Sporo uwagi poświęciliśmy w swoich tekstach kwestii tego czym są dane osobowe, czym jest RODO i jak wprowadzać je w prowadzonej działalności gospodarczej. Wielokrotnie pojawiała się także informacja, że nowe przepisy obowiązywać będą wszystkich przedsiębiorców. Do tej pory milczeniem pomijaliśmy kwestię konsekwencji niedostosowania swojej działalności do nowych uwarunkowań prawnych. Z jednej strony był to zabieg świadomy – nie chcieliśmy Państwa niepotrzebnie straszyć. Nie chcieliśmy stać w jednym szeregu z organizacjami, które naciągają Państwa na wysokie koszty wdrożenia RODO, grożąc karami finansowymi.
Jak było dotychczas i co się zmienia?
Obecnie obowiązująca ustawa z 1997 roku o ochronie danych osobowych nie przewidywała żadnych kar finansowych za jej nieprzestrzeganie. Zawiera ona sankcje administracyjne i karne. Przykładowo zgodnie z art. 49 ust. 1 ustawy o ochronie danych osobowych: „Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.
Kiedy zacznie obowiązywać RODO, oprócz zmiany całego systemu postrzegania danych osobowych i ich ochrony, zmienią się również prawne konsekwencje nieprzestrzegania tych przepisów. W rozporządzeniu zrezygnowano z sankcji karnych, co nie oznacza jednak, że przedsiębiorcy nie muszą się niczym przejmować. Wprowadzono bowiem środki dyscyplinujące o charakterze administracyjnym oraz administracyjne kary pieniężne.
Niewątpliwie w niektórych przypadkach lekceważone kary administracyjne mogą być dla przedsiębiorców bardziej kłopotliwe niż sankcje pieniężne, ponieważ te drugie poza finansową dolegliwością nie mają wpływu na funkcjonowanie podmiotu przetwarzającego dane osobowe.
Wśród sankcji administracyjnych wskazanych w art. 58 rozporządzenia wymienia się m.in.:
a) ostrzeżenia wydawane administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;
b) udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;
c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;
d) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;
e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
f) wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
g) nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
h) cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane.
Najbardziej dotkliwe sankcje mogą spowodować bardzo poważne utrudnienia w funkcjonowaniu Państwa przedsiębiorstwa. Pragnę zwrócić uwagę w szczególności na punkt f) powyżej. W przypadku jego zastosowania, w wielu przypadkach oznaczałoby to w zasadzie uniemożliwienia prowadzenia działalności w ogóle. Często bowiem bez przetwarzania danych nie możecie wykonywać Państwo swoich obowiązków zawodowych.
Kary pieniężne – istotna nowość
Tak jak wskazałem powyżej, dotychczas nie było kar finansowych. Obecnie natomiast będą one mogły być one stosowane jako jedyna sankcja dla przedsiębiorcy, ale także będą mogły towarzyszyć wyżej opisanym karom administracyjnym – być wymierzone obok tych kar, jako dodatkowa dolegliwość dla przedsiębiorcy. RODO dopuszcza łączenie kar.
Z uwagi na obszerność tematu, kwestia wysokości kar finansowych i sposobu ich wymierzania omówiona została w tym artykule.
Od kiedy zaczną obowiązywać przepisy o karach?
Podobnie jak całe ogólne rozporządzenie o ochronie danych osobowych, tak i omówione wyżej przepisy dyscyplinujące, ze wszystkimi ich możliwymi konsekwencjami zaczną obowiązywać już 25 maja 2018 roku. Dlatego tak ważne jest jak najszybsze przeprowadzenie audytu zgodności procesów związanych z administrowaniem danymi osobowymi w Państwa przedsiębiorstwach z wymogami RODO jeszcze przed tą datą. Ze swojej strony, jako Fundacja, oferujemy Państwu bezpłatny audyt, który pomoże znaleźć te obszary, które wymagają poprawy. Nasza oferta znajduje się pod tym linkiem. Znajduje się tam również formularz kontaktowy – ewentualnie mogą Państwo wysłać do nas zapytanie w formie e-mail na adres: kontakt@fundacjaentropia.pl