Przepisy RODO obowiązują już od jakiegoś czasu. Jednym przedsiębiorcom udało się je wdrożyć bez problemów, inni napotkali pewne trudności. Obecnie jednak postanowienia ustawy działają w miarę sprawnie. Mimo tego wciąż zbyt mało wiadomo na temat tego, co dokładnie grozi instytucjom za naruszenie praw RODO.
Ustanowienie RODO a sankcje prawne
Wokół postanowień RODO od samego początku krążyło bardzo dużo dyskusji. Jest to bowiem zupełnie nowe rozporządzenie, które wciąż budzi sporo obaw i kontrowersji. Jedną z nich są surowe kary, grożące firmom, które nie będą przestrzegać ustalonych przepisów. Czy naprawdę jest się czego bać? Jakich kar możemy się spodziewać za nierespektowanie zasad?
W Polsce organem kontrolującym ochronę danych osobowych jest Urząd Ochrony Danych Osobowych. Cały zespół oraz siedziba tej jednostki znajduje się w Warszawie. W związku z oczywistymi ograniczeniami nie przeprowadza się więc raczej tak zwanych kontroli prewencyjnych. Dochodzi do nich za to w sytuacjach, które mogą zagrozić danym przetwarzanym przez daną firmę lub instytucję. Przykładami takich zdarzeń mogą być:
- kradzież bazy danych;
- przypadkowe ujawnienie danych;
- zniszczenie lub utrata sprzętu, na którym przetwarzano dane;
- uszkodzenie bazy danych (na przykład na skutek awarii).
W takich przypadkach dochodzi do naruszenia ochrony danych osobowych. W następstwie podobnych wydarzeń może dojść do wielu niepożądanych konsekwencji. Wyciek danych może spowodować nawet kradzież tożsamości, szkody majątkowe, a także naruszenie dobrego imienia podmiotu, którego dane dotyczą. Co zrobić, gdy dojdzie do jednej z wymienionych sytuacji?
Przedsiębiorca lub osoba odpowiedzialna, która odnotowała zdarzenie, ma obowiązek zgłosić do Urzędu Ochrony Danych Osobowych wszystkie informacje na temat tego faktu. Ma na to 72 godziny. Najczęściej musi również poinformować osoby, których dane zostały zniszczone lub skradzione. Wyjątek stanowi sytuacja, w której jesteśmy w stanie udowodnić, że naruszenie danych nie będzie miało żadnego szkodliwego wpływu na prawa i wolności osób fizycznych.
Co grozi za naruszenie przepisów RODO?
Warto mieć świadomość, że Urząd Ochrony Danych Osobowych nie nałoży kary za samo zdarzenie (na przykład wyciek danych czy ich utratę). Sankcje prawne pojawią się, jednak jeśli w wyniku kontroli, okaże się, iż doszło do naruszenia przepisów RODO. W takiej sytuacji należy liczyć się z karą pieniężną w wysokości:
- do 10 000 000 euro lub 2% światowego obrotu firmy za poprzedni rok;
- do 20 000 000 euro lub 4% całkowitego obrotu firmy za rok ubiegły.
Sankcje mogą zostać nałożone na przedsiębiorstwo lub instytucję za poważne naruszenie zasad, na przykład niedopełnienie procedur, nieprawidłowości w zakresie zarządzania danymi, uchybienia dotyczące bezpieczeństwa, a także za niezgłoszenie wycieku bądź utraty danych organom nadzorczym.
Faktem jest, że ustawodawca dopuszcza nałożenie ogromnych kar na jednostki, które dopuściły się nieprawidłowości. Dobra wiadomość jest jednak taka, że ostateczna wysokość grzywny zależy od organu nadzorczego. Przed nałożeniem sankcji musi on jeszcze wziąć pod uwagę szereg czynników, takich jak:
- charakter, wagę, a także okres trwania naruszenia przepisów RODO;
- ustalenie, czy było to naruszenie umyślne czy nieumyślne;
- działania, jakie podjął administrator danych w celu zminimalizowania szkód;
- przeszłość administratora (czy było to pierwsze tego rodzaju zdarzenie), a także jego gotowość do współpracy z organem nadzorczym.
Choć przestrzeganie postanowień RODO jest kluczowe, należy przy tym mieć świadomość, że tylko poważne i umyślne spowodowanie naruszenia przepisów może doprowadzić do wymierzenia najwyższej kary. Trzeba jednocześnie zachować czujność w sytuacji, gdy firmy doradcze straszą surowymi sankcjami. Mogą one bowiem w ten sposób wymuszać na przestraszonych przedsiębiorcach korzystania z ich usług.
Celem wysokich kar miało być przede wszystkim przeciwdziałanie nieuczciwym praktykom oraz nadużyciom stosowanym czasem przez olbrzymie koncerny teleinformatyczne.
Naruszenie praw RODO a brak uprawnień do przetwarzania danych
Bezwzględnie i najsurowiej karane są te przedsiębiorstwa lub instytucje, które, nie mając do tego prawa, przetwarzały dane osobowe. Jest to wówczas traktowane jako przestępstwo, a osoby, które się tego dopuściły, mogą otrzymać karę pozbawienia wolności nawet do lat 3!
Co oprócz kar pieniężnych może nas spotkać za naruszenie praw RODO?
Urząd Ochrony Danych Osobowych ma możliwość, oprócz kar pieniężnych, stosowanie tak zwanych uprawnień naprawczych. Są to wszelkiego rodzaju upomnienia, ostrzeżenia, a także wszelkie wytyczne, zakazy i nakazy dotyczące poprawy zaistniałej sytuacji.
Jak uniknąć sankcji?
Najprostszym rozwiązaniem jest przestrzeganie przepisów. Najważniejszymi aspektami są bowiem bezpieczeństwo oraz staranność w zarządzaniu danymi. Warto także zadbać o dokumentację stosowanych procedur i działań. Wtedy, nawet w razie kontroli, będziemy w stanie zaprezentować skuteczną realizację wytycznych. Dobrze również, aby do przetwarzania danych wyznaczyć osoby odpowiedzialne i rzetelne, na przykład inspektora danych osobowych, który będzie nadzorował zarządzanie danymi w naszej firmie.