Kary pieniężne za przetwarzanie danych osobowych niezgodnie z prawem to nowe rozwiązanie, które wprowadzi Ogólne rozporządzenie o ochronie danych osobowych (RODO). Do tej pory za niezgodne z prawem przetwarzanie danych osobowych GIODO (od wejścia w życie RODO GIODO zmieni nazwę na Urząd Ochrony Danych Osobowych – „UODO”) nie nakładało kar pieniężnych, ponieważ ustawa o ochronie danych osobowych nie zawierała ku temu podstaw. Celem RODO jest efektywniejsza ochrona danych osobowych, co ma zostać osiągnięte między innymi przez wspomniane kary pieniężne. Jaka będzie wysokość kar pieniężnych i za co GIODO będzie mogło je nakładać?
Różne kary za różne przewinienia
Zasadą, którą wprowadza RODO jest zróżnicowanie wysokości kar pieniężnych i uzależnienie ich wysokości od wielu czynników. RODO wyróżnia przy tym dwie podstawowe grupy naruszeń zasad przetwarzania danych osobowych i wprowadza różną maksymalną wysokość kar pieniężnych.
Kary pieniężne za przetwarzanie danych osobowych – grupa pierwsza
Pierwsza grupa, zagrożona łagodniejszą sankcją do 10.000.000 euro dotyczy sytuacji, w których charakter przewinienia jest nie dotyczy obowiązków o charakterze podstawowym. Wśród tych przypadków można wymienić pozyskanie przez administratora świadczącego usługi społeczeństwa informacyjnego zgody dziecka na przetwarzanie jego danych osobowych z naruszeniem przepisów. Kary pieniężne za przetwarzanie danych osobowych z tej grupy mogą być również nakładane na podmioty certyfikujące.
Kary pieniężne za przetwarzanie danych osobowych – grupa druga
Druga grupa sytuacji związanych z naruszeniem przepisów RODO jest zagrożona karą pieniężną do 20.000.000 euro. Sankcja tej wysokości może zostać wymierzona za naruszenie podstawowych i fundamentalnych zasad przetwarzania danych osobowych. Jedyną z sytuacji, za którą wymierzenie tak wysokiej kary będzie możliwe jest naruszenie warunków udzielania zgody na przetwarzanie danych osobowych. Również naruszenie przepisów RODO o przetwarzaniu szczególnych danych osobowych (np. danych o stanie zdrowia) jest zagrożone wyższą karą pieniężną. Ponadto, naruszenie uprawnień osób, których dane są przetwarzane, w tym prawa do bycia zapomnianym może się spotkać z surowszą karą.
Przesłanki wymierzenia kary pieniężnej
RODO stanowi, że przed wymierzeniem kary pieniężnej za niezgodne z prawem przetwarzanie danych osobowych GIODO (UODO) będzie zobowiązane wziąć pod uwagę następujące okoliczności:
-
charakter, wagę i czas trwania naruszenia,
-
umyślny lub nieumyślny charakter naruszenia,
-
działania podjęte przez administratora w celu w celu zminimalizowania szkody,
-
stopień współpracy z GIODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
-
stosowanie zatwierdzonych mechanizmów certyfikacji,
-
kategorie danych osobowych, których dotyczyło naruszenie.
Nakładając karę pieniężną, GIODO (UODO) będzie musiało wykazać, że kara odpowiada powyższym wytycznym ustanowionym w art. 83 RODO. Nie można jednak zapominać, że celem nakładania kar pieniężnych jest to, aby było ona zawsze skuteczne, proporcjonalne i odstraszające.
Obawiasz się kar pieniężnych za przetwarzanie danych osobowych? Skontaktuj się z nami. Pomożemy Ci przygotować się na wejście w życie RODO.