O RODO mówi się już wszędzie. Media, przedsiębiorcy, nawet sami obywatele. Nie ma się, czemu dziwić. W końcu 25 maja to epokowa data wprowadzenia rewolucyjnych zmian w zakresie ochrony danych osobowych. Niektórzy komentatorzy mówią nawet, że kontrola wraca w ręce klientów. A myślałeś, co się stanie, jeśli nie na czas nie wdrożysz RODO? Tak. Czekają Cię kary. Tak samo, jak za przetwarzanie danych wbrew nowemu prawu. Jakie? Ostre. Szczegóły za chwilę.

Nie dostosujesz się? Płać!

I to naprawdę spore pieniądze. Dane osobowe są dla wielu firm racją istnienia, walutą. Bez nich mogłyby już teraz zacząć zwijać się z rynku.  Dotychczasowe prawo dość liberalnie podchodzi do restrykcji związanych z właściwym przetwarzaniem danych. Myślisz, że dlaczego raz po raz można słyszeć o aferach z tym związanych. A to tylko wierzchołek góry lodowej. Pomyśl, ile spraw w ogóle nie przedostało się do mediów… RODO ma z tym skończyć.

To właśnie dlatego zawarto w nim zapisy o konkretnych działaniach podmiotów. Koniec z deklaracjami i spisanymi dokumentami. A organy nadzorcze dysponować będą skutecznymi narzędziami kontroli i systemem kat.

Nie będziemy tu przytaczać dotychczasowego taryfikatora. Trzeba jednak przyznać, że w obliczu konsekwencji, jakie potencjalnie mogą ponieść osoby, których prawa zostały naruszone, kary są relatywnie niskie. RODO wprowadza w tej materii jasne, surowe zasady.

W świetle art. 83 RODO wyróżnia dwa rodzaje kar finansowych:

  • jednorazowa w wysokości do 10 mln EUR lub do 2% całkowitego obrotu światowego za zeszły rok obrotowy  – o ile naruszone zostały przepisy dotyczące obowiązków administratora czy podmiotu przetwarzającego, certyfikującego lub monitorującego;
  • jednorazowa w wysokości do 20 mln EUR lub do 4% całkowitego obrotu światowego za zeszły rok obrotowy – o ile naruszenie dotyczyło przepisów o prawach osób, których dane obejmują, podstawowych zasad przetwarzania, przekazywania danych do państw trzecich oraz w przypadku nieprzestrzegania nakazu ograniczenia lub zawieszenia przetwarzania danych.

Jak będzie wyglądała egzekwowania tych zapisów? Trudno w tym momencie powiedzieć, wszystko powinno rozjaśnić się dzięki krajowej ustawie. W europejskim rozporządzeniu możemy przeczytać jednak, że stosowanie kar finansowych ma być rozpatrywanie indywidualnie, a kara ma być przede wszystkim proporcjonalna i skuteczna; ma służyć jako przykład dla innych.

Zajrzyjmy jeszcze na chwilę do punktu 2 art. 83 RODO. Jego treść pomoże doprecyzować kryteria oceny takiego zdarzenia. Koniecznie trzeba zwrócić uwagę na:

  • charakter, wagę, i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych, których dane dotyczą, a także rozmiaru poniesionych przez nich szkód;
  • umyślny lub nieumyślny charakter naruszenia;
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;
  • wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  • kategorie danych osobowych, których dotyczyło naruszenie;
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
  • jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
  • stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42;
  • wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

RODO a ustawodawstwo krajowe

Samo w sobie Rozporządzenie nie zawiera sensu stricte przepisów i sankcji karnych. W Preambule i w art. 84 zawarta została zachęta, by państwa ratyfikujące rozważyły, czy w swoich przepisach nie wprowadzić sankcji karnych za naruszenie jego zapisów.

Po długich konsultacjach społecznych i wcześniejszych próbach, 8 lutego 2018 światło dzienne ujrzał kolejny projekt nowej ustawy o ochronie danych osobowych. Kilka dni później Ministerstwo Cyfryzacji skierowało go do Komitetu do Spraw Europejskich Rady Ministrów. Do Twojej lektury zostawimy dwa artykuły z rozdziału 12:

Art. 101. 1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

  1. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, biometrycznych, o stanie zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Art. 102. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Pełną treść znajdziesz tutaj. Jak się jego droga potoczy? Czas pokaże. Z pewnością będziemy Cię informować o postępach w pracach legislacyjnych w naszym kraju.

Jakby nie zapatrywać się na wszystkie kary i sankcje, RODO to rewolucja, na którą warto być przygotowanym. Zatroszcz się o jego wdrożenie. Wszystko dla dobra Twojego i Twojej firmy. A czasu coraz mniej…