Kary w rozporządzeniu ogólnym

Przyjęcie rozporządzenia ogólnego (zwanego dalej także: rodo) w sprawie ochrony danych zbliża się wielkimi krokami. Istotnym i szeroko komentowanym elementem całej reformy jest wprowadzenie do rozporządzenia kar finansowych. Administratorzy danych obawiają się z kolei tych nowych sankcji za nieprzestrzeganie przepisów o ochronie danych, zwłaszcza że ich wysokość może być bardzo dotkliwa.

W rozporządzeniu przewidziano dwa podstawowe wymiary i limity kar. Pierwszy to kary w maksymalnej wysokości do 10 mln euro lub 2% rocznego obrotu w roku finansowym poprzedzającym rok nałożenia kary. Taka kara przewidziana jest za naruszenie różnego rodzaju obowiązków administratora danych lub procesora. Gwarancjom podlegają:

• obowiązek uzyskiwania zgody od opiekuna dziecka poniżej 16. roku życia w przypadku oferowania dziecku usług społeczeństwa informacyjnego,
• zakaz przetwarzania danych osobowych, jeżeli ich przetwarzanie w formie umożliwiającej identyfikację podmiotu danych nie jest już konieczne,
• obowiązek stosowania rozwiązań privacy by design i by default,
• obowiązek uregulowania relacji między współadministratorami zgodnie z wymogami rozporządzenia,
• obowiązek ustanowienia przedstawiciela na terenie UE,
• obowiązek prawidłowego uregulowania relacji z procesorem zgodnie z odpowiednimi postanowieniami rodo,
• zakaz przetwarzania danych przez podmioty i osoby działające pod nadzorem administratora inaczej niż na podstawie wytycznych od administratora,
• obowiązek rejestrowania operacji przetwarzania danych,
• obowiązek współpracy z organem nadzorczym,
• obowiązek odpowiedniego zabezpieczenia danych z uwzględnieniem dostępnych rozwiązań i kosztów ich wdrożenia, a także charakteru, zakresu i kontekstu przetwarzania oraz ryzyk z nim związanych,
• obowiązek zawiadamiania organu nadzorczego o naruszeniach ochrony danych osobowych,
• obowiązek informowania podmiotów danych o naruszeniach ochrony danych osobowych,
• obowiązek szacowania ryzyka i oceny wpływu przetwarzania na prawa i wolności podmiotów danych,
• obowiązek uprzedniej konsultacji z organem nadzorczym, w przypadku gdy w wyniku prowadzonej analizy ryzyka okaże się, że przetwarzanie pociąga za sobą wysokie ryzyko dla praw i wolności podmiotów danych, jeżeli nie zostaną podjęte odpowiednie środki zabezpieczające dane,
• obowiązek wyznaczenia inspektora ochrony danych osobowych i zapewnienia mu odpowiednich gwarancji niezależności,
• zadania i obowiązki inspektora ochrony danych.

Rozporządzenie przewiduje także możliwość nakładania kar wyższych – do 20 mln euro lub do 4% rocznego obrotu w przypadku naruszenia:

• podstawowych zasad przetwarzania danych, włączając w to zasady uzyskiwania zgody,
• praw podmiotów danych,
• zasad transferu danych do państw trzecich lub organizacji międzynarodowej,
• jakichkolwiek obowiązków przewidzianych przez państwa członkowskie w związku z zapewnieniem wolności wypowiedzi, przetwarzaniem danych w zatrudnieniu, przetwarzaniem danych w celach archiwalnych, naukowych, historycznych i statystycznych, z przetwarzaniem danych dotyczących tajemnicy, przetwarzania danych przez kościoły i związki wyznaniowe,
• nakazu czasowego lub definitywnego ograniczenia przetwarzania lub zawieszenia transferów danych przez organ nadzorczy,
• prawa organu nadzorczego dostępu do siedziby administratora lub procesora.

Pamiętać też należy, że wykonywanie przez organ nadzorczy uprawnień do nakładania kar finansowych musi odbywać się z poszanowaniem określonej procedury przewidzianej w prawie krajowym, z zapewnieniem odpowiedniej ścieżki odwoławczej.

Rozporządzenie uwzględnia także przypadki, w których procedury krajowe nie umożliwiają organom nadzorczym bezpośredniego nakładania kar. W takim wypadku przepisy rodo przewidują, że nałożenie kary może być inicjowane przez organ nadzorczy, ale już samo nałożenie kary będzie dokonywane przez umocowany do tego sąd.