Kary administracyjne z RODO w pigułce

19 marca 2018 |

Strach ma wielkie oczy 😯😱. Wiele podmiotów najwięcej uwagi, w związku z zbliżającą się godziną zero dla wejścia w życie RODO, poświęca odpowiedzialności i karom administracyjnym – zwłaszcza kwestii ich wysokości a nie kwestiom przeciwdziałania naruszeniom.  Czy faktycznie jest się czego obawiać ? Czy milionowe kary posypią się lawinowo ? A może pieniężna kara administracyjna jest jedynie ostatecznością ?  Dziś w pigułce o odpowiedzialności administracyjnoprawnej 😉.

 

 

Co Cię może czekać za naruszenie RODO ?

 

Naruszenie ochrony danych wiąże się z odpowiedzialnością. Wielu skupia swoją całą uwagę jedynie na administracyjnych karach finansowych, zapominając że jest to tylko jedna z możliwości sankcji, jakie niesie ze sobą naruszenie ochrony danych osobowych.  Trzeba zdawać sobie sprawę, że konsekwencją naruszenia może być:

  1. Odpowiedzialność administracyjnoprawna

  2. Odpowiedzialność cywilna

  3. Odpowiedzialność karna

Każda z tych odpowiedzialności jest rodzajowo inna, w związku z tym podmiot naruszający RODO może jednocześnie ponieść wszystkie trzy sankcje. Dziś jednak skupimy się na odpowiedzialności administracyjnoprawnej.

 

Nie za wysoka ta kara?

 

RODO wprowadza zasadę, którą mają się kierować organy nadzorcze podczas wymierzania kar. Bowiem kary administracyjne mają być skuteczne, proporcjonalne i odstraszające. Fakt nałożenia kary administracyjnej oraz jej wysokość zależeć będzie  od okoliczności każdego indywidualnego naruszenia RODO.

Organ nadzorczy będzie brał pod uwagę, decydując o ukaraniu danego podmiotu (administratora jak i podmiotu przetwarzającego) oraz ustalając wysokości kary finansowej, m. in. :

  • charakter, czas i waga naruszenia,

  • umyślność lub nieumyślność podmiotu,

  • wdrożone u administratora środki organizacyjne oraz techniczne,

  • to w jaki organ nadzorczy dowiedział się o naruszeniu, a w szczególności, czy i w jakim zakresie przedsiębiorca zgłosił naruszenie.

Tym samym ukrywanie naruszeń bądź nieprzygotowywanie się do RODO może się nie opłacić 😉.

 

W RODO kary administracyjne podzielono na dwa zakresy, uzależniając wysokość kary od rodzaju naruszenia.
 

Niższa (choć nie taka niska) pieniężna kara administracyjna, bo do 10 milionów euro a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) podlegają następujące naruszenia przepisów :

 

  • naruszenie obowiązków administratora i podmiotu przetwarzającego wymienionych w RODO (art. 8, 11, 25-39 42, 43) , jak np.:

    • brak weryfikacji wyrażenia zgody przez opiekuna dziecka, które nie ukończyło jeszcze 16 roku życia, na przetwarzanie jego danych osobowych,

    • brak prowadzenia rejestru operacji przetwarzania,

    • brak powołania IOD w przypadkach obligatoryjnych,

    • bark informowania organu nadzorczego o naruszeniach w zakresie ochrony danych osobowych,

    • nieprzestrzeganie obowiązków związanych z certyfikacja przedsiębiorcy przez stosowny podmiot;

  • naruszenie obowiązków podmiotu certyfikującego wymienionych w RODO;

  • naruszenie obowiązków podmiotu monitorującego związanych z podjęciem stosownych działań w przypadku stwierdzenia naruszenia przez danego przedsiębiorcę zatwierdzonego kodeksu postępowania.

 

Z dotkliwszą karą, bo do 20 milionów euro a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) podlegają następujące naruszenia :

  • podstawowych zasad przetwarzania, w tym warunków zgód na przetwarzanie określonych w RODO ( np. zasady rozliczalności – czyli brak odpowiedniej dokumentacji dowodzącej prawidłowości przetwarzania danych);

  • praw osób, których dane są przetwarzane;

  • przepisów dotyczących przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;

  • nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienie dostępu organowi nadzorczemu;

  • naruszenie obowiązków wynikających z przepisów krajowych danego państwa członkowskiego, uchwalonych na podstawie RODO;

  • nieprzestrzeganie środków naprawczych nałożonych przez organ nadzorczy.

 

Płatność w złotówkach

 

Kwestię te reguluje już bowiem obecny projekt ustawy o ochronie danych osobowych. Polski ustawodawca zakłada realizację płatności w polskiej walucie, bowiem póki co nie jesteśmy jeszcze w strefie euro. Równowartość wyrażonych w europejskiej walucie kwot, przeliczać będziemy na złotówki według średniego kursu euro ogłoszonego przez NBP w tabeli kursów na dzień 28 stycznia każdego roku. Termin na zapłatę kary wyznaczono 14 dni od upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sadu administracyjnego.

Środki finansowe pochodzące z kar pieniężnych stanowić będą dochód budżetu państwa. Jednakże 1 % środków z kar pieniężnych trafiać będą do Funduszu Ochrony Danych Osobowych.

 

Audyt a „po naszemu” kontrola

 

Rozporządzenie Unijne mianem audytu określa postępowanie organów nadzorczych, sprawdzające prawidłowość przetwarzania danych osobowych. Polski ustawodawca w projekcie ustawy o ochronie danych osobowych posługuje się jednak pojęciem kontrola– do którego w polskim porządku prawnym bardziej przywykliśmy, chociażby za sprawa kontroli Urzędów Skarbowych czy Inspekcji Pracy.

 

Organ nadzorczy będzie prowadził planowane kontrole (o których planach zapewne podmioty będą wiedziały z wyprzedzeniem) jak i ad hoc (czyli na donos). Kontrolę będzie przeprowadzać upoważniony pracownik Urzędu . Pod nieobecność ADO kontrola będzie się mogła odbywać z udziałem pracownika lub świadka. Kontrowersyjny jest przedział czasowy prowadzenia kontroli– od 6.00 do 22.00. Wiele bowiem firm nie jest czynnych przez cały ten czas.

 

Do audytu (czyli po polsku kontroli😉  ) organu nadzorczego nie da się raczej specjalnie przygotować. Przetwarzanie w zgodzie z RODO pozwoli administratorom spać spokojnie. Kontrolujący będzie miał prawo między innymi do :

 

  • wstępu na grunt, do budynków i pomieszczeń;

  • wglądu do wszelkich dokumentów i informacji związanych z kontrolą;

  • przeprowadzanie oględzin miejsc, przedmiotów, urządzeń i systemów;

  • żądania pisemnych lub ustnych wyjaśnień;

  • przesłuchiwania w charakterze świadka;

  • żądania sporządzenia ekspertyz i opinii;

  • żądania kopii dokumentów;

  • utrwalać przebieg kontroli rejestrując obraz lub dźwięk.

 

Zwłaszcza oku kamery kontrolującego nic nie umknie😉 . Trzeba zatem przeszkolić pracowników w zakresie ochrony danych osobowych. Przeszłością powinno się stać trzymanie sterty papierów pod biurkiem, chociażby dlatego by „kiedyś tam zbiorczo je skosić”.

 

Kara finansowa-  z automatu ?

 

Jak uspokaja w wielu wypowiedziach dr. Maciej Kawecki z Ministerstwa cyfryzacji – zapewne nie.  Obok lub zamiast kary pieniężnej organy nadzorcze są wyposażone w inne środki naprawcze. Nie zawsze więc, każde przewinienie będzie automatycznie wiązało się z karą finansową. Organ nadzorczy może bowiem:

 

  • Wydawać ostrzeżenia dotyczące możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania;

  • Udzielić upomnienia w przypadku naruszenia przepisów RODO przez operacje przetwarzania;

  • Nakazać spełnienia żądania osoby, której dane dotyczą, wynikającego z jej praw;

  • Nakazać dostosowania operacji przetwarzania do przepisów RODO;

  • Nakazać zawiadomienia osoby, której dane dotyczą , o naruszeniu ochrony danych;

  • Wprowadzić czasowe lub całkowite ograniczenie przetwarzania, w tym zakaz przetwarzania;

  • Nakazać sprostowania lub usunięcia danych lub ograniczenia przetwarzania oraz nakazać powiadomienia o tych czynnościach odbiorców danych;

  • Cofnąć certyfikacje lub nakazać podmiotowi certyfikującemu takie cofnięcie lub nakazać nieudzielania certyfikacji – jeżeli wymogi nie zostały spełnione lub przestały być spełniane

  • Nakazać zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

 

Nie bez znaczenia dla wyboru pomiędzy żółta kartką (środki naprawcze) a czerwoną (kara finansowa) będzie rozmiar i okoliczności pojedynczych przewinień na tle RODO oraz to co dany podmiot zrobił by wyeliminować zagrożenie i aby naprawić skutki już mającego miejsce naruszenia.

Do maja zostało jeszcze trochę czasu. By się w pełni przygotować administratorzy i podmioty przetwarzające muszą podjąć wysiłek już teraz, tak by zamiast kary otrzymać pochwały 😉.

 

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.

 

  •  

     

     

     

     

     

     

     


Skontaktuj się z doradcą

Porozmawiajmy

Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej Polityce prywatności.
AKCEPTUJ