Dane osobowego po nowemu (12), czyli co grozi za naruszenie zasad przetwarzania danych osobowych

Ogólne rozporządzenie o ochronie danych osobowych wprowadza nie tylko nowe zasady ochrony danych i obowiązki dla administratorów. Od 25 maja 2018 r. za nieprzestrzeganie wymogów RODO będą groziły dotkliwe kary finansowe. Mogą one sięgać do 20 milionów euro, czy do 4% całkowitego rocznego światowego obrotu osiągniętego przez przedsiębiorcę w minionym roku obrotowym. Co będzie mógł kontrolować organ nadzorczy i w jakich przypadkach nakładać sankcje?

• Prawo do wniesienia skargi do organu nadzorczego

Osoba, która uważa, że jej dane są przetwarzane niezgodnie z RODO, będzie miała prawo do wniesienia skargi do organu nadzorczego. Jego funkcje ma pełnić Prezes Urzędu Ochrony Danych Osobowych, który docelowo zastąpi GIODO. Skarga do organu nadzorczego będzie mogła zostać wniesiona przed organ nadzorczy właściwy w państwie członkowskim, w którym skarżący ma miejsce zamieszkania, miejsce pracy lub w którym doszło do domniemanego naruszenia. Przepisy na ten moment nie precyzują, jaka powinna być jej treść, jaka będzie procedura jej rozpatrywania, ani czy będzie ona podlegała opłacie. Ograniczają się jedynie do nałożenia na organ nadzorczy prowadzący postępowanie wywołane wniesieniem skargi  obowiązku informowania skarżącego o jego przebiegu, a także poinstruowania go o możliwości złożenia skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu.

Warto jednak wspomnieć o projekcie ustawy o  ochronie danych opracowanym przez Ministerstwo Cyfryzacji, który w założeniu ma zapewnić poprawne stosowanie RODO w Polsce.  Zawiera on m.in. przepisy regulujące postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, a także postępowanie kontrolne, kary pieniężne i odpowiedzialność cywilną. Projekt dostępny jest na stronie Ministerstwa Cyfryzacji.

• Prawo do złożenia skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu

Prawo do złożenia skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu będzie przysługiwało, gdy organ nadzorczy nie rozpozna skargi wniesionej przez osobę, która uważa, że jej dane osobowe są przetwarzane niezgodnie z RODO, względnie, gdy nie poinformuje jej w terminie trzech miesięcy o postępach lub efektach postępowania. Ze środka takiego będzie mógł skorzystać również każdy podmiot, względem którego organ nadzorczy wydał niekorzystną z jego punktu widzenia decyzję.

Na razie nie dookreślono warunków wszczęcia postępowania przeciwko organowi nadzorczemu, a także możliwych rozstrzygnięć sądu. Nie wskazano również, czy skorzystanie z takiego instrumentu będzie podlegało opłacie. Ograniczono się jedynie do stwierdzenia, że właściwym do jego prowadzenia będzie sąd państwa członkowskiego, w którym organ nadzorczy ma swoją siedzibę.

• Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu oraz prawo do odszkodowania

Tzw. prawo do skutecznego środka ochrony prawnej przed sądem będzie przysługiwało również przeciwko administratorowi danych osobowych lub podmiotowi, któremu administrator powierzył ich przetwarzanie. Będzie mógł z niego skorzystać każdy, kto uzna, że wskutek przetwarzania jego danych niegodnie z RODO doszło do naruszenia jego praw.

Postępowanie sądowe przeciwko administratorowi lub podmiotowi przetwarzającemu dane w imieniu administratora będzie mogło zostać wszczęte: (i) przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną, względnie (ii) przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu, chyba że administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne.

Przed wskazanym wyżej sądem będzie można również dochodzić odszkodowania, gdy w wyniku naruszenia warunków przetwarzania danych określonych w RODO dojdzie do wyrządzenia szkody (zarówno majątkowej, jak i niemajątkowej). W sytuacji, gdy naruszenia dopuści się administrator i przetwarzający ich odpowiedzialność za zapłatę odszkodowania będzie solidarna. Ma to zagwarantować osobie, której dane dotyczą rzeczywiste uzyskanie odszkodowania.

• Kary finansowe

Wysokość kar administracyjnych za naruszenie zasad przetwarzania danych wynikających z RODO może wynosić do 20 milionów euro, a w przypadku przedsiębiorstwa aż do 4 % jego całkowitego rocznego światowego obrotu osiągniętego w poprzednim roku obrotowym. Co istotne, zastosowanie będzie miała zawsze kwota wyższa. Wysokość kar będzie każdorazowo uzależniona od okoliczności indywidualnego przypadku. Przy określaniu ich wysokości będą brane pod uwagę czynniki takie jak:

• charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczba poszkodowanych osób, których dane dotyczą oraz rozmiar poniesionej przez nie szkody;
• umyślny lub nieumyślny charakter naruszenia;
• działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.

Spektrum instrumentów, jakie przewiduje RODO do walki z naruszeniami obowiązków administratorów danych osobowych lub ich procesorów jest bardzo szerokie. Powinno to skłonić wszystkie podmioty przetwarzające dane do sprawnego wdrożenia mechanizmów ochrony danych wymaganych przez nowe przepisy unijne. Należy pamiętać, że od 25 maja 2018 r. przepisy te będą stosowane wprost, zastępując dotychczas obowiązująca polską ustawę o ochronie danych osobowych.

Photo by Ilker