Środki ochrony i kary za niedostosowanie się do przepisów RODO

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 o ochronie danych osobowych, ogłoszone w maju 2016 r., ma zacząć obowiązywać już od 25 maja 2018 r. Wraz z jego wejściem w życie zmianie ulegają podstawowe zasady pozyskiwania, przetwarzania i przechowywania danych osobowych. Wzmocnione zostaną też uprawnienia osób, których dotyczą przetwarzane dane. W szczególności art. 17 rozporządzenia przewiduje tzw. prawo do bycia zapomnianym tj. do żądania usunięcia danych z systemów.

Nowe obowiązki dla firm

Na organy przetwarzające dane zostaje nałożony cały szereg obowiązków, wymienionych w art. 24 i kolejnych rozporządzenia. Warto zatem zastanowić się, jakie środki ochrony przysługują osobom, których dane są przetwarzane i jakie ewentualne konsekwencje grożą administratorom danych w razie niezastosowania się do nałożonych na nich obowiązków.

Podstawowym środkiem ochrony jest skarga do organu nadrzędnego nad administratorem. Co więcej, na uwagę zasługuje fakt, że nie musi dojść do rzeczywistego naruszenia obowiązków w zakresie przetwarzania – wystarczające jest przekonanie, że sposób postępowania administratora narusza omawiane rozporządzenie. Jeśli organ nie wypowie się w zakresie skargi w terminie 3 miesięcy aktualizuje się uprawnienie do wniesienia powództwa do sądu powszechnego.

Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

RODO – Kary administracyjne oraz pieniężne

Wśród sankcji za naruszenie przepisów rozporządzenia wyróżnia się kary administracyjne (dyscyplinujące) oraz pieniężne, które zgodnie z założeniem ustawy mają być skuteczne, proporcjonalne i odstraszające, a także zróżnicowane w zależności od okoliczności konkretnego przypadku. Nie przewiduje się natomiast sankcji o charakterze karnym, co nie wyklucza wprowadzenia takiej regulacji w ustawodawstwie krajowym.

W skład pierwszej grupy kar wchodzą:

• ostrzeżenia, upomnienia, nakazanie administratorowi określonego działania (np. zawiadomienia osoby, której dane dotyczą o naruszeniu),
• wprowadzenie czasowego zakazu przetwarzania danych,
• nakazanie sprostowania danych,
• cofnięcie certyfikacji administratora.

Kary pieniężne będzie można nałożyć w wysokości do 10 tys. Euro (2% całkowitego światowego rocznego obrotu w przypadku przedsiębiorstwa) lub 20 tys. Euro (4% całkowitego światowego rocznego obrotu w przypadku przedsiębiorstwa) w zależności od rodzaju naruszenia.

Art. 84 rozporządzenia nakłada na państwa członkowskie obowiązek wprowadzenia także kar o innym charakterze, które muszą być adekwatne do danych okoliczności. Teoretycznie pojawia się więc pewne ryzyko łączenia kar administracyjnych i pieniężnych, co może być bardzo dotkliwe dla przedsiębiorców. Jednakże, organ wymierzając sankcję nie może naruszyć podstawowych zasad: proporcjonalności, skuteczności oraz prewencji. Konieczne jest również wysłuchanie podmiotu naruszającego przed zastosowaniem środka karnego oraz stosowanie sankcji bez nadmiernych kosztów i niedogodności.

Ewentualne spory z organem nadzorczym rozstrzygane będą w oparciu o krajowy porządek prawny tj. Kodeks postępowania administracyjnego, a na etapie sądowym – Prawo o postępowaniu przed sądami administracyjnymi.