Zmiany w zakresie odpowiedzialności z tytułu naruszenia przepisów o ochronie danych osobowych - jakie sankcje przewiduje GDPR (RODO)?
Autor: Jakub WezgrajData dodania: Kategoria: Rozporządzenie ogólne o ochronie danych osobowych (RODO), Wymogi ustawowe
Każdy podmiot przetwarzający dane osobowe ponosi odpowiedzialność prawną za przestrzeganie aktualnie obowiązujących regulacji prawnych z tym związanych. Obecnie kluczowa w tym zakresie jest ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, w pewnym zakresie zastosowanie mogą mieć również przepisy Kodeksu cywilnego oraz przepisy Kodeksu pracy.
Ale już w 25 maja 2018 roku sytuacja ta ulegnie diametralnej zmianie - od tego dnia zacznie obowiązywać ogólne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych (w skrócie: GDPR lub RODO).
Nowe przepisy przewidują między innymi nieporównywalnie wyższe kary finansowe (nawet do 20 mln euro) i zupełnie nowy tryb ich nakładania.
Jakie dokładnie sankcje przewiduje GDPR? Zapraszam do lektury.
Sankcje finansowe
Najważniejszym i jednocześnie najbardziej dotkliwym rodzajem sankcji przewidzianych w GDPR są administracyjne kary pieniężne, o których mowa w art. 83 rozporządzenia.
Po pierwsze dlatego, że kary te będą nakładane przez organ kontrolny (w przypadku Polski będzie to GIODO) bezpośrednio po stwierdzeniu naruszenia określonych wymogów GDPR. Warto zauważyć, że na gruncie obecnie obowiązującej ustawy o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych nie może nakładać kar finansowych po stwierdzeniu naruszenia przepisów ustawy - w takim wypadku wydaje decyzję administracyjną, w której stwierdza naruszenie wymogów prawnych i wyznacza adresatowi decyzji termin na usunięcie uchybień. Dopiero w przypadku gdy te uchybienia nie zostaną usunięte w terminie wyznaczonym w decyzji, GIODO ma prawo nałożyć karę grzywny w celu "zmotywowania" danego podmiotu do realizacji jej postanowień.
Po wejściu w życie GDPR GIODO będzie nakładać kary bezpośrednio po stwierdzeniu naruszenia przepisów prawa i nie będzie musiał wyznaczać dodatkowego terminu na usunięcie uchybień by sankcja finansowa mogła być orzeczona (czyli w praktyce kara będzie orzekana już w samej treści decyzji administracyjnej jako sankcja za naruszenie określonych wymagań GDPR).
Po drugie dlatego, że mogą sięgać ogromnych kwot (w skrajnych wypadkach nawet do wysokości 20 mln euro lub - gdy kara nakładana jest na przedsiębiorstwo - do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego).
Aktualnie wysokość kary grzywny jaką GIODO ma prawo nałożyć (w trybie, o którym mowa wyżej) każdorazowo może sięgać kwoty do 50 000 zł, a w przypadku nakładania grzywny wielokrotnie łącznie jej suma nie może przekroczyć 200 000 zł.
Katalog naruszeń, które będą dawały podstawę do nałożenia przez GIODO administracyjnej kary pieniężnej w kwocie do 10 mln euro lub - gdy kara nakładana jest na przedsiębiorstwo - do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego zostały wskazane w art. 83 ust. 4 GDPR.
Należą do nich między innymi:
- niestosowanie mechanizmów uwzględniania ochrony danych w fazie projektowania (tzw. privacy by design) oraz domyślnej ochrony danych (tzw. privacy by default), o których mowa w art. 25 GDPR,
- naruszenie zasad współpracy pomiędzy współadministratorami danych, o których mowa w art. 26 GDPR,
- naruszenie obowiązków w zakresie powierzania do przetwarzania danych osobowych (w tym obowiązek korzystania przez administratorów danych wyłącznie z usług takich podmiotów przetwarzających, które spełniają wymagania GDPR, czy też wymagania odnośnie formy i zakresu umowy, na podstawie której dochodzi do powierzenia przetwarzania danych),
- naruszenie obowiązku prowadzenia rejestru czynności przetwarzania danych, o którym mowa w art. 30 GDPR,
- niestosowanie odpowiednich środków bezpieczeństwa zapewniających wymagany poziom ochrony danych osobowych (zgodnie z przeprowadzaną analizą ryzyka) - art. 32 GDPR,
- niezgłaszanie faktu naruszenia ochrony danych osobowych do organu kontrolnego (GIODO) oraz nieprzekazanie informacji o tym fakcie osobom, których te dane dotyczą (art. 33 i 34 GDPR),
- niestosowanie się do obowiązku przeprowadzania oceny skutków dla ochrony danych w sytuacjach gdy jest to wymagane (art. 35 GDPR),
- niewyznaczenie inspektora ochrony danych w przypadkach gdy to wyznaczenie jest obligatoryjne (art. 37 GDPR),
- i wiele innych.
Katalog naruszeń, które będą dawały podstawę do nałożenia przez GIODO administracyjnej kary pieniężnej w kwocie do 20 mln euro lub - gdy kara nakładana jest na przedsiębiorstwo - do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego zostały wskazane w art. 83 ust. 5 GDPR.
Należą do nich między innymi:
- niestosowanie się do podstawowych zasad przetwarzania danych, o których mowa w art. 5, 6, 7 oraz 9 GDPR (chodzi między innymi o znane z polskiej ustawy o ochronie danych osobowych, aczkolwiek zmodyfikowane na gruncie GDPR zasady legalności i celowości przetwarzania danych, wymagania prawne wobec zgody jako podstawy prawnej przetwarzania danych, czy też warunki przetwarzania danych sensytywnych),
- naruszenie praw osób, których dane dotyczą, określonych w art. 12-22 GDPR (m.in. wymagania wobec obowiązków informacyjnych jakie należy spełniać wobec tych osób, uprawnienia tych osób do dostępu, żądania sprostowania oraz w określonych w GDPR przypadkach żądania usunięcia ich danych, czy też prawo do przenoszenia danych pomiędzy różnymi administratorami danych),
- naruszenie wymagań prawnych związanych z transferem danych osobowych do tzw. państw trzecich, o których mowa w art. 44-49 GDPR.
Prawo do odszkodowania
Niezależnie od administracyjnych kar pieniężnych, o których była mowa wyżej (i które będzie mógł nakładać organ kontrolny - w Polsce GIODO lub jego odpowiednik w innych krajach członkowskich UE), należy pamiętać, że zgodnie z treścią art. 82 ust. 2 GDPR każdy administrator danych może ponosić bezpośrednią odpowiedzialność odszkodowawczą względem osób, których dane osobowe przetwarza. Odpowiedzialność odszkodowawczą będzie również ponosić podmiot, któremu powierzono do przetwarzania dane osobowe o ile nie dopełnił on przy przetwarzaniu danych obowiązków określonych dla tego typu podmiotów w GDPR lub też gdy działał poza zgodnymi z prawem instrukcjami przekazywanymi przez administratora danych lub wbrew tym instrukcjom.
W przypadku gdy dojdzie do naruszeń wymagań rozporządzenia, każdej osobie, która poniosła szkodę majątkową lub niemajątkową z tego tytułu, przysługiwać będzie prawo żądania odszkodowania od podmiotu, który jest odpowiedzialny za ich powstanie. W przypadku gdy w tym samym procesie przetwarzania danych uczestniczyć będzie więcej niż jeden podmiot i wszystkie one będą odpowiedzialne za powstanie szkody związanej z naruszeniem wymagań GDPR, podmioty te będą ponosiły odpowiedzialność solidarną za całą powstałą szkodę (a nie tylko do wysokości spowodowanej szkody przez każdy podmiot indywidualnie). Dzięki temu wystarczającym będzie np. skierowanie roszczenia tylko do jednego, wybranego podmiotu, który jest odpowiedzialny za naruszenia, a same roszczenie będzie mogło dotyczyć całej wyrządzonej szkody (a nie tylko "części" szkody za którą ten podmiot jest faktycznie odpowiedzialny).
Bardzo ważne jest również to, że prawo do żądania odszkodowania ma charakter niezależny od innych możliwych sankcji przewidzianych w GDPR. W praktyce więc prawdopodobnie często będzie miała miejsce sytuacja, w której wobec podmiotu który naruszył postanowienia rozporządzenia Generalny Inspektor Ochrony Danych Osobowych nałoży administracyjną karę pieniężną, a poza tym roszczenia o odszkodowanie skierują wobec niego osoby, których dane były przetwarzane niezgodnie z wymaganiami GDPR.
Prawa do odszkodowania z tytułu powstania szkody wynikającej z przetwarzania danych osobowych niezgodnie z postanowieniami rozporządzenia będzie można dochodzić na drodze postępowania sądowego.
Sankcje administracyjne
Ogólne rozporządzenie o ochronie danych przewiduje także możliwość korzystania przez organy kontrolne z tzw. uprawnień naprawczych, które stanowią rodzaj sankcji administracyjnych. Zgodnie z treścią art. 58 ust. 2 GDPR każdemu organowi kontrolnemu (a więc również GIODO) przysługiwać będą między innymi następujące uprawnienia:
- wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów rozporządzenia poprzez planowane operacje przetwarzania,
- udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez realizowane operacje przetwarzania,
- nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy GDPR,
- nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania danych do wymagań rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu w jakim należy się dostosować,
- nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych,
- wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania danych,
- nakazanie zawieszenia przepływu danych do odbiorcy zlokalizowanego w tzw. państwie trzecim.
Generalny Inspektor Ochrony Danych Osobowych korzystając z uprawnień naprawczych będzie mógł jednocześnie nałożyć na dany podmiot administracyjną karę pieniężną lub też poprzestać na zastosowaniu tylko jednego z tych środków (czyli albo uprawnienia naprawczego albo administracyjnej kary pieniężnej), przy czym decyzja w tym zakresie będzie należała do organu kontrolnego.
Pozostałe sankcje
Art. 84 GDPR stanowi, że poszczególne państwa członkowskie UE mają wprowadzić również inne sankcje za naruszenia postanowień rozporządzenia. Tak więc należy założyć, że katalog tych środków zostanie jeszcze poszerzony.
Odnosząc się do aktualnie obowiązującej ustawy o ochronie danych osobowych warto zauważyć, że w Rozdziale 8 przewiduje ona odpowiedzialność karną. Aktualnie obowiązujące w Polsce przepisy prawa pracy pozwalają również pracodawcom stosować sankcje dyscyplinarne wobec pracowników, którzy nie przestrzegają zasad ochrony danych osobowych na swoich stanowiskach pracy i tym samym naruszają swoje obowiązki pracownicze.
Ogólne rozporządzenie o ochronie danych nie przewiduje wprost sankcji karnych czy też dyscyplinarnych, ale zachęca do ich wprowadzania. O możliwości wprowadzania sankcji karnych w ustawodawstwach państw członkowskich stanowi na przykład punkt 149 preambuły rozporządzenia (stanowi on między innymi że "Państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie niniejszego rozporządzenia, w tym za naruszenie krajowych przepisów przyjętych na jego mocy i w jego granicach (...)"). Również biorąc pod uwagę treść art. 84 GDPR należy przyjąć, że sankcje karne lub dyscyplinarne mogą być utrzymane przez poszczególne państwa w swoich ustawodawstwach.
Możliwa odpowiedzialność prawna – porównanie aktualnych regulacji i GDPR
Kliknij na obrazek by go powiększyć.
Zobacz usługi ODOeksperta, które pomogą zrealizować ustawowe obowiązki
GDPR, GIODO, ochrona danych osobowych, odpowiedzialność, przepisy prawa, sankcje, unijne rozporządzenie o ochronie danych, ustawa