W poprzednim artykule omówiona została koncepcja jaką przyjął regulator w zakresie karania za niewdrożenie RODO w swoim przedsiębiorstwie oraz za naruszenia w tym względzie. Położony tam został większy nacisk na omówienie sankcji administracyjnych związanych z naruszeniami, które w ocenie Fundacji częstokroć mogą być dla przedsiębiorcy bardziej dolegliwe niż sama tylko kara finansowa (cały artykuł można przeczytać tutaj).

Niemniej jednak docierają do nas informację, że wśród przedsiębiorców bardzo dużo rozmawia się o konsekwencjach pieniężnych niewdrożenia RODO, co powoduje duży niepokój. Przewrotnie można powiedzieć – i słusznie – bo temat jest warty przedyskutowania, a to w celu należytego przygotowania się na RODO i uniknięcia tych kar. Ogólne rozporządzenie przewiduje bowiem bardzo wysokie sankcje za uchybienia stwierdzone po stronie podmiotów przetwarzających dane. Co przy tym ważne, kary pieniężne mogą być wymierzane obok sankcji administracyjnych (tj. dwie kary jednocześnie).

Łączenie kar przewidziane zostało w art. 58 par. 2 lit. i), w myśl którego „Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze: „zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy”.

Za co i jakie kary?

Dla jasności wywodu, poniżej przygotowaliśmy tabelę, w której wyjaśniamy jaka maksymalna kara może grozić przedsiębiorcy za niestosowanie się do RODO:

przepis rozporządzenia	możliwa kara
Art. 5 Naruszenie zasad dotyczących przetwarzania danych osobowych	20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa
Art. 7 Naruszenie warunków wyrażenia zgody na przetwarzanie danych	20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa
Art. 15 Naruszenie wykonania prawa dostępu przysługującego osobie, której dane dotyczą	20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa
Art. 16 Naruszenie wykonania prawa do sprostowania i usuwania danych	20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa

Art. 25 Naruszenie zasad ochrony danych osobowych w fazie projektowania (privacy by design) oraz domyślna ochrona danych (privacy by default)	10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa
Art. 29 Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego	10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa
Art. 30 Rejestrowanie czynności przetwarzania	10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa
Art. 31 Współpraca z organem nadzorczym	10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa
Art. 32 Bezpieczeństwo przetwarzania	10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa

Od czego zależeć będzie wysokość kary?

W kontekście kar finansowych za nieprzestrzeganie RODO należy pamiętać o jednej ważnej rzeczy. Mianowicie jak sama nazwa rozporządzenia o ochronie danych osobowych wskazuje, jest ono „ogólne”, tj. dotyczy każdego podmiotu, a więc małego sklepiku szkolnego, niewielkiego biura rachunkowego czy małego gabinetu lekarskiego, ale także ogromnych przedsiębiorstw zatrudniających tysiące pracowników. Stąd omówione wyżej wysokości kar za konkretne naruszenia są wielkościami maksymalnymi i oczywistym jest, że w tych kwotach nie będą one dotyczyły mikroprzedsiębiorców (małych firm).

Kary każdorazowo dostosowywane będą m.in. do wielkości przedsiębiorstwa, które naruszyło swoje obowiązki w zakresie RODO. Jest też kilka innych czynników, które ostatecznie wpłyną na wysokość kary. Przede wszystkim należy zwrócić uwagę na charakter, wagę i czas trwania naruszenia przy jednoczesnym uwzględnieniu:

1. charakteru, zakresu lub celu danego przetwarzania,
2. liczby poszkodowanych osób, których dane dotyczą,
3. rozmiaru poniesionej przez nie szkody;
4. umyślnego lub nieumyślnego charakter naruszenia;
5. działań podjętych przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
6. stopnia odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych przez nich środków technicznych i organizacyjnych;
7. wszelkich wcześniejszych naruszeń ze strony administratora lub podmiotu przetwarzającego;
8. stopnia współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
9. kategorii danych osobowych, których dotyczyło naruszenie.

Dopiero przy uwzględnieniu wyżej wymienionych czynników stosowny organ, którym w Polsce będzie Prezes Urzędu Ochrony Danych Osobowych, wymierzyć będzie mógł odpowiednią karę finansową.

Co zrobić, aby uniknąć kar?

Jeżeli chcecie Państwo uniknąć problemów związanych z karami za naruszenie ogólnego rozporządzenia o ochronie danych osobowych, najlepiej byłoby już dzisiaj zacząć się przygotowywać do nowych regulacji. RODO zacznie obowiązywać już 25 maja 2018 roku – w tym dniu każdy przedsiębiorca będzie musiał mieć już przygotowane odpowiednie procedury na wypadek np. kontroli, czy wycieku danych.

Dlatego tak ważne jest jak najszybsze przeprowadzenie audytu zgodności procesów związanych z administrowaniem danymi osobowymi w Państwa przedsiębiorstwach z wymogami RODO jeszcze przed tą datą. Ze swojej strony, jako Fundacja, oferujemy Państwu bezpłatny audyt, który pomoże znaleźć te obszary, które wymagają poprawy. Nasza oferta znajduje się pod tym linkiem. Znajduje się tam również formularz kontaktowy – ewentualnie mogą Państwo wysłać do nas zapytanie w formie e-mail na adres: kontakt@fundacjaentropia.pl