Od 25 maja 2018 r. zaczęło obowiązywać rozporządzenie UE dotyczące ochrony danych osobowych. Długo zapowiadane zmiany weszły w życie, a niedostosowanie przepisów do zapisów RODO grozi wysokimi sankcjami karnymi. Mówi się nawet o 20 mln euro. Ale czy realne kary za nieprzestrzeganie RODO rzeczywiście będą wielomilionowe?
Kary? Najpierw dogłębne analizy
Przede wszystkim należy mieć świadomość, że kary za nieprzestrzeganie RODO nie będą nakładane za każde przewinienie. Jak zapewnia szefowa GIODO, Edyta Bielak-Jomaa, z możliwości nakładania kar GIODO nie uczyni młota na czarownice. Nałożenie jakiejkolwiek kary nie będzie samowolne oraz ma być poprzedzone wnikliwą analizą. Pod uwagę będzie branych kilka czynników, np. czy naruszenie przepisów zdarzyło się administratorowi po raz pierwszy, czy może jest to jego kolejne wykroczenie. W przypadku gdy zdarzenie miało już miejsce wcześniej, znaczenie będzie mieć również fakt, czy w tej sytuacji administrator danych osobowych współpracował z odpowiednimi organami, czy raczej starał się ukryć nieprawidłowości.
Jak podkreśliła wyraźnie szefowa GIODO:
„To wszystko będzie bardzo rzetelnie sprawdzane. Nie chcemy traktować kar, jako narzędzia, które sprawia nam radość i czekamy tylko żeby pokazać, iż możemy je nałożyć. O to nie chodzi w reformie ochrony danych osobowych”.
PUODO
Jak pisaliśmy już na forum Bezprawnika, nowa ustawa o ochronie danych osobowych zaowocuje jeszcze jedną zmianą, mianowicie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) zastąpi Prezes Urzędu Ochrony Danych Osobowych (PUODO). PUODO będzie miał więcej uprawnień niż GIODO i będzie organem nadzorczym. Zmiana nazwy została podyktowana także koniecznością doprecyzowania pewnych pojęć, związanych z RODO. Chodzi między innymi o wprowadzenie do polskiego porządku prawnego funkcji IDO (Inspektora Danych Osobowych). Nomenklatura sugerowałaby, że IDO pozostaną pod zwierzchnictwem GIODO, co mija się z prawdą. Jak wynika z zapisów RODO, IDO będą całkowicie niezależni.
Kto będzie karał?
Do spraw kar i egzekucji, do współpracy z administratorami danych osobowych, a także do wykonywania analiz, strategii, wstępnych ocen skarg bądź współpracy międzynarodowej i edukacji, zostanie powołanych ponad 10 zespołów. Oprócz tego powstaną również zespoły do spraw przetwarzania danych w sektorze publicznym, w sektorze prywatnym, zdrowia, szkolnictwa czy zatrudnienia. Górne progi kar będą takie same dla wszystkich państw członkowskich UE, jednak rzeczywista wysokość grzywny zależeć będzie od polityki krajowych organów ochrony danych osobowych. W przypadku Polski, decyzję o wymierzeniu kary, a także jej wysokość ustali więc PUODO.
Kary za nieprzestrzeganie RODO – nawet 20 mln euro
Górne progi kar wynoszą: 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa (za naruszenie artykułów: 5, 7, 15 i 16 rozporządzenia) oraz 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa (za naruszenie artykułów: 25, 29, 30, 31 oraz 32). Znacznie mniej okazałe są polskie kary przewidziane na administrację publiczną bądź instytucje kultury – wynosić one będą odpowiednio: 100 tys. zł oraz 10 tys. zł.
Upomnienie zamiast kary?
Jak mówi punkt 148 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679:
„Aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące. Nakładanie sankcji, w tym administracyjnych kar pieniężnych, powinno podlegać odpowiednim zabezpieczeniom proceduralnym zgodnym z ogólnymi zasadami prawa Unii i z Kartą praw podstawowych, w tym skutecznej ochronie prawnej i prawu do rzetelnego procesu”.
Wszystko wskazuje więc na to, że kary za nieprzestrzeganie RODO nie będą tak dotkliwe jak straszą media, a przedsiębiorcy, którzy – mimo starań – nie zdołali wdrożyć w swoich firmach wszystkich nowych standardów RODO, prawdopodobnie będą mogli liczyć na wyrozumiałość organów nadzorczych.