Kary za naruszenie przepisów RODO
Osobie fizycznej, w tym pracownikowi, która uzna, że przetwarzanie jej danych osobowych nastąpiło z naruszeniem przepisów RODO, przysługuje prawo do wniesienia skargi do odpowiedniego organu nadzorczego. Obecnie takim organem jest Prezes Urzędu Ochrony Danych Osobowych (PUODO).
W przypadku stwierdzenia przez organ nadzoru naruszenia przepisów RODO ma on dwie formy reakcji na stwierdzoną nieprawidłowość:
- zastosowanie finansowych środków represji lub
- poprzestanie na niepieniężnej formie egzekucji odpowiedniego zachowania.
Do sankcji niepieniężnych należy możliwość nakazania przez organ nadzoru w drodze decyzji:
- uwzględnienia żądań zawartych w skardze osoby, której dane dotyczą;
- dostosowania operacji przetwarzania danych osobowych do przepisów RODO, ze wskazaniem sposobu i terminu dostosowania;
- zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych;
- wprowadzenia czasowego lub całkowitego ograniczenia przetwarzania danych osobowych lub zakazu przetwarzania;
- sprostowania lub usunięcia danych osobowych;
- powiadomienia odbiorców, którym dane osobowe zostały ujawnione, o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych;
- zawieszenia przepływu danych do odbiorców w państwie trzecim lub do organizacji międzynarodowej.
Zależnie od okoliczności konkretnej sprawy PUODO może też obok lub zamiast kar o charakterze niepieniężnym sięgnąć po kary finansowe. Ich wysokość jest ściśle uzależniona od tego, jakiego rodzaju obowiązki naruszył administrator i przetwarzający dane osobowe, i wynosi:
- do 10 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (m.in. za naruszenie obowiązków administratora i podmiotu przetwarzającego, obowiązków podmiotu certyfikującego, obowiązków podmiotu monitorującego),
- do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (m.in. za naruszenie podstawowych zasad przetwarzania, w tym warunków zgody, praw osób, których dane dotyczą, przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, wszelkich obowiązków wynikających z prawa państwa członkowskiego, nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy).
Karę oblicza się w złotych według średniego kursu euro NBP z tabeli kursów na 28 stycznia każdego roku, a gdy w danym roku NBP nie ogłasza średniego kursu euro 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów.
W przypadku podmiotów publicznych polska ustawa o ochronie danych osobowych karę obniża do maksymalnej wysokości 100 000 zł. Dotyczy to jednostek sektora finansów publicznych, instytutów badawczych i NBP. Natomiast w przypadku państwowych i samorządowych jednostki kultury maksymalny poziom kary wynosi 10 000 zł.
Przy podejmowaniu decyzji o nałożeniu administracyjnej kary pieniężnej oraz ustalaniu jej wysokości w każdym indywidualnym przypadku należytą uwagę zwraca się na:
- charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
- umyślny lub nieumyślny charakter naruszenia;
- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
- stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;
- wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
- kategorie danych osobowych, których dotyczyło naruszenie;
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
- to, czy wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie inne środki;
- stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji; oraz
- wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
Administracyjne kary pieniężne nie są jedynymi sankcjami za działania wbrew regulacjom o ochronie danych osobowych. Temu, kto takie dane przetwarza mimo niedopuszczalności lub bez uprawnienia, grozi grzywna, ograniczenie wolności albo pozbawienie wolności do 2 lat, a do 3 lat - gdy są to dane wrażliwe. Takie same kary (z wyjątkiem pozbawienia wolności do lat 3) dotyczą pracodawcy, który utrudnia kontrolującemu prowadzenie kontroli (art. 108 ustawy o ochronie danych osobowych). Oprócz tego pracodawcom grożą roszczenia cywilne od pracowników, kandydatów do pracy i innych osób, które będą uważały, że doszło do naruszenia ochrony ich danych osobowych lub poniosły szkodę z tego powodu (art. 92 ustawy o ochronie danych osobowych w zw. z art. 79 i art. 82 RODO).
Niniejszy artykuł jest fragmentem publikacji: "RODO dla kadrowych i HR - zmiany od 4 maja 2019"
© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.
Komentarze(0)
Pokaż:
NajnowszePopularneNajstarsze