Odpowiedzialność administratora danych osobowych i sankcje na gruncie RODO

Administratorem danych osobowych faktycznie jest każdy przedsiębiorca. W szczególności dotyczy to podmiotów, które zatrudniają pracowników bądź współpracują z osobami fizycznymi w ramach umów zlecenia lub o dzieło, a także świadczących usługi dla konsumentów.

Zgodnie z nowym Rozporządzeniem Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: rozporządzenie), jeżeli dojdzie do naruszenia ochrony danych osobowych, administrator danych lub procesor (podmiot, któremu administrator danych powierzył przetwarzanie danych osobowych) mają nowy obowiązek: zgłoszenia tego faktu odpowiednio: administrator – organowi nadzorczemu, procesor – administratorowi.

Informację o naruszeniu ochrony danych osobowych, które wiąże się z ryzykiem naruszenia praw lub wolności osób fizycznych, administrator powinien zgłosić bez zbędnej zwłoki, w miarę możliwości nie później niż 72 godziny po stwierdzeniu naruszenia. Jeżeli zgłoszenie nastąpi później, administrator jest zobowiązany wyjaśnić, jakie były przyczyny tego opóźnienia. Natomiast w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator powinien o takim naruszeniu zawiadamiać bez zbędnej zwłoki również osobę, której dane dotyczą.

Rozporządzenie ogólne przewiduje ponadto surowsze niż dotychczas konsekwencje niezgodnego z prawem przetwarzania danych. Kary te mają być równoważne we wszystkich państwach członkowskich Unii Europejskiej. Organ nadzorczy będzie mógł wymierzyć administratorowi danych osobowych kary pieniężne. Rozporządzenie przewiduje różne wysokości kar w zależności od charakteru ukaranego podmiotu oraz rodzaju naruszonych obowiązków. Warto dodać, że jeśli w tych samych lub powiązanych operacjach przetwarzania administrator lub procesor naruszył kilka przepisów rozporządzenia, całkowita wysokość kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejszej naruszenia. Nakładając karę pieniężną, organ nadzorczy będzie ją określał indywidualnie dla każdego przypadku, uwzględniając przy tym wszystkie stosowne okoliczności danej sytuacji. Przede wszystkim będzie brał pod uwagę, w szczególności:

  • charakter (umyślny lub nieumyślny), wagę, czas trwania naruszenia i jego konsekwencje,
  • kategorie danych osobowych, których dotyczyło naruszenie, a także historia naruszeń,
  • środki podjęte przez ukaranego w celu zastosowania się do obowiązków z rozporządzenia,
  • działania podjęte przez ukaranego w celu zapobieżenia konsekwencjom naruszenia lub w celu zminimalizowania tych konsekwencji,
  • sposób w jaki organ nadzorczy dowiedział się o naruszeniu,
  • wdrożenie środków nakazanych wcześniej przez organ nadzorczy w ramach uprawnień naprawczych,
  • stosowanie zatwierdzonych kodeksów postępowania,
  • osiągnięte w związku z naruszenie korzyści finansowe lub uniknięcie straty.

Na gruncie art. 83 ust. 4 rozporządzenia organ nadzorczy będzie mógł nałożyć na administratora sankcję do 10 mln euro lub 2 % obrotu za naruszenia ochrony danych osobowych. Przykładowe zaniedbania podlegające grzywnie w wyżej wskazanej wysokości:

  • administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych mających na celu ochronę praw osób, których dane dotyczą,
  • administrator nie zgłosił incydentu w ciągu 72 h, po stwierdzeniu naruszenia, organowi nadzorczemu

Ponadto na podstawie art. 83 ust. 5 rozporządzenia organ nadzorczy będzie mógł wymierzyć karę do 20 mln euro lub 4 % obrotu. Taką karę organ nadzorczy będzie mógł nałożyć m.in. za:

  • naruszenie podstawowych zasad przetwarzania (zasada zgodności z prawem, rzetelności i przejrzystości, zasady ograniczenia celu, minimalizacji danych, poufności oraz rozliczalności)
  • naruszenie praw osób, których dane dotyczą, takich jak prawo do informacji, dostępu do danych, ich sprostowania, usuwania i przenoszenia,
  • naruszenie prawa do sprzeciwu i uprawnienia związane z profilowaniem.

Niniejsza informacja nie stanowi porady prawnej ani podatkowej. Kancelaria nie ponosi odpowiedzialności za wykorzystanie informacji w nim zawartych bez wcześniejszego zasięgnięcia opinii Kancelarii.