RODO 2018 – kary za naruszenie przepisów

RODO czyli ogólne rozporządzenie o ochronie danych wprowadza rewolucyjne rozwiązania w zakresie ochrony danych osobowych. RODO jako rozporządzenie unijne, które można stosować bezpośrednio, uchyla obecnie obowiązujące funkcjonujące przepisy w tej materii.

Wszelkie podmioty (zarówno prywatne jak i publiczne), które zajmują się przetwarzaniem danych osobowych i wobec, których nie zachodzą wyłączenia z art. 2 rozporządzenia muszą się dostosować do nowych przepisów, ponieważ w przypadku naruszenia przepisów RODO mogą zostać zastosowane środki dyscyplinujące, a także wysokie kary pieniężne.

Uprawnienia naprawcze organów nadzorczych

Uprawnienia nadzorcze to pewnego rodzaju ostrzeżenie dla przedsiębiorców naruszających przepisy RODO. Na podstawie art. 58 ust. 2 RODO organ nadzorczy, który stwierdzi naruszenie przepisów RODO może np.:

• wydawać ostrzeżenia dotyczące możliwości naruszenia przepisów RODO;
• udzielić upomnienia;
• nakazać spełnienia żądania osoby, której dane dotyczą, wynikającego z jej praw;
• nakazać dostosowania operacji przetwarzania do przepisów RODO;
• nakazać zawiadomienia osoby, której dane dotyczą , o naruszeniu ochrony danych;
• wprowadzić czasowe lub całkowite ograniczenie przetwarzania, w tym zakaz przetwarzania;
• nakazać sprostowania lub usunięcia danych lub ograniczenia przetwarzania oraz nakazać powiadomienia o tych czynnościach odbiorców danych;
• cofnąć certyfikacje lub nakazać podmiotowi certyfikującemu takie cofnięcie lub nakazać nieudzielania certyfikacji – jeżeli wymogi nie zostały spełnione lub przestały być spełniane.

Za cięższe przewinienia lub w przypadku dalszego naruszania przepisów RODO pomimo zastosowanych środków ostrzegawczych organy nadzorcze prawdopodobnie zastosują kary pieniężne.

Zasady wymierzania kar

Organ nadzorczy w rozumieniu RODO, na zasadach określonych w art. 83 RODO będzie mógł wymierzać administracyjne kary pieniężne oprócz lub zamiast środków naprawczych. Kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku przy czym brane są pod uwagę m.in. takie czynniki jak:

1. charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczba poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
2. umyślność lub nieumyślność naruszenia;
3. działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
4. stopień odpowiedzialności administratora lub podmiotu przetwarzającego;
5. wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
6. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
7. kategorie danych osobowych, których dotyczyło naruszenie;
8. sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
9. wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy.

Wysokość kary

Kara pieniężna jest wymierzana w wysokości:

• do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa);
• do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa);

Kara w wysokości do 10 mln euro albo do 2% obrotu jest wymierzana za naruszenie przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, podmiotu certyfikującego, podmiotu monitorującego.

Polecamy produkt: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Natomiast kara w wysokości do 20 000 000 EUR albo do 4 % obrotu wymierzana jest za naruszenie:

1. podstawowych zasad przetwarzania, w tym warunków zgody;
2. praw osób, których dane dotyczą;
3. przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;
4. wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX;
5. nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienie dostępu organowi nadzorczemu.

Opracowano na podstawie:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1)