Wróblewska-Stawowy

Kancelaria Prawna

Wróblewska-Stawowy

Kancelaria Prawna

RODO – odpowiedzialność za naruszenie przepisów

5 czerwca 2019
Avatar
rodo kary i odpowiedzialność

Od 25 maja 2018 r. obowiązuje w polskim porządku prawnym Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, w skrócie „RODO”. Konsekwencją bezpośredniego obowiązywania wskazanego aktu normatywnego jest możliwość stosowania przez organ nadzorczy Prezesa Urzędu Ochrony Danych Osobowych w drodze decyzji administracyjnej administracyjnych kar pieniężnych wobec podmiotów naruszających przepisy wskazanego rozporządzenia.
Administracyjne kary pieniężne nakładane i wymierzane przez Prezesa UODO nie stanowią jedynie środka prewencyjnego, mającego odstraszyć potencjalnych naruszycieli RODO, lecz są rzeczywiście stosowane. Ostatnio w drodze decyzji administracyjnej Prezes UODO nałożył na Dolnośląski Związek Piłki Nożnej administracyjną karę pieniężną w wysokości 55 750,50 zł, z uwagi na to, iż wskazany podmiot upublicznił w sieci dane osobowe 585 sędziów, którzy otrzymali licencje sędziowskie. Związek upublicznił nie tylko imiona i nazwiska sędziów, ale również dokładne adresy zamieszkania i numery PESEL, co zgodnie z decyzją Prezesa UODO nie miało podstawy prawnej w przepisach dotyczących danych osobowych.
Zważywszy, iż odpowiedzialność z powodu naruszenia przepisów RODO może stanowić naprawdę realną udrękę przede wszystkim dla przedsiębiorców w dzisiejszym wpisie chcielibyśmy przybliżyć problematykę nakładania i wymiaru administracyjnych kar pieniężnych stosowanych  wobec naruszycieli powyższych przepisów.
Wobec kogo i za co Prezes UODO może nałożyć administracyjne kary pieniężne
Wśród podmiotów odpowiedzialnych, wobec których Prezes Urzędu Ochrony Danych Osobowych może stosować administracyjne kary pieniężne w przypadku naruszenia przepisów RODO są:

  • administrator (osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, samodzielnie lub wspólnie z innymi ustalający cele i sposoby przetwarzania danych osobowych)
  • podmiot przetwarzający (osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot przetwarzający dane osobowe w imieniu administratora)
  • podmiot certyfikujący
  • podmiot monitorujący

Na podstawie RODO Prezesa Urzędu Ochrony Danych Osobowych może w drodze decyzji administracyjnej wymierzyć i nałożyć następujące administracyjne kary pieniężne:

  • karę w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa, w przypadku naruszenia przepisów RODO dotyczących:
  • obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 –39 oraz 42 i 43,
  • obowiązków podmiotu certyfikującego, o których mowa w art. 42 oraz 4,
  • obowiązków podmiotu monitorującego, o których mowa w art. 41 ust. 4.
  • karę w wysokości w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa w przypadku naruszenia przepisów RODO w zakresie :
  • podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9,
  • praw osób, których dane dotyczą, o których mowa w art. 12–22,
  • przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44–49,
  • wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX,
  • nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1.

 
Indywidualizacja odpowiedzialności – wysokość kary zależy od okoliczności konkretnego przypadku
Jednocześnie wymiar i nakładanie administracyjnych kar pieniężnych jako sankcji administracyjnych w istotnym stopniu nasyconych represyjnością, wymaga pewnej indywidualizacji odpowiedzialności naruszycieli przepisów RODO. Zaznaczyć należy, iż przy wymiarze administracyjnych kar pieniężnych Prezes Urzędu Ochrony Danych Osobowych stosując wskazane sankcje ma zapewnić, aby w każdym indywidualnym przypadku stosowanie powyższych sankcji było skuteczne, proporcjonalne i odstraszające. Przy czym wyżej wymieniony organ nakłada na odpowiedzialne podmioty administracyjnej kary pieniężnej oprócz lub zamiast środków administracyjnych z art. 58 ust. 2 lit. a)–h) oraz j) RODO (np. wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania danych osobowych, w tym również zakazu przetwarzania czy też nakazanie zawieszenia przepływu danych do odbiorców).
Przejawem indywidualizacji odpowiedzialności jest również szeroko rozbudowany katalog okoliczności, które Prezes UODO jest zobowiązany uwzględnić zarówno w procesie nakładania jak i wymiaru administracyjnych kar pieniężnych. Na podstawie art. 82 ust. 2 pkt. a-k RODO do szerokiego spektrum okoliczności wpływających na nałożenie i wymiar administracyjnych kar pieniężnych zalicza się:

  • charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
  • umyślny lub nieumyślny charakter naruszenia,
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32,
  • wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
  • kategorie danych osobowych, których dotyczyło naruszenie,
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
  • jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków,
  • stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42,
  • wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

W przypadku, gdy administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w toku tych samych lub powiązanych operacji przetwarzania kilka przepisów RODO, wówczas maksymalna wysokość wskazanej sankcji nie przekracza wysokości kary za najpoważniejsze naruszenie.
 

Celem zabezpieczenia interesów Klienta, uniknięcia ryzyka sankcji z tytułu nieprzestrzegania przepisów dotyczących ochrony danych osobowych konieczne jest przeprowadzenie analizy prawnej i wdrożenie odpowiednich przepisów. W sprawach związanych z ochroną danych osobowych zapraszamy do kontaktu z kancelarią: [email protected] lub telefonicznie: 577 533 499