Jak czytamy w Rozporządzeniu o ochronie danych osobowych, kary za naruszenie RODO powinny być skuteczne proporcjonalne i odstraszające. O nakładaniu wysokich kar pieniężnych przez polski organ nadzorczy za naruszenie RODO, zdążyliśmy się już przekonać. Najwyższa do tej pory kara RODO wyniosła 660.000 euro i została nałożona na serwis „Morele.net”.
Przeczytaj również: kary RODO w Polsce – aktualna lista
Sprawdź jak wdrożyć RODO w twojej organizacji
Kto nakłada kary za RODO?
Kompetencja do nakładania kary za nieprzestrzeganie lub naruszanie przepisów Rozporządzenia ochronie danych osobowych została przyznana krajowym organom nadzorczym. W Polsce jest nim Urząd Ochrony Danych Osobowych ( UODO). Kary za naruszenie RODO nakładane są w drodze decyzji administracyjnej przez Prezesa Urzędu Ochrony Danych Osobowych. Od takiej decyzji istnieje możliwość odwołania do Sądu Administracyjnego, z zachowaniem terminów określonych w kodeksie postępowania administracyjnego.
Jak przebiega procedura nakładania kary RODO?
Kary za naruszenie RODO w Polsce wydawane są w konsekwencji przeprowadzenia postępowania administracyjnego. Postępowanie regulowane jest przez przepisy kodeksu postępowania administracyjnego.
Jakie kary nakłada UODO?
Kary za nieprzestrzeganie RODO wydawane w oparciu o wszelkie okoliczności danej sprawy.
Wysokość kary zależna jest od kilku elementów, które określone zostały w Rozporządzeniu. Nakładając kary za nieprzestrzeganie RODO, organ nadzorczy bierze po uwagę w pierwszej kolejności okoliczności zdarzenia, które wywołały naruszenie:
- charakter, wagę, czas trwania naruszenia, przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania,
- umyślny lub nieumyślny charakter naruszenia,
- kategorie danych osobowych, których dotyczyło naruszenie,
- odpowiedzialność administratora lub podmiotu przetwarzającego, środków technicznych i organizacyjnych wdrożonych przez nich w oparciu o art. 25 i 32 RODO.
Ważnym czynnikiem branym pod uwagę będzie także zachowanie administratora (lub podmiotu przetwarzającego) przed naruszeniem, w szczególności fakt wystąpienia wcześniejszych naruszeń.
Bardzo istotne jest także zachowanie administratora po wystąpieniu naruszenia. Ocenie podlegać będą w szczególności:
- działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenie ewentualnych negatywnych skutków,
- a także to, czy i w jakim czasie administrator zgłosił naruszenie, czyli sposób w jaki organ nadzorczy dowiedział się o jego wystąpieniu.
Nie można także zapomnieć o skutkach naruszenia dla osób, których dane dotyczą. Wymiar kary zależeć będzie od liczby poszkodowanych osób, a także rozmiaru szkody poniesionej przez te osoby. Organ bierze pod uwagę także wszelkie inne okoliczności obciążające lub łagodzące, takie jak np. ogólne podejście administratora do ochrony danych osobowych.
Jakie są kary za nieprzestrzeganie RODO?
Rozporządzenie RODO wskazuje górną granicę kar pieniężnych nakładanych na podmioty naruszające przepisy o ochronie danych. Maksymalna wysokość administracyjnej kary pieniężnej uzależniona jest od rodzaju naruszenia, a także charakteru podmiotu, który naruszenia się dopuścił.
Rozporządzenie określa najwyższą karę w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa kara wynosi do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Istnieją także drugie widełki- do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Powyższy podział zależny jest od rodzaju przewinienia.
Za co mogą być nakładane kary RODO do 20 mln euro lub wysokość do 4% całkowitego rocznego obrotu przedsiębiorstwa? Rozporządzenie wymienia następujące rodzaje naruszeń:
- naruszenie podstawowych zasad przetwarzania w tym warunków zgody, o których mowa w art. 5 6 7 i 9 RODO,
- nieprzestrzeganie obowiązków właściwego informowania i komunikacji zgodnie z art. 12 RODO,
- nieprzestrzegania obowiązków informacyjnych w przypadku pierwotnego i wtórnego zbierania danych zgodnie z art. 13 i 14 RODO,
- nieprzestrzegania praw przysługujących osobie, której dane są przetwarzane: prawo do dostępu do danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do złożenia sprzeciwu, prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji,
- naruszenie zasad transferów danych poza EOG, czyli przekazywania danych osobowych odbiorcy w państwie trzecim albo organizacji międzynarodowej,
- nieprzestrzegania nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 RODO lub nie zapewnienie dostępu skutkującego naruszeniem art. 58 ust 1 RODO.
Natomiast karę w wysokości do 10 mln euro lub w wysokości do 2% rocznego obrotu organ nadzorczy może nałożyć w przypadku naruszeń:
- zasad przetwarzania danych osobowych dzieci w zakresie warunków wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego- art. 8 RODO,
- zasad związanych z przetwarzaniem niewymagającym identyfikacji- art. 11 RODO,
- obowiązku uwzględniania zasady privacy by design i privacy by default,
- zasad i obowiązków wynikających z współadministrowania- art. 26 RODO,
- obowiązków podmiotu przetwarzającego oraz obowiązków administratora związanych z powierzeniem przetwarzania- art. 28 RODO,
- związanych przetwarzaniem danych bez właściwych upoważnień nadanych przez administratora lub podmiot przetwarzający- art. 29 RODO,
- obowiązku prowadzenia rejestru czynności lub rejestru kategorii czynności- art. 30 RODO
- obowiązku współpracy z organem nadzorczym- art. 31 RODO,
- obowiązku zapewnienia bezpieczeństwa przetwarzania zgodnie z art. 32 RODO,
- obowiązku zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego- art. 33 RODO,
- obowiązku zawiadomienia osoby, której dane dotyczą o naruszeniu danych osobowych zgodnie z art. 34 RODO,
- obowiązku dokonania oceny skutków dla ochrony danych art. 35 RODO,
- obowiązku uprzednich konsultacji art. 36 RODO
- obowiązku powołania inspektora ochrony danych, a także gwarancji statusu inspektora oraz przepisów, które opisują jego zadania,
- przepisów związanych z ubieganiem się o certyfikacie zawartych w art. 42 RODO.