Każdy podmiot przetwarzający dane osobowe może naruszyć ochronę danych osobowych. Coraz więcej danych przechowujemy w wersji elektronicznej np. na poczcie e-mail, w chmurze, na dyskach zewnętrznych, smartfonie. Tym samym ryzyko naruszenia ochrony danych osobowych jest bardzo wysokie a konsekwencje mogą być dotkliwe.
Jakie są ryzyka za nieprzestrzeganie rozporządzenia RODO?
We współczesnym świecie skala szkód związanych z ujawnieniem wrażliwych informacji jest trudna do przewidzenia, najczęściej jednak skutki okazują się bardzo dotkliwe. Dlatego ochrona przed udostępnianiem danych osobowych musi również przewidywać adekwatne do tego sankcje. Kara za naruszenie przepisów RODO wynika nie tylko wprost z nich, ale może przybrać również rozmaite formy. Należą do nich:
- Odpowiedzialność cywilna – odszkodowanie za wyrządzoną szkodę
„Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”. – art. 82 ust. 1 Rozporządzenia RODO - Administracyjna kara pieniężna w wysokości do 20 000 000,00 EUR a w przypadku przedsiębiorstw – w wysokości do 4 % jego całkowitego rocznego światowego obrotu
- Odpowiedzialność karna
Kara grzywna, ograniczenia wolności oraz pozbawienia wolności do lat trzech - Zobowiązanie do wykonania określonych zadań wskazanych przez Prezesa Urzędu Ochrony Danych Osobowych
np. spełnienie obowiązku informacyjnego (przykład – decyzja o nałożeniu kary w wysokości 943 470,00 zł), usunięcie określonego zbioru danych osobowych (np. CV)
Kto nakłady kary za naruszenie przepisów rozporządzenia o ochronie danych osobowych?
Sankcje za nieprzestrzeganie przepisów RODO pojawiają się w trybie administracyjnym. Kara za ujawnienie danych osobowych jest nakładana przez przewidzianą prawem instytucję, która ma do dyspozycji odpowiednie narzędzia dyscyplinujące. Organem właściwy w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (dawniej GIODO – Generalny Inspektor Ochrony Danych Osobowych). Więcej informacji znajduje się na stronie www.uodo.gov.pl
Czy kara musi być dotkliwa?
Kary nakładane na organy nadzorcze zgodnie z naruszeniem przepisów rozporządzenia o ochronie danych osobowych muszą spełniać 3 warunki. Mianowicie muszą być: skuteczne, proporcjonalne i odstraszające.
Jaka może być wysokość administracyjnej kary pieniężnej?
Zgodnie z treścią art. 83 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej Rozporządzenie RODO, organ nadzorczy może nałożyć karę pieniężną za naruszenie ochrony danych osobowych.
A. Administracyjna kara pieniężna w wysokości do 10 000 000,00 EUR a w przypadku przedsiębiorstw – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa, dotyczy naruszenia następujących przepisów:
a) obowiązków Administratora danych osobowych i Podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 Rozporządzenia RODO:
- art. 8 – wyrażenie zgody przez dziecko w przypadku usług społeczeństwa informacyjnego,
- art. 11 – przetwarzanie niewymagające identyfikacji,
- art. 25 – uwzględnienie ochrony danych osobowych w fazie projektowania,
- art. 26 – współadministrowanie
- art. 27 – przedstawiciele administratorów danych osobowych lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii Europejskiej,
- art. 28 – powierzenia przetwarzania danych osobowych
- art. 29 – przetwarzanie danych osobowych z upoważnienia
- art. 30 – rejestry czynności przetwarzania danych osobowych
- art. 31 – współpraca z organem nadzorczym
- art. 32 – bezpieczeństwo przetwarzania (środki techniczne i organizacyjne przetwarzania danych osobowych)
- art. 33 – zgłoszeni naruszeń
- art. 34 – zawiadomienie osoby, osób, których dane dotyczą o naruszeniu ochrony danych osobowych
- art. 35 – ocena skutków dla ochrony danych
- art. 36 – uprzednie konsultacje
- art. 37-39 – Inspektor ochrony danych
b) obowiązków podmiotu certyfikującego, o których mowa w art. 42 oraz 43;
c) obowiązków podmiotu monitorującego, o których mowa w art. 41 ust. 4;
B. Administracyjna kara pieniężna w wysokości do 20 000 000,00 EUR a w przypadku przedsiębiorstw – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa, dotyczy naruszenia następujących przepisów:
a) podstawowe zasady przetwarzania danych osobowych, w tym warunki zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9 Rozporządzenia RODO
- art. 5 – zasady dotyczące przetwarzania danych osobowych,
- art. 6 – zgodność przetwarzani z prawem,
- art. 7 – warunki wyrażenia zgody,
- art. 9 – przetwarzania szczególnych kategorii danych osobowych,
b) praw osób, których dane dotyczą, o których mowa w art. 12-22
- art. 12-14 – obowiązek informacyjny – klauzula informacyjna RODO,
- art. 15 – prawo dostępu do danych osobowych,
- art. 16 – prawo do sprostowania danych,
- art. 17 – prawo do usunięcia danych (tzw. prawo do bycia zapomnianym),
- art. 18 – prawo do ograniczenia przetwarzania danych osobowych,
- art. 19 – obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania
- art. 20 – prawo do przenoszenia danych
- art. 21 – prawo do sprzeciwu
- art. 22 – zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie
c) przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44-49 Rozporządzenia RODO,
d) wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX Rozporządzenia RODO,
e) nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1 Rozporządzenia RODO.