Kary w rozporządzeniu ogólnym

Data: 29-02-2016 r.

Zakończyły się trójstronne negocjacje nad ogólnym rozporządzeniem w sprawie ochrony danych osobowych. Niedługo możemy spodziewać się jego przyjęcia.  Tym, co szczególnie może interesować administratorów danych osobowych, są kary za nieprzestrzeganie przepisów o ochronie danych osobowych.

Przyjęcie rozporządzenia ogólnego (zwanego dalej także: rodo) w sprawie ochrony danych zbliża się wielkimi krokami. Istotnym i szeroko komentowanym elementem całej reformy jest wprowadzenie do rozporządzenia kar finansowych. Administratorzy danych obawiają się z kolei tych nowych sankcji za nieprzestrzeganie przepisów o ochronie danych, zwłaszcza że ich wysokość może być bardzo dotkliwa.

W rozporządzeniu przewidziano dwa podstawowe wymiary i limity kar. Pierwszy to kary w maksymalnej wysokości do 10 mln euro lub 2% rocznego obrotu w roku finansowym poprzedzającym rok nałożenia kary. Taka kara przewidziana jest za naruszenie różnego rodzaju obowiązków administratora danych lub procesora. Gwarancjom podlegają:

  • obowiązek uzyskiwania zgody od opiekuna dziecka poniżej 16. roku życia w przypadku oferowania dziecku usług społeczeństwa informacyjnego,
  • zakaz przetwarzania danych osobowych, jeżeli ich przetwarzanie w formie umożliwiającej identyfikację podmiotu danych nie jest już konieczne,
  • obowiązek stosowania rozwiązań privacy by design by default,
  • obowiązek uregulowania relacji między współadministratorami zgodnie z wymogami rozporządzenia,
  • obowiązek ustanowienia przedstawiciela na terenie UE,
  • obowiązek prawidłowego uregulowania relacji z procesorem zgodnie z odpowiednimi postanowieniami rodo,
  • zakaz przetwarzania danych przez podmioty i osoby działające pod nadzorem administratora inaczej niż na podstawie wytycznych od administratora,
  • obowiązek rejestrowania operacji przetwarzania danych,
  • obowiązek współpracy z organem nadzorczym,
  • obowiązek odpowiedniego zabezpieczenia danych z uwzględnieniem dostępnych rozwiązań i kosztów ich wdrożenia, a także charakteru, zakresu i kontekstu przetwarzania oraz ryzyk z nim związanych,
  • obowiązek zawiadamiania organu nadzorczego o naruszeniach ochrony danych osobowych,
  • obowiązek informowania podmiotów danych o naruszeniach ochrony danych osobowych,
  • obowiązek szacowania ryzyka i oceny wpływu przetwarzania na prawa i wolności podmiotów danych,
  • obowiązek uprzedniej konsultacji z organem nadzorczym, w przypadku gdy w wyniku prowadzonej analizy ryzyka okaże się, że przetwarzanie pociąga za sobą wysokie ryzyko dla praw i wolności podmiotów danych, jeżeli nie zostaną podjęte odpowiednie środki zabezpieczające dane,
  • obowiązek wyznaczenia inspektora ochrony danych osobowych i zapewnienia mu odpowiednich gwarancji niezależności,
  • zadania i obowiązki inspektora ochrony danych.

Rozporządzenie przewiduje także możliwość nakładania kar wyższych – do 20 mln euro lub do 4% rocznego obrotu w przypadku naruszenia:

  • podstawowych zasad przetwarzania danych, włączając w to zasady uzyskiwania zgody,
  • praw podmiotów danych,
  • zasad transferu danych do państw trzecich lub organizacji międzynarodowej,
  • jakichkolwiek obowiązków przewidzianych przez państwa członkowskie w związku z zapewnieniem wolności wypowiedzi, przetwarzaniem danych w zatrudnieniu, przetwarzaniem danych w celach archiwalnych, naukowych, historycznych i statystycznych, z przetwarzaniem danych dotyczących tajemnicy, przetwarzania danych przez kościoły i związki wyznaniowe,
  • nakazu czasowego lub definitywnego ograniczenia przetwarzania lub zawieszenia transferów danych przez organ nadzorczy,
  • prawa organu nadzorczego dostępu do siedziby administratora lub procesora.

Pamiętać też należy, że wykonywanie przez organ nadzorczy uprawnień do nakładania kar finansowych musi odbywać się z poszanowaniem określonej procedury przewidzianej w prawie krajowym, z zapewnieniem odpowiedniej ścieżki odwoławczej.

Rozporządzenie uwzględnia także przypadki, w których procedury krajowe nie umożliwiają organom nadzorczym bezpośredniego nakładania kar. W takim wypadku przepisy rodo przewidują, że nałożenie kary może być inicjowane przez organ nadzorczy, ale już samo nałożenie kary będzie dokonywane przez umocowany do tego sąd.

Katarzyna Witkowska, prawnik w Lubasz i Wspólnicy – Kancelaria Radców Prawnych, ekspert w dziedzinie bezpieczeństwa informacji i ochrony danych osobowych, posiada doświadczenie w prowadzeniu audytów oraz szkoleń w tym zakresie, a także w opracowywaniu pełnej dokumentacji ochrony danych osobowych. Redaktor naczelny Portalu ODO

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 38652 )
Array ( [docId] => 38652 )

Array ( [docId] => 38652 )