Kary pieniężne za naruszenie przepisów o ochronie danych osobowych powinny być nakładane rozważnie, ale tak, by działały odstraszająco – wynika z najnowszych wytycznych Grupy Roboczej Art. 29.
W skład tej grupy wchodzą przedstawiciele organów zajmujących się ochroną danych osobowych ze wszystkich państw UE. Sukcesywnie opracowuje ona wytyczne do rozporządzenia o ochronie danych osobowych 2016/679 (RODO), które zacznie być stosowane już za trzy miesiące. Najnowszy dokument jest szczególnie ważny, bo dotyczy kar finansowych, które budzą największe obawy przedsiębiorców. Nic dziwnego, skoro ich górna wysokość to aż 20 mln euro.
„Kary pieniężne są ważnym narzędziem, które organy nadzorcze powinny stosować w odpowiednich okolicznościach. Zachęca się organy nadzorcze do stosowania rozważnego i wyważonego podejścia w zakresie stosowania środków naprawczych, tak aby reakcja na dane naruszenie była zarówno skuteczna i odstraszająca, jak również proporcjonalna. Celem nie jest tu traktowanie kar pieniężnych jako ostateczności, czy też powstrzymywanie się od ich stosowania, lecz nakładanie ich w sposób uniemożliwiający podważanie ich skuteczności jako narzędzia” – napisano w wytycznych.
Chociaż więc sankcje mają być nakładane w sposób wyważony, to przedsiębiorcy, którzy naruszą przepisy o ochronie danych osobowych, nie mogą liczyć na pobłażliwość.
– Psychologicznie odstraszający poziom kar RODO to jedna z głównych motywacji mających podnieść standardy ochrony prywatności. Chodzi jednak nie tylko o wysokość, ale i nieodzowność kar. To musi być rozwiązanie stosowane. Nakładanie kar na poziomie maksymalnym nie powinno więc dziwić – komentuje dr Łukasz Olejnik, badacz i konsultant cyberbezpieczeństwa i prywatności.
– Każdy przypadek musi być rozważany osobno. Przy ustalaniu kar ważna jest proporcjonalność, biorąc pod uwagę naturę, zakres, czas trwania, typ naruszenia, rodzaj danych itd. Zwracam uwagę na niedawną karę w wysokości 400 tys. funtów nałożoną przez brytyjski organ. Kierował się on właśnie proporcjonalnością – m.in. skalą i reputacją administratora – zaznacza ekspert.
Podany przykład dotyczy kary nałożonej przez ICO na firmę Carphone Warehouse za wyciek danych w wyniku cyberataku. W Wielkiej Brytanii, w przeciwieństwie do Polski, od dawno grożą bowiem sankcje finansowe za naruszenie przepisów o ochronie danych. Nasi przedsiębiorcy dopiero przyzwyczajają się do tej myśli. Od 25 maja kary będą mogły być nałożone także na nich. A jak zapowiedziała w wywiadzie dla DGP dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych, z założenia mają one być dotkliwe, tak by działały odstraszająco.
Dokument GR Art. 29 z jednej strony podkreśla, że każda sprawa powinna być badana indywidualnie, z drugiej jednak oczekuje możliwie zharmonizowanego podejścia organów z poszczególnych państw UE. Mówiąc wprost – chodzi o to, by podobna sankcja groziła za takie samo naruszenie w Polsce, we Francji czy w Grecji. Czy jest to osiągalne? Z jednej strony pomóc ma w tym wymiana informacji pomiędzy organami z poszczególnych państw, z drugiej zaś wydane właśnie wytyczne. Omówiono w nich po kolei wszystkie określone w RODO kryteria, które mogą wpływać na ocenę naruszenia. I tak charakter naruszenia, jak również zakres, cel danego przetwarzania, liczba poszkodowanych których dane dotyczą, rozmiar poniesionej przez nie szkody mogą wskazywać na wagę naruszenia. Pod uwagę będzie też brane, czy do naruszenia doszło w sposób umyślny. Wytyczne podpowiadają tu konkretne przykłady, jak chociażby uzyskiwanie i przetwarzanie danych o pracownikach u konkurenta z zamiarem zdyskredytowania tego konkurenta na rynku.
Dokument GR Art. 29 nie wskazuje natomiast w żaden sposób przykładowych kar, jakie mogą być wymierzane za konkretne naruszenia.
– Sztywny przelicznik „menu kar”, nawet na poziomie ogólnym, byłby nietrafiony. Ogólność wytycznych zapewnia elastyczność organom ochrony danych osobowych – ocenia dr Łukasz Olejnik.
20 mln euro w ub 4 proc. całkowitego rocznego obrotu światowego wyniesie maksymalna kara pieniężna za najcięższe naruszenia przepisów o ochronie danych.