Kary za złamanie RODO

Bez kategorii
kary za złamanie RODO

Wysokie kary dla przedsiębiorców były już zapowiadane zanim RODO weszło w życie. Nowe przepisy w sprawie ochrony danych osobowych dotyczyły również wysokich sankcji. Przyczyniło to się skutecznie do wprowadzenia koniecznych zmian w przetwarzaniu danych oraz organizacji w większości firm. Wielomilionowe zmiany brzmią poważnie, dla większości firm bardzo poważnie. Jakie są rodzaje i wysokości kar za złamanie przepisów RODO? Kiedy i jak są nakładane? W tym wpisie postaramy się przedstawić wszystkie najważniejsze informacje.

Jakie rodzaje kar grożą za złamanie RODO?

Kary za nieprzestrzeganie RODO nie są nakładane za każde najmniejsze przewinienie i nie zawsze kwoty będą astronomiczne. Zanim zostanie nałożona jakakolwiek kara, zostaje przeprowadzana dokładna analiza dla konkretnego przypadku. Nie jest to proces automatyczny i samowolny. Na analizę składa się wiele czynników takich jak skala naruszenia przepisów, współpraca z organami, ukrywanie nieprawidłowości czy też ilość naruszonych przepisów. Prezes Urzędu Ochrony Danych Osobowych (PUODO) czyli organ nadzorczy ma obowiązek dopilnować, czy stosowane administracyjne kary pieniężne odnośnie RODO w każdym przypadku będą skuteczne, odstraszające i proporcjonalne. Od czego zależy wymiar kary oraz ich rodzaje?

Administracyjna kara pieniężna do 10 000 000 EURO, w przypadku przedsiębiorstw jest to wysokość do 2% światowego obrotu z poprzedniego roku obrotowego. Kara grozi za naruszenie:

  • Obowiązków podmiotu przetwarzającego i administratora związanych z warunkami wyrażania zgody na przetwarzanie danych osobowych przez dziecko w przypadku usług społeczeństwa informacyjnego, wdrożeniem odpowiednich środków ochrony danych, przetwarzaniem niewymagającym identyfikacji, wyznaczaniem przedstawiciela w UE, współadministrowaniem, powierzeniem przetwarzania danych, bezpieczeństwem przetwarzania danych osobowych, rejestrowaniem czynności przetwarzania, współpracą z organem nadzorczym, powoływaniem i funkcjonowaniem inspektora ochrony danych, oceną skutków dla ochrony danych i uprzednimi konsultacjami, mechanizmami certyfikacji i podmiotami certyfikującymi (art. 8, 11, 25-39 oraz 42 i 43 RODO)
  • obowiązków podmiotu certyfikującego związanych z mechanizmami certyfikacji i podmiotami certyfikującymi (art. 42 i 43 RODO)
  • obowiązków podmiotu monitorującego, które skupiają się między innymi na podejmowaniu właściwych działań w momencie naruszenia kodeksu odnośnie ochrony danych osobowych przez podmiot przetwarzający lub administratora, w tym wykluczanie lub zawieszanie podmiotu przetwarzającego lub administratora spośród stosujących kodeks oraz przekazanie informacji do organu nadzorczego (art. 41 ust. 4 RODO)

Administracyjna kara pieniężna do 20 000 000 EURO, w przypadku przedsiębiorstw jest to wysokość do 4% światowego obrotu z poprzedniego roku obrotowego. Kara grozi na naruszenie:

  • Praw osób, których dotyczą dane (art. 12-22 RODO)
  • Podstawowych zasad przetwarzania danych, w tym warunków zgody (art. 5, 6, 7, 9 RODO)
  • Różnych obowiązków, które wynikają z prawa państwa członkowskiego zaakceptowanego na podstawie rozdziału IX RODO
  • Przekazanie danych osobowych organizacji międzynarodowej lub w państwie trzecim (art. 44-49 RODO)
  • Nieprzestrzeganie ostatecznego ograniczenia lub nakazu tymczasowego zawieszenia lub przetwarzania przepływu danych osobowych orzeczonego przez organ nadzorczy (art. 58 RODO)

Jeżeli podmiot przetwarzający lub administrator narusza nieumyślnie lub umyślnie w ramach powiązanych lub tych samych operacji przetwarzania wiele przepisów RODO, z zasady administracyjna kara pieniężna nie powinna przekraczać największej wartości za najpoważniejsze naruszenie. Kary za łamanie przepisów są naprawdę wysokie. Zarówno w teorii jak i w praktyce, skutecznie odstraszają od łamania przepisów RODO. Nie ma silniejszej motywacji do ich przestrzegania niż poważne kary finansowe. Przedsiębiorcy powinni wiedzieć jak dużo ryzykują omijając przepisy RODO, konsekwencje ignorowania mogą być nieprzyjemne.

Kiedy nakładane są kary za łamanie przypisów RODO?

Wymiar oraz rodzaj kary zależy od indywidualnej oceny PUODO, która składa się z wielu czynników. Najważniejsze z nich to:

  • Liczba poszkodowanych osób, których dane osobowe dotyczą oraz rozmiar poniesionej szkody,
  • Waga, czas trwania i charakter naruszenia przy uwzględnieniu zakresu, celu lub charakteru danego przetwarzania,
  • Występowanie wcześniejszych naruszeń,
  • Charakter naruszenia, umyślny lub nieumyślny,
  • Stopień odpowiedzialności podmiotu przetwarzającego lub administratora, uwzględniając wdrożone środki techniczne i organizacyjne,
  • Podjęte działania w celu zminimalizowania szkody poniesionej przez poszkodowaną osobę
  • Kategorie naruszonych danych osobowych,
  • Współpraca z organem nadzorczym w celu złagodzenia potencjalnych skutków lub usunięcia naruszenia,
  • Sposób przekazania informacji do organu nadzorczego oraz zakres naruszenia administratora lub podmiotu przetwarzającego,
  • Stosowanie zatwierdzonych mechanizmów certyfikacji lub zatwierdzonych kodeksów postępowania,
  • Przestrzeganie środków wcześniej zastosowanych w sprawie RODO,
  • Osiąganie bezpośrednio lub pośrednio korzyści majątkowe wynikające z łagodzenia czynników sprawy

Założenie jest takie, że kara powinna być proporcjonalna do złamanych przepisów, konsekwencje za niewielkie naruszenie nie powinny być duże. Czasami może się skończyć tylko na upomnieniu. Głównym celem nakładanych kar jest przywrócenie stanu zgodnego z przepisami RODO. Ryzyko łamania przepisów jest spore i trzeba o tym pamiętać, boleśnie przekonało się o tym Google.

Rekordowa kara RODO

Rekordowa kara RODO

Ostatnio można było usłyszeć o zgłoszeniu skargi w związku z podejrzeniem łamania przepisów RODO przez Google. Sprawa była dosyć mocno komentowana bowiem była to rekordowa kara. Nieprawidłowe informowanie użytkowników o przetwarzaniu danych doprowadziło giganta do nałożenia niebagatelnej kwoty 50 milionów euro. Jest to najwyższa dotychczasowa kara na nieprzestrzeganie RODO. Nie jest to pierwsza kara, pokazuje to, że poważne konsekwencje w przypadku łamania przepisów nie są fikcją a kary są proporcjonalne. Czy mniejsza kara rzędu kilku tysięcy euro odstraszyło by Google? Odpowiedź jest tylko jedna i oczywista. Oczywiście można skutecznie ominąć kary za nieprzestrzeganie RODO, niezależnie od charakteru i wymiaru. Trzeba się skupić na zmianie podejścia do RODO, jednorazowe wdrożenie nie zapewni pełnego bezpieczeństwa. Trzeba mieć się na czujności. Warto wziąć pod uwagę wsparcie zewnętrznej firmy, takiej jak NGsolutions. W naszej ofercie można znaleźć usługi ochrony danych osobowych RODO. Nasze doświadczenie oraz grono specjalistów pomoże uniknąć kar i wdrożyć standardy, które zaowocują długotrwałymi korzyściami.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *