Ochrona Danych WG » Kary i sankcje z Rozporządzenia PE

Kary i sankcje wynikające z RODO

Przepisy RODO przewidują system odpowiedzialności za naruszenie zasad ochrony danych osobowych. Celem kar i sankcji nie jest wyłącznie ukaranie podmiotu, który dopuścił się naruszenia, ale przede wszystkim zapewnienie skutecznej ochrony praw osób fizycznych, zapobieganie kolejnym naruszeniom oraz wymuszenie stosowania odpowiednich środków technicznych i organizacyjnych. Sankcje powinny być skuteczne, proporcjonalne i odstraszające, a ich zastosowanie zależy od okoliczności konkretnej sprawy. Taką zasadę określa art. 83 RODO.

RODO przewiduje różne rodzaje reakcji organu nadzorczego na naruszenia. Nie każda nieprawidłowość musi automatycznie prowadzić do nałożenia administracyjnej kary pieniężnej. Organ nadzorczy może zastosować również inne środki, takie jak upomnienie, ostrzeżenie, nakaz dostosowania operacji przetwarzania do przepisów, ograniczenie przetwarzania, zakaz przetwarzania danych, nakaz sprostowania lub usunięcia danych, a także cofnięcie certyfikacji. Kary pieniężne mogą być stosowane obok tych środków albo zamiast nich, w zależności od charakteru i wagi naruszenia.

Administracyjne kary pieniężne

Najbardziej rozpoznawalną sankcją przewidzianą w RODO są administracyjne kary pieniężne. Ich wysokość zależy od rodzaju naruszenia. RODO przewiduje dwa główne progi kar.

Pierwszy próg obejmuje kary do 10 000 000 euro, a w przypadku przedsiębiorstwa — do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym stosuje się kwotę wyższą. Ten próg dotyczy m.in. naruszeń obowiązków administratora i podmiotu przetwarzającego, obowiązków związanych z certyfikacją, monitorowaniem oraz określonymi obowiązkami wynikającymi z zasad bezpieczeństwa przetwarzania.

Drugi, wyższy próg obejmuje kary do 20 000 000 euro, a w przypadku przedsiębiorstwa — do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, również z zastosowaniem kwoty wyższej. Ten próg dotyczy najpoważniejszych naruszeń, takich jak naruszenie podstawowych zasad przetwarzania danych, brak właściwej podstawy prawnej, naruszenie praw osób, których dane dotyczą, niezgodne z prawem przekazywanie danych do państw trzecich lub niezastosowanie się do nakazu organu nadzorczego.

Wysokość kary nie jest ustalana automatycznie. Organ nadzorczy ocenia każdą sprawę indywidualnie, biorąc pod uwagę m.in. charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych osób, zakres szkody, umyślność lub nieumyślność działania, podjęte środki naprawcze, stopień odpowiedzialności administratora lub podmiotu przetwarzającego, wcześniejsze naruszenia, sposób współpracy z organem, kategorie danych osobowych oraz sposób, w jaki organ dowiedział się o naruszeniu.

Inne środki i sankcje administracyjne

Kara pieniężna nie jest jedyną możliwą konsekwencją naruszenia RODO. Organ nadzorczy może zastosować również środki naprawcze, które w praktyce mogą być dla organizacji równie dotkliwe jak sama kara finansowa. Może na przykład nakazać dostosowanie procesu przetwarzania do przepisów, ograniczyć określone operacje na danych, czasowo lub całkowicie zakazać przetwarzania danych, nakazać poinformowanie osób o naruszeniu albo zobowiązać administratora do usunięcia danych przetwarzanych niezgodnie z prawem.

Takie środki mogą wpływać bezpośrednio na działalność organizacji, ponieważ mogą ograniczyć możliwość korzystania z systemu informatycznego, prowadzenia określonej usługi, realizowania procesu kadrowego, marketingowego, sprzedażowego lub administracyjnego. Dlatego zgodność z RODO powinna być traktowana nie tylko jako obowiązek formalny, ale również jako element ciągłości działania i zarządzania ryzykiem.

Odpowiedzialność administratora i podmiotu przetwarzającego

Odpowiedzialność za naruszenie przepisów RODO może dotyczyć zarówno administratora danych, jak i podmiotu przetwarzającego. Administrator odpowiada przede wszystkim za zgodne z prawem określenie celów i sposobów przetwarzania danych, dobór właściwej podstawy prawnej, realizację obowiązków informacyjnych, zapewnienie bezpieczeństwa danych, respektowanie praw osób fizycznych oraz właściwy dobór podmiotów przetwarzających.

Podmiot przetwarzający może ponosić odpowiedzialność w szczególności wtedy, gdy przetwarza dane niezgodnie z umową powierzenia, działa poza udokumentowanymi poleceniami administratora, nie zapewnia odpowiednich zabezpieczeń, korzysta z dalszych podwykonawców bez wymaganej zgody albo nie współpracuje z administratorem przy realizacji obowiązków wynikających z RODO.

W praktyce oznacza to, że samo przekazanie obsługi określonego procesu firmie zewnętrznej nie zwalnia administratora z odpowiedzialności za dane osobowe. Administrator powinien wybierać wyłącznie takie podmioty, które zapewniają odpowiednie gwarancje bezpieczeństwa, oraz powinien nadzorować sposób realizacji powierzonych im czynności.

Sankcje krajowe

RODO przewiduje również, że państwa członkowskie mogą ustanowić inne sankcje za naruszenia rozporządzenia, zwłaszcza za naruszenia, które nie podlegają administracyjnym karom pieniężnym określonym w art. 83. Sankcje te powinny być skuteczne, proporcjonalne i odstraszające. Wynika to z art. 84 RODO.

W Polsce organem właściwym w sprawach ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Może on prowadzić postępowania kontrolne, żądać wyjaśnień, analizować dokumentację, oceniać sposób przetwarzania danych oraz wydawać decyzje administracyjne, w tym decyzje o nałożeniu administracyjnych kar pieniężnych. W praktyce UODO nakłada kary m.in. za brak podstawy prawnej przetwarzania, nieprawidłowe zabezpieczenie danych, brak zgłoszenia naruszenia, niewłaściwą realizację obowiązku informacyjnego czy brak współpracy z organem nadzorczym. Przykładowo UODO informował o karach za brak współpracy z organem w toku wykonywania jego zadań.

Odpowiedzialność odszkodowawcza

Oprócz sankcji administracyjnych RODO przewiduje również możliwość dochodzenia odszkodowania przez osobę, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów o ochronie danych osobowych. Oznacza to, że organizacja może ponosić konsekwencje nie tylko wobec organu nadzorczego, ale również wobec osób, których dane dotyczą.

Szkodą może być na przykład strata finansowa, kradzież tożsamości, utrata kontroli nad danymi, naruszenie dobrego imienia, ujawnienie informacji poufnych, stres, niepokój lub inne negatywne skutki związane z nieuprawnionym przetwarzaniem danych. Ryzyko odpowiedzialności odszkodowawczej powoduje, że organizacja powinna szczególnie starannie dokumentować zgodność z RODO, zabezpieczać dane oraz reagować na incydenty.

Czynniki wpływające na wysokość kary

Przy ocenie naruszenia organ nadzorczy bierze pod uwagę wiele elementów. Znaczenie ma nie tylko sam fakt naruszenia, ale również sposób zachowania organizacji przed incydentem, w trakcie jego wystąpienia i po jego wykryciu. Na wysokość kary mogą wpływać m.in.:

skala naruszenia i liczba osób, których dane dotyczą;
rodzaj danych, w szczególności czy obejmowały dane szczególnych kategorii;
czas trwania naruszenia;
stopień zawinienia;
poziom zabezpieczeń technicznych i organizacyjnych;
wcześniejsze naruszenia przepisów;
sposób reakcji na incydent;
współpraca z organem nadzorczym;
działania podjęte w celu ograniczenia skutków naruszenia;
korzyści osiągnięte w związku z naruszeniem;
stopień realizacji zasady rozliczalności.

Organ może łagodniej ocenić sytuację, w której administrator szybko wykrył naruszenie, ograniczył jego skutki, poinformował właściwe osoby, wdrożył działania naprawcze i współpracował z organem. Negatywnie oceniane są natomiast bierność, brak dokumentacji, lekceważenie obowiązków, ignorowanie żądań organu, brak procedur, opóźnienia w zgłoszeniu naruszenia oraz powtarzalność tych samych uchybień.

Znaczenie dokumentacji i zasady rozliczalności

Jednym z kluczowych elementów ograniczających ryzyko sankcji jest właściwa dokumentacja ochrony danych osobowych. Zasada rozliczalności wymaga, aby administrator był w stanie wykazać, że przetwarzanie danych odbywa się zgodnie z RODO. W praktyce oznacza to konieczność posiadania i aktualizowania dokumentów takich jak rejestr czynności przetwarzania, polityki bezpieczeństwa, procedury nadawania uprawnień, umowy powierzenia, analizy ryzyka, procedury naruszeń, upoważnienia do przetwarzania danych, klauzule informacyjne oraz dokumentacja szkoleń.

Brak dokumentacji lub jej nieaktualność może utrudnić wykazanie zgodności z przepisami, nawet jeżeli w organizacji funkcjonują pewne środki bezpieczeństwa. Z punktu widzenia organu nadzorczego istotne jest nie tylko to, czy organizacja deklaruje stosowanie zasad RODO, ale czy potrafi to udowodnić.

Przykładowe naruszenia mogące skutkować karami

Do naruszeń, które mogą prowadzić do sankcji, należą w szczególności:

przetwarzanie danych bez podstawy prawnej;
zbieranie nadmiernego zakresu danych;
brak realizacji obowiązku informacyjnego;
nieprawidłowe zabezpieczenie systemów informatycznych;
brak kontroli dostępu do danych;
niezgłoszenie naruszenia ochrony danych osobowych w wymaganym terminie;
brak umowy powierzenia z podmiotem zewnętrznym;
przekazanie danych nieuprawnionemu odbiorcy;
ignorowanie żądań osób, których dane dotyczą;
brak współpracy z Prezesem UODO;
przechowywanie danych dłużej, niż jest to niezbędne;
nieuprawnione przekazywanie danych poza Europejski Obszar Gospodarczy.

Każde z tych naruszeń powinno być oceniane w kontekście konkretnej sytuacji, rodzaju danych, skali przetwarzania oraz potencjalnych skutków dla osób fizycznych.

Podsumowanie

Kary i sankcje przewidziane w RODO mają na celu zapewnienie realnej ochrony danych osobowych oraz mobilizowanie administratorów i podmiotów przetwarzających do przestrzegania przepisów. Administracyjne kary pieniężne mogą osiągać bardzo wysokie kwoty, jednak równie istotne są inne środki stosowane przez organ nadzorczy, takie jak nakazy, zakazy, ograniczenia przetwarzania czy obowiązek usunięcia danych.

Najlepszym sposobem ograniczenia ryzyka sankcji jest wdrożenie skutecznego systemu ochrony danych osobowych. Obejmuje on właściwe podstawy prawne przetwarzania, przejrzyste procedury, regularne szkolenia, kontrolę dostępu, zabezpieczenia informatyczne, dokumentowanie działań, ocenę ryzyka, nadzór nad podmiotami przetwarzającymi oraz sprawne reagowanie na incydenty. Zgodność z RODO powinna być traktowana jako stały proces zarządzania bezpieczeństwem informacji, a nie jednorazowy obowiązek