Dzisiejszy post jest trochę wymuszony najnowszymi informacjami odnośnie kary nałożonej na jedną z polskich firm, kwota kary to blisko 1 mln zł. Jeszcze kilka tygodni temu spotkałem się z opinią polskiego przedsiębiorcy, iż RODO to „nadmuchana bańka i kar nie będzie”. Jak widać mocno się pomylił, a to dopiero początek. Dlaczego? Otóż dlatego, że polski przedsiębiorca nadal traktuje dane osobowe w sposób marginalny i twierdzi, że mając klauzule informacyjne „ma RODO” zapominając o całej procedurze przetwarzania danych, dziesiątkach obowiązków nałożonych przez obowiązujące przepisy, dokumentach, umowach, rejestrach i bardzo istotnej świadomości swoich pracowników, czyli szkoleniach, a w dalszej kolejności o kompetentnym Inspektorze Ochrony Danych, którego powinien wybrać na podstawie jego doświadczenia i wiedzy, a nie tylko ze względu na wysokość jego wynagrodzenia (pojawił się nowy projekt zatytułowany: „Projekt rozporządzenia Prezesa Rady Ministrów w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych” , Numer w wykazie prac legislacyjnych KPRM: 254, który przedstawia zalecenia dot. IOD etc..).A teraz trochę litery prawa, otóż artykuł 83 RODO i trzy motywy na jego uzupełnienie. Artykuł wskazujący na rozmiar kar jest przedstawiony w kwotach, natomiast ogólne „miarkowanie” i kryteria powinny być ocenne i zindywidualizowane w stosunku do konkretnego administratora /podmiotu przetwarzającego. Przedstawia się to następująco:
Artykuł 83 zatytułowany
„Ogólne warunki nakładania administracyjnych kar pieniężnych „
jest powiązany z motywami 148,150-151 Ogólnego Rozporządzenia RODO tj. : .
Aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące. Nakładanie sankcji, w tym administracyjnych kar pieniężnych, powinno podlegać odpowiednim zabezpieczeniom proceduralnym zgodnym z ogólnymi zasadami prawa Unii i z Kartą praw podstawowych, w tym skutecznej ochronie prawnej i prawu do rzetelnego procesu.
ponadto: W celu wzmocnienia i zharmonizowania sankcji administracyjnych za naruszenie niniejszego rozporządzenia każdy organ nadzorczy powinien być uprawniony do nakładania administracyjnych kar pieniężnych. W niniejszym rozporządzeniu należy wymienić rodzaje naruszeń oraz wskazać górną granicę i kryteria ustalania związanych z nimi administracyjnych kar pieniężnych, które właściwy organ nadzorczy powinien określać indywidualnie dla każdego przypadku z uwzględnieniem wszystkich stosownych okoliczności danej sytuacji, z należytym uwzględnieniem w szczególności charakteru, wagi, czasu trwania naruszenia i jego konsekwencji, a także środków podjętych w celu zastosowania się do obowiązków wynikających z niniejszego rozporządzenia oraz w celu zapobieżenia konsekwencjom naruszenia lub w celu zminimalizowania tych konsekwencji. Jeżeli administracyjna kara pieniężna jest nakładana na przedsiębiorstwo, to „przedsiębiorstwo” należy do tych celów rozumieć zgodnie z art. 101 i 102 TFUE. Jeżeli administracyjna kara pieniężna jest nakładana na osobę niebędącą przedsiębiorstwem, organ nadzorczy, ustalając właściwą wysokość kary pieniężnej, powinien wziąć pod uwagę ogólny poziom dochodów w danym państwie członkowskim oraz sytuację ekonomiczną tej osoby. Aby wspierać spójne stosowanie administracyjnych kar pieniężnych, można także użyć mechanizmu spójności. Państwa członkowskie powinny określić, czy i w jakim zakresie administracyjnym karom pieniężnym powinny podlegać organy publiczne. Nałożenie administracyjnej kary pieniężnej lub wydanie ostrzeżenia nie wpływa na stosowanie innych uprawnień organów nadzorczych ani innych sankcji na mocy niniejszego rozporządzenia.
I tak w dalszej części art. 83 ust. 4 przewiduje administracyjną karę pieniężną w wysokości do 10 mln EUR, a w przypadku przedsiębiorstwa w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
W/w kwota ma zastosowanie do naruszeń artykułów:
art. 8,11,25-39; 42 i 43; art 41 ust 4;
Art. 83 ust 5 przewiduje administracyjną karę pieniężną w wysokości do 20 mln EURO, a w przypadku przedsiębiorstwa w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
W/w kwota ma zastosowanie do naruszeń artykułów:
art 5,6,7,9, 12-22, 44-49 oraz innych przypadkach wskazanych w kolejnych ustępach artykułu 83 RODO.
Drogi Administratorze Danych/ podmiocie przetwarzający, zweryfikuj czy przestrzegasz przepisy dotyczące przetwarzania danych osobowych zgodnie z RODO, skontroluj czy dobrze wdrożyłeś przepisy obowiązujące od 25 maja 2018 roku nim będzie za późno.