fbpx
Zaznacz stronę

20 mln euro to zawrotna kwota, nawet dla dużych przedsiębiorstw. Nic więc dziwnego, że coraz częściej jest to najgorętszy temat wielu portali informacyjnych. Przepisy ogólnego rozporządzenia o ochronie danych (RODO) zaczną obowiązywać od 25 maja 2018 r. Nie będzie już żadnego dodatkowego okresu przejściowego.

Termin na dostosowanie się wynosił dwa lata od opublikowania rozporządzenia i trwa obecnie. Dlatego tak istotne jest, aby wiedzieć czego można się spodziewać odnośnie wysokości kary grzywny za ich nieprzestrzeganie.

Kompetencje do nakładania administracyjnych kar pieniężnych uzyska nowy Urząd Ochrony Danych Osobowych, z prezesem urzędu na czele, który niejako zastąpi obecnego GIODO.

A co mówią o tym przepisy?

Ogólne rozporządzenie o ochronie danych (RODO) przewiduje dwa progi kary finansowej. Co ważne, może ona zostać nałożona zarówno na administratora danych (firmę jednoosobową, spółkę, fundację, stowarzyszenie, instytucję publiczną), jak i na podmiot przetwarzający dane na jego zlecenie (biuro rachunkowe, hosting lub inne usługi związane z dostępem do danych innych podmiotów w celu wykonywania konkretnego zlecenia). W art. 83 RODO podkreślono, że kary mają być skuteczne, proporcjonalne i odstraszające. I nie ulega wątpliwości, że dla wielu podmiotów już takie są.

Pierwszy próg – do 10 mln euro!

Naruszenie przepisów o ochronie danych od 25 maja 2018 r. może się zakończyć nałożeniem kary administracyjnej w wysokości do 10 mln euro lub 2% całkowitego rocznego obrotu. Wszystko zależy od tego, która kwota będzie wyższa. To pierwszy, lżejszy próg kary finansowej, który przewidują nowe przepisy za naruszenie obowiązków administratora lub podmiotu przetwarzającego dane na jego zlecenie, miedzy innymi w przypadku:

  • powierzenia danych bez zapewnienia wysokiej ochrony danych przez podmioty je przetwarzające, w szczególności bez umowy określającej prawa i obowiązki;

  • niezgłoszenia naruszenia ochrony danych w ciągu 72 h od jego wykrycia, jeśli w danej sytuacji podmiot byłby do tego zobowiązany lub braku współpracy z organem nadzorczym;

  • niewyznaczenia inspektora ochrony danych, jeśli podmiot był do tego zobowiązany przepisami prawa (o tym, kto będzie musiał wyznaczyć inspektora pisałam TUTAJ);

Drugi próg – aż do 20 mln euro!

Nałożeniem kary administracyjnej w wysokości do 20 mln euro lub 4% całkowitego rocznego obrotu, w zależności od tego, która kwota będzie wyższa, jest zagrożone nieprzestrzeganie przepisów w zakresie między innymi takich spraw, jak:

  • podstawowe zasady przetwarzania danych, w tym niezapewnienie warunków udzielenia świadomej i dobrowolnej zgody;

  • prawa osób, których dane dotyczą, w tym prawa do przenoszenia danych i bycia zapomnianym (dwa nowe rodzaje praw w polskim systemie prawnym!);

  • przekazywania danych odbiorcy w państwie trzecim, bez uwzględnienia odpowiednich regulacji prawnych;

Czy taka kara jest realna?

Niektórzy już się obawiają milionowych kar. Inni uważają, że to tylko straszak na duże firmy. Tutaj jednak zalecałabym ostrożność. Z reguły większe podmioty mają środki finansowe i zasoby na to, by sprostać wymogom ochrony danych, chociaż oczywiście różnie z tym bywa.

Natomiast, małe podmioty w mojej ocenie są zupełnie nieświadome wielu obowiązków dotyczących ochrony danych, nawet tych podstawowych, jak właściwe zabezpieczenie danych, czy posiadanie skutecznych polityk bezpieczeństwa. Czy jednak czekają nas dosłownie miliony euro kary? Zapewne dla małego przedsiębiorcy taka kara jest faktycznie raczej nierealna, ale przecież nawet 100, 200, czy 500 tysięcy złotych też może być karą dotkliwą i decydującą niejednokrotnie o dalszym “być albo nie być” takiej firmy. W naszym systemie kary w takiej lub nawet wyższej wysokości nakładał już Urząd Ochrony Konkurencji i Konsumentów (UOKiK), czy też Urząd Komunikacji Elektronicznej (UKE).  W obydwu wspomnianych urzędach mechanizm nakładania kar i obliczanie ich wysokości jako procent od obrotu jest bardzo podobny do tego, który będzie obowiązywać od maja 2018 r. w zakresie ochrony danych. Z tego względu wysokość kary  w granicach 500 tysięcy złotych, czy nawet 10 mln złotych jest jak najbardziej realna.

Czy nowy urząd zmierzy wszystkich jedną miarą?

Oczywistym jest, że kara będzie, a przynajmniej powinna być, adekwatna do wielkości przedsiębiorstwa, czy instytucji. Inna wysokość grzywny będzie wymierzona dla małego biura rachunkowego, a jeszcze inna dla międzynarodowej korporacji, czy banku. Co w takim razie Prezes Urzędu Ochrony Danych będzie brał po uwagę? Ogólne rozporządzenie o ochronie danych naprowadza nas na sposób ustalania wysokości kary finansowej. Przede wszystkim w artykule 83 czytamy, że każdy przypadek ma zostać poddany indywidualnej ocenie. Na wysokość grzywny wpływać będą takie czynniki, jak:

  • rodzaj naruszenia – jakich danych dotyczył (zwykłych, czy wrażliwych), jak długo to trwało i jakiej ilości osób dotyczyło;

  • czy było to działanie umyślne, czy nieumyślne;

  • jakie działania podjęto, żeby zminimalizować szkody osób, które dane dotyczą;

  • czy podmiot dopuścił się już wcześniej podobnego naruszenia;

  • czy podmiot współpracował z nowym urzędem w celu złagodzenia ewentualnych skutków tego naruszenia;

  • czy podmiot sam powiadomił organ o naruszeniu, czy był to donos od osób trzecich;

  • wszelkie inne obciążające lub łagodzące czynniki, które będą wpływały na okoliczności zdarzenia.

Podmiot prywatny i publiczny – czy na pewno będą traktowane na równi?

Prawo krajowe może doprecyzować niektóre zagadnienia z Ogólnego rozporządzenia o ochronie danych, dlatego niedawno opublikowany został kolejny projekt nowej polskiej ustawy o ochronie danych. Tam znalazło się rozróżnienie na podmioty prywatne i publiczne, o których mowa w art. 9 pkt 1 – 12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych. Na te ostatnie Prezes Urzędu może nałożyć administracyjne kary pieniężne w ograniczonej wysokości, bo tylko do 100 000 zł.

Środki finansowe pochodzące z kar pieniężnych będą stanowić dochód budżetu państwa. Karę pieniężną trzeba będzie wpłacić w terminie 14 dni od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Prezes Urzędu może odroczyć uiszczenie kary pieniężnej albo rozłożyć ją na raty ze względu na ważny interes wnioskodawcy, oczywiście nie obędzie się w takiej sytuacji od ustawowych odsetek.

Z 1% kar pieniężnych nakładanych przez nowy urząd zostanie utworzony specjalny fundusz, z którego środki będą przeznaczane na inicjowanie i podejmowanie przez Prezesa Urzędu przedsięwzięć upowszechnienia wiedzy o ochrony danych osobowych oraz ryzyku, przepisach, zabezpieczeniach i prawach związanych z ich przetwarzaniem. 

Kary finansowe to jedno. Nieprzestrzeganie przepisów to też narażanie się na utratę wizerunku marki, zaufania klientów i pracowników.

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!