Kary za nieprzestrzeganie RODO – czy milionowe sankcje są realne?

Kary? Najpierw dogłębne analizy

Przede wszystkim należy mieć świadomość, że kary za nieprzestrzeganie RODO nie będą nakładane za każde przewinienie. Jak zapewnia szefowa GIODO, Edyta Bielak-Jomaa, z możliwości nakładania kar GIODO nie uczyni młota na czarownice. Nałożenie jakiejkolwiek kary nie będzie samowolne oraz ma być poprzedzone wnikliwą analizą. Pod uwagę będzie branych kilka czynników, np. czy naruszenie przepisów zdarzyło się administratorowi po raz pierwszy, czy może jest to jego kolejne wykroczenie. W przypadku gdy zdarzenie miało już miejsce wcześniej, znaczenie będzie mieć również fakt, czy w tej sytuacji administrator danych osobowych współpracował z odpowiednimi organami, czy raczej starał się ukryć nieprawidłowości.

Jak podkreśliła wyraźnie szefowa GIODO:

PUODO

Jak pisaliśmy już na forum Bezprawnika, nowa ustawa o ochronie danych osobowych zaowocuje jeszcze jedną zmianą, mianowicie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) zastąpi Prezes Urzędu Ochrony Danych Osobowych (PUODO). PUODO będzie miał więcej uprawnień niż GIODO i będzie organem nadzorczym. Zmiana nazwy została podyktowana także koniecznością doprecyzowania pewnych pojęć, związanych z RODO. Chodzi między innymi o wprowadzenie do polskiego porządku prawnego funkcji IDO (Inspektora Danych Osobowych). Nomenklatura sugerowałaby, że IDO pozostaną pod zwierzchnictwem GIODO, co mija się z prawdą. Jak wynika z zapisów RODO, IDO będą całkowicie niezależni.

Kto będzie karał?

Do spraw kar i egzekucji, do współpracy z administratorami danych osobowych, a także do wykonywania analiz, strategii, wstępnych ocen skarg bądź współpracy międzynarodowej i edukacji, zostanie powołanych ponad 10 zespołów. Oprócz tego powstaną również zespoły do spraw przetwarzania danych w sektorze publicznym, w sektorze prywatnym, zdrowia, szkolnictwa czy zatrudnienia. Górne progi kar będą takie same dla wszystkich państw członkowskich UE, jednak rzeczywista wysokość grzywny zależeć będzie od polityki krajowych organów ochrony danych osobowych. W przypadku Polski, decyzję o wymierzeniu kary, a także jej wysokość ustali więc PUODO.

Kary za nieprzestrzeganie RODO – nawet 20 mln euro

Górne progi kar wynoszą: 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa (za naruszenie artykułów: 5, 7, 15 i 16 rozporządzenia) oraz 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa (za naruszenie artykułów: 25, 29, 30, 31 oraz 32). Znacznie mniej okazałe są polskie kary przewidziane na administrację publiczną bądź instytucje kultury – wynosić one będą odpowiednio: 100 tys. zł oraz 10 tys. zł.

Upomnienie zamiast kary?

Jak mówi punkt 148 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679:

Wszystko wskazuje więc na to, że kary za nieprzestrzeganie RODO nie będą tak dotkliwe jak straszą media, a przedsiębiorcy, którzy – mimo starań – nie zdołali wdrożyć w swoich firmach wszystkich nowych standardów RODO, prawdopodobnie będą mogli liczyć na wyrozumiałość organów nadzorczych.