenia danych przetwarzanych do danych niezbędnych do celów, w których są przetwarzane;
  4. zasada przetwarzania prawidłowych danych;
  5. zasada przechowywania przez okres nie dłuższy niż jest to potrzebne do realizacji celów przetwarzania;
  6. zasada przetwarzania na podstawie określonych w RODO podstaw przetwarzania (np. zgody, konieczności wypełnienia obowiązku prawnego przez administratora, przetwarzanie danych jest niezbędne do wykonania umowy).

– praw osób, których dane dotyczą;

  1. prawo osoby do otrzymania od administratora danych szeregu informacji (zmienny zakres, w zależności od konkretnej sytuacji);
  2. prawo dostępu do danych;
  3. prawo do sprostowania danych;
  4. prawo do usunięcia danych (bycia zapomnianym);
  5. prawo do ograniczenia przetwarzania;
  6. prawo do przenoszenia danych;
  7. prawo do sprzeciwu.

– przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;

– obowiązków wynikających z prawa krajowego (w określonym zakresie);

– nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienia temu organowi określonego w przepisach dostępu (np. do wszelkich danych osobowych, do pomieszczeń administratora danych, do sprzętu, na którym dane są przetwarzane itp.).

Natomiast kara do wysokości 10 mln EUR / 2% obrotu  może zostać nałożona za naruszenie przepisów dotyczących:

– obowiązków administratora i podmiotu przetwarzającego, takich jak m.in.:

  1. pozyskanie w odpowiedni sposób zgody dziecka na przetwarzanie;
  2. uwzględnienie ochrony danych osobowych w fazie projektowania;
  3. zawarcia pisemnych umów powierzenia, spełniających konkretne wymogi RODO, w przypadku powierzania danych osobowych innemu podmiotowi;
  4. rejestrowanie czynności przetwarzania;
  5. współpraca z organem nadzorczym;
  6. zapewnienie bezpieczeństwa danych osobowych;
  7. zgłaszanie w ciągu 72h naruszeń ochrony danych osobowych (w określonych przypadkach);
  8. zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych;
  9. dokonanie, przed rozpoczęciem przetwarzania, oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (jeżeli jest wymagana);
  10. wyznaczenie inspektora danych osobowych (gdy jest ono obligatoryjne);

– obowiązków podmiotu certyfikującego oraz obowiązków podmiotu monitorującego.

Powyższe wyliczenie ma jedynie charakter przykładowy. Ponadto każda zasygnalizowana wyżej kwestia, jest zazwyczaj regulowana przez szereg przepisów szczegółowych. Duża część z nich wprowadza dodatkowe obowiązki, których naruszenie może skończyć się nałożeniem konkretnej kary pieniężnej.

Kto nakłada?

Zgodnie z RODO – organ nadzorczy. W Polsce będzie to (prawdopodobnie – przepisy na dzień pisania artykułu znajdują się w fazie projektu) Prezes Urzędu Ochrony Danych Osobowych (zastąpi GIODO). Tym samym kary pieniężne będą nakładane w drodze decyzji administracyjnej i będą stanowiły dochód Skarbu Państwa.

W kolejnych częściach artykułu opowiemy jakie czynniki wpływają na wysokość kar pieniężnych oraz jakie są wytyczne Grupy Roboczej art. 29 co do ich nakładania.

 

Marek Kołodziński