Niemniej jednak docierają do nas informację, że wśród przedsiębiorców bardzo dużo rozmawia się o konsekwencjach pieniężnych niewdrożenia RODO, co powoduje duży niepokój. Przewrotnie można powiedzieć – i słusznie – bo temat jest warty przedyskutowania, a to w celu należytego przygotowania się na RODO i uniknięcia tych kar. Ogólne rozporządzenie przewiduje bowiem bardzo wysokie sankcje za uchybienia stwierdzone po stronie podmiotów przetwarzających dane. Co przy tym ważne, kary pieniężne mogą być wymierzane obok sankcji administracyjnych (tj. dwie kary jednocześnie).

Łączenie kar przewidziane zostało w art. 58 par. 2 lit. i), w myśl którego „Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze: „zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy”.

Za co i jakie kary?

Dla jasności wywodu, poniżej przygotowaliśmy tabelę, w której wyjaśniamy jaka maksymalna kara może grozić przedsiębiorcy za niestosowanie się do RODO:

Od czego zależeć będzie wysokość kary?

W kontekście kar finansowych za nieprzestrzeganie RODO należy pamiętać o jednej ważnej rzeczy. Mianowicie jak sama nazwa rozporządzenia o ochronie danych osobowych wskazuje, jest ono „ogólne”, tj. dotyczy każdego podmiotu, a więc małego sklepiku szkolnego, niewielkiego biura rachunkowego czy małego gabinetu lekarskiego, ale także ogromnych przedsiębiorstw zatrudniających tysiące pracowników. Stąd omówione wyżej wysokości kar za konkretne naruszenia są wielkościami maksymalnymi i oczywistym jest, że w tych kwotach nie będą one dotyczyły mikroprzedsiębiorców (małych firm).

Kary każdorazowo dostosowywane będą m.in. do wielkości przedsiębiorstwa, które naruszyło swoje obowiązki w zakresie RODO. Jest też kilka innych czynników, które ostatecznie wpłyną na wysokość kary. Przede wszystkim należy zwrócić uwagę na charakter, wagę i czas trwania naruszenia przy jednoczesnym uwzględnieniu:

1. charakteru, zakresu lub celu danego przetwarzania,
2. liczby poszkodowanych osób, których dane dotyczą,
3. rozmiaru poniesionej przez nie szkody;
4. umyślnego lub nieumyślnego charakter naruszenia;
5. działań podjętych przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
6. stopnia odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych przez nich środków technicznych i organizacyjnych;
7. wszelkich wcześniejszych naruszeń ze strony administratora lub podmiotu przetwarzającego;
8. stopnia współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
9. kategorii danych osobowych, których dotyczyło naruszenie.

Dopiero przy uwzględnieniu wyżej wymienionych czynników stosowny organ, którym w Polsce będzie Prezes Urzędu Ochrony Danych Osobowych, wymierzyć będzie mógł odpowiednią karę finansową.

Co zrobić, aby uniknąć kar?

Jeżeli chcecie Państwo uniknąć problemów związanych z karami za naruszenie ogólnego rozporządzenia o ochronie danych osobowych, najlepiej byłoby już dzisiaj zacząć się przygotowywać do nowych regulacji. RODO zacznie obowiązywać już 25 maja 2018 roku – w tym dniu każdy przedsiębiorca będzie musiał mieć już przygotowane odpowiednie procedury na wypadek np. kontroli, czy wycieku danych.

Dlatego tak ważne jest jak najszybsze przeprowadzenie audytu zgodności procesów związanych z administrowaniem danymi osobowymi w Państwa przedsiębiorstwach z wymogami RODO jeszcze przed tą datą. Ze swojej strony, jako Fundacja, oferujemy Państwu bezpłatny audyt, który pomoże znaleźć te obszary, które wymagają poprawy. Nasza oferta znajduje się pod tym linkiem. Znajduje się tam również formularz kontaktowy – ewentualnie mogą Państwo wysłać do nas zapytanie w formie e-mail na adres: kontakt@fundacjaentropia.pl

Artykuł Kary finansowe za niewdrożenie RODO pochodzi z serwisu .

Jak było dotychczas i co się zmienia?

Obecnie obowiązująca ustawa z 1997 roku o ochronie danych osobowych nie przewidywała żadnych kar finansowych za jej nieprzestrzeganie. Zawiera ona sankcje administracyjne i karne. Przykładowo zgodnie z art. 49 ust. 1 ustawy o ochronie danych osobowych: „Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.

Kiedy zacznie obowiązywać RODO, oprócz zmiany całego systemu postrzegania danych osobowych i ich ochrony, zmienią się również prawne konsekwencje nieprzestrzegania tych przepisów. W rozporządzeniu zrezygnowano z sankcji karnych, co nie oznacza jednak, że przedsiębiorcy nie muszą się niczym przejmować. Wprowadzono bowiem środki dyscyplinujące o charakterze administracyjnym oraz administracyjne kary pieniężne.

Niewątpliwie w niektórych przypadkach lekceważone kary administracyjne mogą być dla przedsiębiorców bardziej kłopotliwe niż sankcje pieniężne, ponieważ te drugie poza finansową dolegliwością nie mają wpływu na funkcjonowanie podmiotu przetwarzającego dane osobowe.

Wśród sankcji administracyjnych wskazanych w art. 58 rozporządzenia wymienia się m.in.:

a) ostrzeżenia wydawane administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;

b) udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;

c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;

d) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;

e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;

f) wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;

g) nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;

h) cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane.

Najbardziej dotkliwe sankcje mogą spowodować bardzo poważne utrudnienia w funkcjonowaniu Państwa przedsiębiorstwa. Pragnę zwrócić uwagę w szczególności na punkt f) powyżej. W przypadku jego zastosowania, w wielu przypadkach oznaczałoby to w zasadzie uniemożliwienia prowadzenia działalności w ogóle. Często bowiem bez przetwarzania danych nie możecie wykonywać Państwo swoich obowiązków zawodowych.

Kary pieniężne – istotna nowość

Tak jak wskazałem powyżej, dotychczas nie było kar finansowych. Obecnie natomiast będą one mogły być one stosowane jako jedyna sankcja dla przedsiębiorcy, ale także będą mogły towarzyszyć wyżej opisanym karom administracyjnym – być wymierzone obok tych kar, jako dodatkowa dolegliwość dla przedsiębiorcy. RODO dopuszcza łączenie kar.

Z uwagi na obszerność tematu, kwestia wysokości kar finansowych i sposobu ich wymierzania omówiona została w tym artykule.

Od kiedy zaczną obowiązywać przepisy o karach?

Podobnie jak całe ogólne rozporządzenie o ochronie danych osobowych, tak i omówione wyżej przepisy dyscyplinujące, ze wszystkimi ich możliwymi konsekwencjami zaczną obowiązywać już 25 maja 2018 roku. Dlatego tak ważne jest jak najszybsze przeprowadzenie audytu zgodności procesów związanych z administrowaniem danymi osobowymi w Państwa przedsiębiorstwach z wymogami RODO jeszcze przed tą datą. Ze swojej strony, jako Fundacja, oferujemy Państwu bezpłatny audyt, który pomoże znaleźć te obszary, które wymagają poprawy. Nasza oferta znajduje się pod tym linkiem. Znajduje się tam również formularz kontaktowy – ewentualnie mogą Państwo wysłać do nas zapytanie w formie e-mail na adres: kontakt@fundacjaentropia.pl

Artykuł Kary za niedostosowanie swojej działalności do RODO pochodzi z serwisu .