Jeszcze zanim RODO weszło w życie, przedsiębiorcy byli straszeni wysokimi karami i sankcjami za nie dostosowanie się do nowych przepisów w ochronie danych osobowych. Trzeba przyznać, że skutecznie zmotywowało to większość firm do wprowadzenia niezbędnych zmian w organizacji i przetwarzaniu danych. W końcu 10 czy 20 milionów euro kary brzmi naprawdę poważnie. W przypadku większości firm – śmiertelnie poważnie.
W dzisiejszym wpisie dowiecie jak jest naprawdę. Czyli jakie są rodzaje kar za złamanie przepisów RODO oraz kiedy i jak są nakładane.
Rodzaje kar za złamanie przepisów RODO
Na początek uspokajamy. Kary za nieprzestrzeganie RODO nie będą nakładane za każde przewinienie i nie zawsze będą miał tak astronomiczny charakter. Nałożenie jakiejkolwiek kary nie jest samowolne i poprzedza je wnikliwa analiza konkretnego przypadku. W trakcie analizy, pod uwagę bierze się kilka czynników, na przykład, czy naruszenie przepisów zdarzyło się administratorowi po raz pierwszy, czy współpracował z organami, czy starał się ukryć nieprawidłowości, jakiej skali były naruszenia itd. Organ nadzorczy, czyli Prezes Urzędu Ochrony Danych Osobowych (PUODO) – ma obowiązek dopilnować, aby stosowane na mocy RODO administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Od czego będzie zatem zależeć wymiar kary administracyjnej i jakie są jej rodzaje?
Administracyjna kara pieniężna w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego grozi za naruszenie:
- obowiązków administratora i podmiotu przetwarzającego związanych z: warunkami wyrażenia zgody na przetwarzanie danych osobowych przez dziecko w przypadku usług społeczeństwa informacyjnego, przetwarzaniem niewymagającym identyfikacji, wdrożeniem odpowiednich środków ochrony danych, współadministrowaniem, wyznaczaniem przedstawiciela w UE, powierzeniem przetwarzania danych, rejestrowaniem czynności przetwarzania, współpracą z organem nadzorczym, bezpieczeństwem przetwarzania danych osobowych, oceną skutków dla ochrony danych i uprzednimi konsultacjami, powoływaniem i funkcjonowaniem inspektora ochrony danych, mechanizmami certyfikacji i podmiotami certyfikującymi (art. 8, 11, 25–39 oraz 42 i 43 RODO),
- obowiązków podmiotu certyfikującego związanych z mechanizmami certyfikacji i podmiotami certyfikującymi (art. 42 i 43 RODO),
- obowiązków podmiotu monitorującego, tj. podejmowania odpowiednich działań w przypadku naruszenia kodeksu postępowania w sprawach ochrony danych przez administratora lub podmiot przetwarzający, w tym zawieszanie lub wykluczanie administratora lub podmiot przetwarzający spośród stosujących kodeks, jak również informowanie organu nadzorczego (art. 41 ust. 4 RODO).
Administracyjna kara pieniężna w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego grozi za naruszenie:
- podstawowych zasad przetwarzania, w tym warunków zgody (art. 5, 6, 7, 9 RODO),
- praw osób, których dane dotyczą (art. 12–22 RODO),
- przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej (art. 44–49 RODO),
- wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX RODO,
- nieprzestrzegania nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy (art. 58 RODO).
Co do zasady, jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów RODO, to całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
Jak widzicie, kary za rażące nieprzestrzeganie przepisów GDPR są naprawdę wysokie. Nie są tylko teoretyczne. Jeśli założymy, że jedną z głównych funkcji jakie mają spełniać jest odstraszanie od łamania przepisów, to… naszym zdaniem spełniają go w 100%. Nie potrzeba chyba silniejszej motywacji. Każdy z przedsiębiorców powinien mieć świadomość jak dużo ryzykuje ignorując RODO, oraz że konsekwencje takiej postawy mogą być nieuniknione.
Kiedy nakładane są kary w związku z RODO?
Tak jak wspomnieliśmy we wstępie dzisiejszego wpisu, PUODO indywidualnie ocenia jaką nałożyć karę i w jakim dokładnie wymiarze. Przy ocenie brane są pod uwagę różne czynniki.
Do najważniejszych należą:
- charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania
- liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nich szkody,
- czy naruszenia mają charakter umyślny, czy nieumyślny
- czy były wcześniejsze naruszenia
- jakie były działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą
- jaki jest stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych,
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
- kategorie danych osobowych, których dotyczyło naruszenie,
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
- jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki – przestrzeganie tych środków,
- stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji,
- wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
Kara ma być proporcjonalna, co w praktyce oznacza, że za niewielkie naruszenie, konsekwencje też nie będą duże. Czasem może wystarczy upomnienie. Istotny jest tu fakt, że kara powinna uwzględniać główny cel, czyli przywrócenie stanu zgodnego z przepisami RODO, a nie tylko ukaranie zachowania sprzecznego przepisami. Nie zmienia to faktu, że przedsiębiorcy muszą liczyć się z tym, że ryzyko kar jest jak najbardziej realne i może być wyjątkowo bolesne, o czym przekonało się ostatnio Google.
Najwyższa kara RODO
Całkiem niedawno, dwa podmioty z Francji, złożyły skargę w związku z podejrzeniem niestosowania się do przepisów RODO przez Google. Mogliście o tym słyszeć, bo sprawa była szeroko komentowana. Dlatego nie będziemy dokładnie jej opisywać. W skrócie chodziło o niewłaściwe informowanie użytkowników o przetwarzaniu danych, czego finalnym skutkiem było nałożenie na giganta kary 50 milionów euro. Mamy rekord.
To najwyższa nałożona dotychczas kara za nieprzestrzeganie RODO. Pokazuje wyraźnie, że wielomilionowe kary nie są fikcją. Oczywiście to nie pierwsza kara, ale pierwsza tak wysoka. Pokazuje też wyraźnie jak działa proporcjonalność kar za łamanie praw dot. ochrony danych osobowych. Gdyby Google otrzymała karę rzędu kilkudziesięciu tysięcy euro, czy byłoby jakąkolwiek nauczką, przestrogą? Zapewne wywołałaby jedynie uśmiech politowania, a tak… Nawet taki „gracz” jak Google odczuje konsekwencje na własnej skórze.
Niezależnie od wymiaru i charakteru kar za nieprzestrzeganie RODO, pamiętajcie że można ich skutecznie uniknąć. Niestety bezpieczeństwa nie zapewni jednorazowe wdrożenie. Potrzebna jest stała czujność, zmiana podejścia do przetwarzania danych osobowych i ponowna organizacja firmowych procesów. Warto też pomyśleć o profesjonalnym wsparciu firmy zewnętrznej, takiej jak WBT-IT. Posiadamy w swojej ofercie usługi RODO, sprawdzony w boju zespół specjalistów, doświadczenie i aktualną wiedzę. Pomożemy Wam uniknąć kar i wypracować standardy, które przyniosą długotrwałe korzyści i pozwolą spać spokojnie. Bez strachu przed surowymi konsekwencjami.
Skontaktujcie się z nami i porozmawiajmy o szczegółach!