Milionowe kary za niewłaściwe przestrzeganie RODO
Rozporządzenie o ochronie danych osobowych będzie miało zastosowanie od 25 maja tego roku. Za kilka miesięcy każdy przedsiębiorca będzie musiał respektować postanowienia unijnego przepisu. W przeciwnym razie RODO przewiduje ogromne kary pieniężne. Dla wielu firm rewolucja związana z przetwarzaniem danych może być bardzo kosztowna.
Widmo wysokich kar w RODO
Dane osobowe stanowią cenną walutę biznesową, bez której wiele branż nie mogłoby istnieć. Obecna Ustawa o ochronie danych osobowych, przepisy wykonawcze i w konsekwencji GIODO bardzo łagodne podchodzą do kwestii związanych z właściwym przestrzeganiem ochrony danych osobowych. Konsekwencją czego jest częste, bezprawne i bezkarne działanie na danych. RODO ma położyć temu kres.
Rozporządzenie o ochronie danych osobowych wymaga od podmiotów przetwarzających dane konkretnych działań, a nie tylko deklaracji i spisania dokumentów. Dodatkowo, uzbraja organ nadzorczy (Prezesa Urzędu Ochrony Danych, następcę prawnego obecnego GIODO) w skuteczne narzędzia kontroli i karania.
Wysokość kar finansowych dzisiaj i w trakcie RODO
Obecna, ponad dwudziestoletnia, ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. reguluje zagadnienia związane z ochroną danych. O wysokości kar finansowych, a dokładniej grzywny, traktuje jeszcze starsza ustawa o postępowaniu egzekucyjnym w administracji z 17 czerwca 1966 roku.
W przypadku jednorazowego naruszenia, GIODO może nałożyć karę sięgającą do 50 tys. zł., a w przypadku wielokrotnego niewykonywania decyzji, łącznie kary grzywny nie powinny przekraczać 200 tys. zł. W stosunku do osób fizycznych może być wymierzona grzywna o maksymalnej wysokości 10 tys. złotych. Natomiast takie kary nakładane wielokrotnie nie mogą łącznie przekroczyć kwoty 50 tys. zł.
Biorąc pod uwagę konsekwencje, jakie mogą ponieść osoby, których prawa zostały naruszone, są to bardzo niskie kary. Ci, których dotyczą dane osobowe nie mogą czuć się bezpiecznie.
Z pomocą przychodzi rozporządzenie o ochronie danych osobowych, które w stosunku do osób łamiących prawo jest bardzo surowe. RODO przewiduje dwa pułapy kar:
- w wysokości do 10.000.000 EUR albo do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, jeśli narusza ona przepisy, tyczące się obowiązków administratora czy podmiotu przetwarzającego, certyfikującego bądź monitorującego,
lub
- w wysokości do 20.000.000 EUR albo do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w przypadku naruszenia przepisów o prawach osób, których dane dotyczą, podstawowych zasad przetwarzania, przekazywania danych do państw trzecich oraz nieprzestrzegania nakazu ograniczenia przetwarzania bądź zawieszenia danych.
Ocena właściwego przetwarzania danych osobowych
Trudno powiedzieć w jaki sposób następca GIODO będzie dokonywał oceny ochrony przetwarzania danych osobowych i co za tym idzie, w jaki sposób będzie ustalał wysokość nakładanych kar finansowych. Dla wszystkich – zarówno specjalistów zajmujących się ochroną danych, jak również dla przedsiębiorców - jest to ogromna niewiadoma, którą powinna wyjaśnić nowa, krajowa ustawa o ochronie danych osobowych.
Europejskie rozporządzenie o ochronie danych osobowych podkreśla, że w momencie zastosowania kary pieniężnej, do każdego przypadku należy podchodzić indywidualnie. Kara ma być skuteczna, proporcjonalna i odstraszająca. Pomocna w ocenie może być treść art. 83, pkt 2 RODO:
- charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
- umyślny lub nieumyślny charakter naruszenia,
- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
- stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych przez nich wdrożonych,
- wszelkie wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
- kategorie danych osobowych, których dotyczyło naruszenie,
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
- jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie uprawnienia naprawcze, a jak tak czy podmiot się do nich zastosował,
- stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji,
- wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
Ostatni dzwonek na wdrożenie RODO
Zgodnie z treścią artykułu 99, rozporządzenie o ochronie danych osobowych weszło w życie w maju 2016 roku i ma zastosowanie od 25 maja 2018. Przedsiębiorcy mieli 1,5 roku, żeby zapoznać się z nowymi przepisami. Niestety, świadomość wśród administratorów danych osobowych jest bardzo mała. Ogromna ilość firm jeszcze nie zaczęła wdrażać nowych przepisów mając nadzieję, że wszystko wyjaśni się 25 maja. Od tego dnia następca GIODO będzie mógł nałożyć kary pieniężne w chwili stwierdzenia naruszenia, a nie dopiero po wydaniu decyzji administracyjnej.
Zdecydowanie to ostatni moment, żeby zainteresować się przepisami rozporządzenia, ponieważ widmo wysokich kar staje się bardziej realne, niż było to w 2016 roku. Na RODO należy jednak spojrzeć jak na szansę. Nie ma większego czynnika motywującego niż kary finansowe. Dzięki temu dane osobowe mogą być naprawdę dobrze chronione.
Sprawdź również: