Jakie kary grożą za naruszenie przepisów RODO?

W dotychczasowym stanie prawnym istniały przepisy na wypadek naruszeń ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz. 2016 r., poz. 922, z późn. zm. – dalej: u.o.d.o.), np.:

• „Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2” – art. 49 ust. 1 u.o.d.o.;
• „Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2” – art. 51 ust. 1 u.o.d.o.

Jednak w praktyce regulacje karne nie przyczyniały się do zwiększenia legalności i bezpieczeństwa ochrony danych osobowych. Administratorzy danych osobowych mieli bowiem świadomość, że postępowania karne związane z naruszeniem zasad przetwarzania danych osobowych są wszczynane niezmiernie rzadko, a jeszcze rzadziej kończą się wyrokami skazującymi. Ponadto dotychczasowy Generalny Inspektor Ochrony Danych Osobowych miał stosunkowo niewiele narzędzi prawnych, aby skutecznie wpłynąć na sposób funkcjonowania systemu ochrony danych u poszczególnych administratorów.

W związku z nieefektywnością sankcji prawodawca unijny przyjął inną koncepcję: na administratorów danych osobowych i podmioty przetwarzające, którzy nie przestrzegają RODO, od 25 maja 2018 r. będzie można nakładać kary pieniężne, nieraz w znacznej wysokości. Konieczność zapłaty kary przemawia bowiem znacznie bardziej do wyobraźni niż wizja ewentualnego wszczęcia postępowania karnego.

Przy określaniu wysokości kary pieniężnej za naruszenie przepisów RODO Prezes Urzędu Ochrony Danych Osobowych będzie musiał wziąć pod uwagę:

a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

b) umyślny lub nieumyślny charakter naruszenia;

c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 RODO i art. 32 RODO;

e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

g) kategorie danych osobowych, których dotyczyło naruszenie;

h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 RODO – przestrzeganie tych środków;

j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO; oraz

k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Jeżeli administrator lub podmiot przetwarzający naruszy umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów RODO, całkowita wysokość administracyjnej kary pieniężnej nie będzie mogła przekroczyć wysokości kary za najpoważniejsze naruszenie (art. 83 ust. 3 RODO).

W rozporządzeniu zostały wskazane 2 progi kar pieniężnych:

1. w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego;
2. w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Maksymalny wymiar kary zależy od tego, który przepis RODO został naruszony przez administratora danych osobowych lub podmiot przetwarzający.

Kary w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, grożą za naruszenie następujący przepisów:

• art. 8 RODO – naruszenie warunków wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego,
• art. 11 RODO – naruszenie zasad przetwarzania niewymagającego identyfikacji,
• art. 25 RODO – naruszenie zasad privacy by design lub privacy by default,
• art. 26 RODO – naruszenie obowiązków współadministratorów,
• art. 27 RODO – naruszenie obowiązku wyznaczenia przedstawiciela w przypadku administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii Europejskiej,
• art. 28 RODO – naruszenie obowiązków związanych z powierzeniem przetwarzania danych osobowych,
• art. 29 RODO – naruszenie obowiązku przetwarzania z upoważnienia administratora danych osobowych lub podmiotu przetwarzającego,
• art. 30 RODO – naruszenie obowiązku prowadzenia rejestru czynności przetwarzania danych,
• art. 31 RODO – naruszenie obowiązku współpracy z Prezesem Urzędu Ochrony Danych Osobowych,
• art. 32 RODO – naruszenie zasad bezpieczeństwa przetwarzania danych osobowych,
• art. 33 RODO – naruszenie obowiązku zgłaszania naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych,
• art. 34 RODO – naruszenie obowiązku powiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych,
• art. 35 RODO – naruszenie obowiązku przeprowadzenia oceny skutków dla ochrony danych,
• art. 36 RODO – naruszenie obowiązku przeprowadzenia uprzednich konsultacji z Prezesem Urzędu Ochrony Danych Osobowych,
• art. 37 RODO – naruszenie obowiązku wyznaczenia inspektora ochrony danych,
• art. 38 RODO – naruszenie statusu inspektora ochrony danych,
• art. 39 RODO – naruszenie przepisów dotyczących zadań inspektora ochrony danych,
• art. 41 ust. 4 RODO – naruszenie obowiązków podmiotu monitorującego w razie naruszenia Kodeksu postępowania przez administratora danych osobowych lub podmiot przetwarzający,
• art. 42 RODO –naruszenie obowiązków związanych z certyfikacją,
• art. 43 RODO – naruszenie obowiązków związanych z certyfikacją.

Kary w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, grożą za naruszenie następujący przepisów:

• art. 5 RODO – naruszenie zasad przetwarzania danych osobowych,
• art. 6 RODO – naruszenie zasad przetwarzania danych zwykłych na wymienionej podstawie prawnej,
• art. 7 RODO – naruszenie zasad wyrażania zgody na przetwarzanie danych osobowych,
• art. 9 RODO – naruszenie zasad przetwarzania danych szczególnych (wrażliwych) na wymienionej podstawie prawnej,
• art. 12 RODO – naruszenie zasad przejrzystego informowania, przejrzystego komunikowania i sposobu wykonywania praw przez osobę, której dane dotyczą,
• art. 13 RODO – naruszenie obowiązków informacyjnych wobec osób, których dane dotyczą,
• art. 14 RODO – naruszenie obowiązków informacyjnych wobec osób, których dane zostały zebrane nie bezpośrednio od tych osób,
• art. 15 RODO – naruszenie prawa dostępu do treści danych osobowych,
• art. 16 RODO – naruszenie prawa do sprostowania danych osobowych,
• art. 17 RODO – naruszenie prawa do usunięcia danych (prawa do bycia zapomnianym),
• art. 18 RODO – naruszenie prawa do ograniczenia przetwarzania,
• art. 19 RODO – naruszenie obowiązku powiadomienia o sprostowaniu lub usunięciu danych osobowych albo o ograniczeniu przetwarzania,
• art. 20 RODO – naruszenie prawa do przenoszenia danych osobowych,
• art. 21 RODO – naruszenie prawa do sprzeciwu,
• art. 22 RODO – naruszenie zasad dotyczących zautomatyzowanego podejmowania decyzji, w tym profilowania,
• art. 44 RODO – naruszenie ogólnych zasad w przedmiocie przekazywania danych osobowych do państwa trzeciego,
• art. 45 RODO – naruszenie zasad przekazywania danych osobowych do państwa trzeciego na podstawie decyzji stwierdzającej odpowiedni stopień ochrony,
• art. 46 RODO – naruszenie zasad przekazywania danych do państwa trzeciego z zastrzeżeniem odpowiednich zabezpieczeń,
• art. 47 RODO – naruszenie zasad przekazywania danych osobowych do państwa trzeciego na podstawie wiążących reguł korporacyjnych,
• art. 48 RODO – naruszenie zakazu przekazywania lub ujawniania danych osobowych do państwa trzeciego, w przypadku, gdy jest to niedozwolone prawem Unii Europejskiej,
• art. 49 RODO – naruszenie zasad przekazywania danych osobowych do państwa trzeciego w szczególnych sytuacjach,
• art. 83 ust. 5 lit. e RODO – naruszenie obowiązku zapewnienia Prezesowi Urzędu Ochrony Danych Osobowych dostępu w celu wykonania uprawnień z art. 58 ust. 1 RODO,
• art. 83 ust. 5 lit. e RODO – naruszenie nakazu, tymczasowego lub ostatecznego ograniczenia przewarzania lub zawieszenia przepływu danych osobowych, nałożonego orzeczeniem rzez Prezesa Urzędu Ochrony Danych Osobowych,
• art. 85-91 RODO – naruszenia obowiązków wynikających z prawa krajowego.

Stan prawny obowiązujący na dzień 18.02.2018