Rozporządzenie RODO, a raczej Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/, bo taka jest oficjalna nazwa aktu prawnego, niesie za sobą wiele zmian dla podmiotów przetwarzających dane osobowe osób fizycznych. Jest to największa zmiana ustawodawcza w zakresie danych osobowych w ustawodawstwie krajowym od 21 lat.

Nadchodząca rewolucja w ochronie danych osobowych osób fizycznych nastąpi także w zakresie sankcji za nieprzestrzeganie ustawy.

Czy za wyrzucenie do śmietnika w firmie lub poza nią, notatek zawierających dane osób fizycznych, albo za utracenie bazy danych kontrahentów, które mogą zostać ujawnione innym osobom firma może podlegać ochronie rozporządzenia RODO?

Czy monitoring wizyjny, gromadzący dane osobowe w postaci wizerunków osób, ich zachowania czy numery rejestracyjne pojazdów powinien być w szczególny sposób nadzorowany?

Dotychczasowa ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych przewidywała dwa rodzaje sankcji za naruszenie przepisów ustawy: sankcje administracyjne określone oraz sankcje karne.

W nowym rozporządzeniu RODO sytuacja będzie wyglądała inaczej.

Zastosowanie będą miały środki prawne o charakterze administracyjnym oraz administracyjne kary pieniężne. Nie będzie co do zasady sankcji karnych.

Środki dyscyplinujące wg RODO

Podzielono je na środki stricte administracyjne oraz administracyjne kary pieniężne.

Sankcje administracyjne mogą być dla podmiotów przetwarzających dane bardzie dotkliwe niż sankcje pieniężne, gdyż te poza finansową dolegliwością nie mają wpływu na funkcjonowanie podmiotu przetwarzającego dane osobowe.

Wśród sankcji administracyjnych wskazanych w art. 58 rozporządzenia wymienia się m.in.:
a) ostrzeżenia wydawane administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;
b) udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;
c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;
d) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;
e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
f) wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
g) nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
h) cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;

Najbardziej dotkliwe sankcje mogą spowodować poważne utrudnienia w funkcjonowaniu podmiotu przetwarzającego dane osobowe osób fizycznych.

Administracyjne kary pieniężne

Rozporządzenie RODO wskazuje, iż wśród administracyjnych kar pieniężnych występują kary pieniężne w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa w wysokości 2 % jego całkowitego, rocznego światowego obrotu z poprzedniego roku obrotowego przy czym zastosowanie ma kwota wyższa.
Nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust.2. podlega na mocy ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 mln euro, a w przypadku przedsiębiorstwa w wysokości 4 % jego całkowitego, rocznego światowego obrotu z poprzedniego roku obrotowego przy czym zastosowanie ma kwota wyższa.

Groźny miks kar

Rozporządzenie dopuszcza dość niebezpieczną furtkę w postaci możliwego łączenia środków administracyjnych oraz administracyjnych sankcji karnych kar pieniężnych

Jako to wygląda w praktyce?

Art.58 par. 2 lit. i. traktuje iż „Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze: […] „zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy”.

To właśnie powyższy przepis umożliwia łączenie środków prawnych o charakterze ściśle administracyjnym wymienionych w art. 58 par. 2 z administracyjnymi karami pieniężnymi wymienionymi w art. 83 rozporządzenia. Takie rozwiązanie może stanowić zbyt dolegliwą karę dla podmiotu przetwarzającego dane osobowe, gdyż w przypadku niekontrolowanego „wycieku” danych osobowych, podmiot przetwarzający niezależnie od otrzymanego np. zakazu dalszego przetwarzania danych osobowych, co może spowodować paraliż firmy, może zostać obciążony dodatkową administracyjną karą pieniężną.

Pamiętać jednak należy, że nałożenie odpowiedzialności przez organ nadzorczy w stosunku do podmiotu przetwarzającego dane, zawsze będzie jednak musiało uwzględniać ustanowione w rozporządzeniu zasady: proporcjonalności, skuteczności oraz prewencji.

W praktyce oznacza to, że „przysłowiowa kara” musi odpowiadać wadze naruszenia i ma jednocześnie niwelować dalsze naruszenia w przyszłości.

Prewencja ogólna polega na zapobieganiu naruszeniom ustawy w przyszłości, prewencja szczególna, jak i zasada skuteczności ma na celu oddziaływanie na podmiot, który dopuścił się naruszenia, natomiast zasada proporcjonalności ma na celu wyważenie stosunku pomiędzy karą, a naruszeniem przepisu ustawy.

Rozporządzenie nie wyklucza także możliwości stworzenia innego systemu odpowiedzialności przez ustawodawcę krajowego. Dotyczy to możliwości powołania przepisów karnych regulujących materię rozporządzenia.

W przypadku ewentualnego naruszenia przepisów ustawy krajowej, nałożenie odpowiedzialności przez organ nadzorczy będzie musiało być w swojej dolegliwości odpowiednie, niezbędne, proporcjonalne i zastosowane z zachowaniem prawa podmiotu naruszającego do wysłuchania przed zastosowaniem środka oraz stosowania środka bez nadmiernych kosztów i niedogodności dla podmiotu naruszającego.

Ewentualny spór z organem nadzorczym stosującym swoje uprawnienia wynikające z rozporządzenia RODO będzie odbywał się w oparciu o krajowy porządek prawny tj. ustawę Kodeks postępowania administracyjnego oraz na etapie odwoławczym o ustawę Prawo o postępowaniu przed sądami administracyjnymi.

Rozporządzenie RODO, a następnie znowelizowana ustawa o ochronie danych osobowych stanowi wyzwanie dla podmiotów sektora publicznego oraz przedsiębiorców w zakresie ochrony danych osobowych. Jednakże dostosowanie wewnętrznych procesów danych osobowych uchroni powyższe podmioty przed dolegliwościami wskazanymi w treści rozporządzenia.

adwokat Stanisław Zawadowski, Obligo&Krauss Kancelaria Prawna sp.k