Naruszenia ochrony danych osobowych a kary pieniężne

Budzącą najwięcej emocji zmianą, którą ma wprowadzić unijne rozporządzenie dotyczące ochrony danych osobowych, są kary pieniężne — nakładane w przypadku wystąpienia uchybień w przetwarzaniu danych. Jest to istotna zmiana, ponieważ zakres kar został znacznie rozbudowany w stosunku do jeszcze obowiązującej ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych.

  • Rafał Stępniewski
  • /
  • 7 lutego 2018

Budzącą najwięcej emocji zmianą, którą ma wprowadzić unijne rozporządzenie dotyczące ochrony danych osobowych, są kary pieniężne — nakładane w przypadku wystąpienia uchybień w przetwarzaniu danych. Jest to istotna zmiana, ponieważ zakres kar został znacznie rozbudowany w stosunku do jeszcze obowiązującej ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych.

Kary za naruszenia ochrony danych osobowych — stan obecny

W ustawie z dnia 29 sierpnia 1997 o ochronie danych osobowych informacje o konsekwencjach wynikających z naruszenia ochrony danych znajdują się w artykułach od 49 do 54a. Za przetwarzanie danych, których przetwarzać nie można, wykonywanie tych czynności bez odpowiednich uprawnień oraz udostępnianie zbiorów danych osobom nieupoważnionym przewidziana jest kara w postaci grzywny, ograniczenia lub pozbawienia wolności do 2 lat.

W przypadku, gdy naruszenie dotyczy danych ujawniających np. pochodzenie rasowe, stan zdrowia, przekonania religijne – okres pozbawienia wolności może wtedy wynieść do 3 lat. 

Jeśli wskutek przeprowadzonej kontroli wyjdą na jaw naruszenia przepisów o ochronie danych osobowych, GIODO nakazuje podmiotowi na drodze decyzji administracyjnej wykonanie takich czynności, które spowodują przywrócenie stanu zgodnego z prawem. Mowa tu przede wszystkim o usunięciu wszelkich uchybień, zaprzestaniu, usunięciu, uzupełnieniu lub sprostowaniu danych osobowych czy użycie dodatkowych środków, mających lepiej zabezpieczyć zbiory danych.

Kara w postaci grzywny lub ograniczenia czy pozbawienia wolności może był nałożona dopiero wtedy, kiedy podmiot nie spełni postanowień decyzji. Grzywna może sięgnąć nawet 50 tysięcy złotych, a maksymalnie 200 tysięcy.

Kary finansowe przewidziane w RODO

Główna różnica pomiędzy obecnie obowiązującymi karami za naruszenie ochrony danych a tymi, które wprowadzi RODO polega nie tylko na ich znacznie wyższych kwotach, ale także na tym,, w jakim momencie będą one mogły być nakładane. Rozporządzenie unijne umożliwia bowiem organowi nadzorczemu zastosowanie kary finansowej bezpośrednio po wykryciu naruszenia.

RODO szczegółowo określa też w art. 83 zakres naruszeń, za które przyznawane mogą być kary finansowe oraz podkreśla, że kary te powinny być za każdym razem skuteczne, proporcjonalne oraz odstraszające.

Regulacja określa przesłanki wpływającena decyzję o wysokości i zasadności grzywny organu nadzorczego, nakładającego karę finansową. Wśród nich znajdują się między innymi:

  • istotność naruszenia (rozmiar powstałych szkód, liczba osób przez nie dotkniętym);
  • celowość lub umyślność wykroczenia;
  • fakt, czy administrator danych osobowych podejmował próbę naprawienia szkód;
  • występowanie innych naruszeń w przeszłości;
  • fakt, czy naruszenie zostało dobrowolnie zgłoszone organowi nadzorczemu.

Przepis art. 83 RODO wskazuje jaka może być maksymalna wysokość kary pieniężnej w przypadku poszczególnych naruszeń. Wyszczególniona grzywny nakładane przy naruszeniu obowiązków podmiotów przetwarzających (administratorów), certyfikujących oraz monitorujących.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Zasady wyliczania kary przez UODO

RODO wyszczególnia dwa stopnie kar. Pierwszy – zakłada przyznanie grzywny w wysokości do 10 milionów euro lub 2% rocznego obrotu przedsiębiorstwa. Uchybienia, za które nakładany jest ten pułap kary, to na przykład:

  • przetwarzanie danych osobowych osób nieletnich bez zgody ich rodziców lub opiekunów (art. 8);
  • nieprzestrzeganie zasady privacy by design, czyli takiego planowania procesów przetwarzania danych osobowych, aby od początku zapewniały one ich bezpieczeństwo i poufność (art. 25);
  • brak rejestru czynności przetwarzania, zawierającego informacje takie jak dane administratora danych, cel przetwarzania, techniczne i organizacyjne środki bezpieczeństwa i inne (art. 30);
  • zaniedbanie bezpieczeństwa przetwarzania danych osobowych (art. 32);
  • niezgłoszenie naruszeń organowi nadzorczemu lub niepowiadomienie osoby, której dane dotyczą (art. 33 i 34);
  • brak wyznaczenia inspektora ochrony danych — jeśli jest taka konieczność (art. 37).

Drugi próg kar – do 20 milionów euro lub 4% rocznego obrotu firmy – przyznawany jest za dopuszczenie się poniższych naruszeń:

  • nieprzestrzeganie podstawowych zasad przetwarzania danych osobowych (art. 5);
  • brak podstawy prawnej pozwalającej na gromadzenie i przetwarzanie danych osobowych (art. 6);
  • nieuzyskanie zgody od osoby na przetwarzanie jej danych lub uniemożliwienie jej wycofania w dowolnym momencie (art. 7);
  • przetwarzanie szczególnych kategorii danych osobowych — np. pochodzenie rasowe, etniczne, przekonania religijne, poglądy polityczne i pozostałe (art. 9);
  • ukrywanie informacji o celu przetwarzania danych, fakcie przekazywania ich innym podmiotom (art. 12);
  • niespełnienie obowiązku informacyjnego wobec osoby, której dane są przetwarzane (art. 13 do 15);
  • uniemożliwienie skorzystania z “prawa do bycia zapomnianym” — prawa do żądania usunięcia wszystkich przechowywanych przez administratora danych osobowych (art. 17);
  • naruszenia w zakresie przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych (rozdział V);
  • naruszenia w kwestii przetwarzania danych osobowych a swobody wypowiedzi, dostępu do dokumentów urzędowych, rekrutacji itp. (rozdział IX).

W przypadku gdyby dany podmiot dopuścił się kilku naruszeń, kara finansowa przyjmuje wysokość grzywny za najpoważniejsze z nich.

Rozpoczęcie stosowania RODO w Polsce oraz pozostałych państwach członkowskich nastąpi 25 maja 2018 roku. Każdy administrator powinien dostosować swój system ochrony danych osobowych do nowych, unijnych standardów. Motywacją dla osób odpowiedzialnych za wdrożenie RODO powinny być nie tylko wysokie kary, ale również fakt, że problematyka praw osób, których dane dotyczą – w różnych konfiguracjach dotyczy każdego.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: RODO w firmie naruszenia RODO
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!