Środki nacisku organu oraz kary pieniężne w RODO

Sankcje i kary pieniężne w RODO

Kary nakładane przez GIODO to jeden z tych tematów, wokół którego narosło wiele mitów, często nieprawdziwych. W  szczególności dotyczyły tego, że mógł on i może nadal nakładać kary pieniężne za złamanie przepisów u.o.d.o. np. w zakresie niewystarczającej ochrony lub też nieuprawnionego udostępnienia danych osobowych przez Administratora. Aktualnie funkcjonujący organ kontrolny nie nakłada i nie nakładał kar pieniężnych za złamanie przepisów u.o.d.o. Administracyjne kary pieniężne jakie mógł nałożyć GIODO mogły być wynikiem niewykonania uprzednio wydanej przez niego decyzji.

Sytuacja ulega zmianie po 25 maja 2018 r. tj. po dacie, od której bezpośrednio stosowane będzie RODO. Ustanowiony po tej dacie organ nadzorczy a więc Prezes Urzędu Ochrony Danych, podobnie jak GIODO w ramach podstawowych zadań będzie, zgodnie z art. 57 ust. 1 lit. a ogólnego rozporządzenia o ochronie danych, monitorował i egzekwował stosowanie rozporządzenia. Nie należy jednak zapominać, że nie tylko do takich działań ograniczać się będzie aktywność PUOD. Równie ważna, jeśli nie istotniejsza, w pierwszych miesiącach bezpośredniego stosowania RODO, będzie realizacja przypisanego mu obowiązku „upowszechniania w społeczeństwie wiedzy o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem (…)

oraz „upowszechniania  wśród administratorów i podmiotów przetwarzających wiedzy o obowiązkach”, których kilka nowych się pojawi.

Zanim PUOD wymierzy karę

Niestety jest tak, że wiele podmiotów, próbujących wykorzystać szansę spieniężenia mody na ochronę danych, buduje narrację jakoby kary przewidziane w RODO były nieuniknione i miały dotknąć większość przedsiębiorców. Chyba, że skorzysta się z ich pomocy.

Dla tych, którzy ochroną danych zajmują się nie od dziś sytuacja ta przypomina trochę początek roku 2015, gdy zmieniały się przepisy w zakresie działalności i rejestrowania ABI. Wtedy też pojawiały niczym nieuzasadnione pogłoski, że za brak posiadania i zarejestrowania ABI są kary. Pogłoski, na które GIODO musiał reagować w formie komunikatów publikowanych na swojej stronie.

W kontekście środków i narzędzi, jakimi przyszły organ ochrony danych, będzie mógł „dyscyplinować” Administratorów danych, warto zauważyć alternatywę wskazaną w art. 83 ust. 1 RODO, zgodnie z którym „Administracyjne kary pieniężne nakłada się (….) oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) oraz j).”

Wskazany w w/w artykule wachlarz alternatywnych uprawnień naprawczych, jakimi PUOD będzie dysponował jest dość szeroki. Nie bez powodu rozpoczyna się od możliwości wydawania Administratorowi danych oraz podmiotowi przetwarzającemu ostrzeżeń dotyczących możliwości naruszenia przepisów. Jeśli to nie poskutkuje i ostrzeżone podmioty nie zmodyfikują procesów przetwarzania POUD będzie mógł iść krok dalej i upomnieć podmiot, który dopuścił się naruszenia przepisów ogólnego rozporządzenia w sprawie ochrony danych. Efektem takiego upomnienia może być nakaz dostosowania operacji przetwarzania do przepisów (…), a w stosownych przypadkach wskazanie sposobu i terminu. Jak widać oprócz ogólnikowego nakazu „popraw się” Administrator danych będzie też mógł liczyć na sugestie i podpowiedzi jak tego dokonać.

Ograniczenie przetwarzania

Dość mocnym i czasem skuteczniejszym niż groźba administracyjnej kary pieniężnej może być wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania. Konieczność realizacji wydanego przez organ nakazu lub zakazu w dłuższej perspektywie czasowej może okazać się dla podmiotu nim objętego katastrofalna w skutkach i boleśniejsza niż niewielka kara pieniężna. Np. konieczność zawiadomienia osób, których dane dotyczą o naruszeniu ochrony ich danych, co skutkować może utratą zaufania do firmy i odpływem klientów.

Czas pokaże, ale pewnie będzie tak, że część środków nacisku stosowana będzie przez organ w wyniku postępowania zainicjowanego przez osobę, której dane dotyczą, a właściwie w wyniku niezrealizowania jej żądań. Dlatego też organ nadzorczy będzie mógł, zgodnie z art. 58 ust. 2 lit. c RODO.

nakazać administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia”.

Odpowiednio może wiązać się to z koniecznością sprostowania lub usunięcia danych osobowych a także powiadomienia odbiorców danych o konieczności usunięcia upublicznionych wcześniej danych osób, które żądanie kierują.

Na długiej liście środków nacisku organu nie mogło również zabraknąć możliwości cofnięcia udzielonej wcześniej certyfikacji lub nakazania podmiotowi certyfikującemu cofnięcia lub nieudzielenia certyfikacji. To z kolei, jeśli już mechanizm przewidziany w art. 42 RODO zacznie być stosowany, może być istotne dla podmiotów ubiegających się o udzielenie zamówień publicznych. Można już bowiem usłyszeć głosy, iż posiadanie w przyszłości certyfikatu potwierdzającego zgodność procesów przetwarzania
z zasadami wynikającymi z RODO, może być w postępowaniu o udzielenie zamówienia odpowiednio premiowane.

RODO

Kary pieniężne

Dopiero art. 83 ust. 2 lit. i unijnego rozporządzenia odnosi się do możliwości nałożenia przez PUOD kar pieniężnych, które niestety w mediach nagłaśniane są niesłusznie jako główny efekt RODO.

Owszem  kary pieniężne, mogą być bardzo dotkliwe, aż do 20 mln euro lub  4% rocznego obrotu (chyba że jesteśmy podmiotem publicznym.
W tym przypadku przygotowywana ustawa krajowa ogranicza maksymalny wymiar kary do 100 000 zł).
Całe szczęście z uchwalonego przez sejmu projektu ustawy zniknęła, planowana jeszcze w wersji z lutego 2018 r., koncepcja dotycząca Funduszu Ochrony Danych, który zasilać miały środki w wysokości 1%  od kar nałożonych przez PUOD.

Pamiętać trzeba o tym, że zanim PUOD wymierzy karę pieniężną musi wziąć pod uwagę sugestie zawarte w motywie 148 RODO. Owszem zakłada on egzekwowanie przepisów, a za naruszenie rozporządzenia nakładanie sankcji, w tym administracyjnych kar pieniężnych, ale oprócz lub zamiast odpowiednich środków przewidzianych w rozporządzeniu.

Warto pamiętać sugestię zawartą w przywołanym motywie, która mówi, że „jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia.”

Kluczowe dla doboru sankcji przez organ nadzorczy będzie miał charakter, waga oraz czas trwania naruszenia, oraz to czy naruszenie nie było umyślne. Ważne będzie też to, jakie działania podjął Administrator danych dla zminimalizowania skutków naruszenia. Co to oznacza?

Indywidualne podejście

PUOD, w ramach reakcji, będzie musiał dobrać odpowiedni środek naprawczy. Art. 83 ust. 1 RODO mówi wyraźnie, aby kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.

Nigdzie jednak nie określono „widełek” jakie można przypisać poszczególnemu naruszeniu. Określony został jedynie górny pułap kwot jakie mogą zostać wymierzone w wyniku postępowania organu.

Wpływ na podejście organu może mieć również sposób, w jaki dowiedział się on o naruszeniu i co kluczowe – stopień spełnienia przez Administratora danych, wynikającej z RODO zasady rozliczności.

Grupa ds. art. 29 w swoich wytycznych w sprawie stosowania i ustalania kar administracyjnych w rozumieniu Rozporządzenia 2016/679 sugeruje również pytania, jakie powinien postawić sobie organ nadzorczy w procesie oceny naruszenia.

Np. jakich kategorii danych dotyczy naruszenie oraz czy Administrator danych osiągnął korzyści ze zidentyfikowanego naruszenia oraz jak współpracował z organem w celu wyjaśnienia sytuacji.

Dobór indywidualnego środka przez organ ma prowadzić do osiągnięcia celu nadrzędnego. Celem tym jest nie tylko ukaranie ale i  przywrócenie zgodności z przepisami rozporządzenia.

Pamiętać należy jednak również o tym, co podkreśla w swoich wytycznych Grupa ds. art. 29, że „zamiana kary pieniężnej na upomnienie jest jedynie możliwością, a nie obowiązkiem organu nadzorczego”. Dopiero czas i wypracowana praktyka pokaże, które podejście organu przeważy i jaki cel zwycięży: przywracanie stanu pożądanego, czy też reperowanie budżetu państwa, chociaż …jeden drugiego nie wyklucza.

Polecamy również: Rekrutacja, a zasady RODO

Może Ci się również spodoba