Za niecały rok zastosowanie będą miały przepisy europejskiego rozporządzenia o ochronie danych osobowych (RODO). Istotnym narzędziem nowego urzędu, który zastąpi GIODO, przymuszającym przedsiębiorców do stosowania nowych regulacji będą kary finansowe – wskazuje ekspert ODO 24. Już 25 maja 2018 r. kary za nieprzestrzeganie prawa w zakresie ochrony danych osobowych sięgać będą nawet 20 mln euro. Krajowy organ nadzorczy będzie mógł nałożyć na przedsiębiorcę karę już w chwili stwierdzenia naruszenia.
Karanie naruszeń obecnie
Według obowiązującego aktualnie prawa GIODO (Generalny Inspektor Ochrony Danych Osobowych) może przede wszystkim nakazywać administratorom danych zapewnienie zgodności z przepisami prowadzonych w organizacji procesów związanych z przetwarzaniem danych osobowych. GIODO nie może nakładać kar za niezgodność z przepisami, a za nieprzywracanie „stanu zgodnego z prawem. W takiej sytuacji przedsiębiorca może być ukarany grzywną w celu przymuszenia do wykonania decyzji GIODO, w przypadku osób prawnych maksymalnie do 200 tys. zł w jednym postępowaniu. Grzywny te są nakładane w postępowaniu egzekucyjnym w administracji – wyjaśnia adw. Marcin Zadrożny, specjalista ds. ochrony danych osobowych, ODO 24.
Należy wskazać, że w ustawie o ochronie danych osobowych są zawarte również przepisy karne. Jednak zawiadomienia o podejrzeniu popełnienia przestępstwa związane z niewłaściwym postępowaniem z danymi zdarzają się bardzo rzadko, a jeśli już się zdarzają to postępowanie sądowe zazwyczaj jest umarzane ze względu na niską szkodliwość społeczną czynu.
Słabością aktualnych przepisów są znikome konsekwencje dla przedsiębiorców, którzy nie przestrzegają zasad ochrony danych osobowych. System kar i ich wysokość sprawiają, że wielu właścicieli firm decyduje się na nieprzestrzeganie przepisów, bo korzyści płynące z takiego postępowania są większe niż ewentualne negatywne konsekwencje – mówi adw. Marcin Zadrożny.
Zmiany po 25 maja 2018 r.
Po wejściu w życie RODO przedsiębiorcy naruszający przepisy ochrony danych będą mogli być ukarani przez organ nadzorczy już w chwili stwierdzenia naruszenia bardzo surowymi administracyjnymi karami pieniężnymi. Nowe rozporządzenie przewiduje za złamanie istotnych przepisów ochrony danych osobowych karę do 20 mln euro, a w przypadku przedsiębiorstwa – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Niższe kary, do 10 mln euro lub 2% światowego obrotu, przewidziane są w sprawach mniejszej wagi. Każdy przypadek będzie rozpatrywany indywidualnie przez organ nadzorczy, którym – według projektu nowej ustawy o ochronie danych osobowych – będzie w Polsce Prezes Urzędu Ochrony Danych Osobowych (UODO) – wyjaśnia ekspert ODO 24.
Krajowy organ nadzorczy decydując o wysokości kary administracyjnej dla przedsiębiorcy będzie brał pod uwagę m.in.: charakter, wagę i czas trwania naruszenia przy uwzględnieniu zakresu lub celu danego przetwarzania, liczbę poszkodowanych osób oraz rozmiar poniesionej przez nie szkody, umyślny lub nieumyślny charakter naruszenia oraz działania, które podjął administrator lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.
Kary, przewidziane dla organów i podmiotów publicznych za nieprzestrzeganie przepisów o ochronie danych osobowych, mogą zostać obniżone przez każdy kraj członkowski. W projekcie nowej ustawy o ochronie danych osobowych polski ustawodawca proponuje obniżenie kar dla tej grupy co do zasady do 100 tys. zł.
Można założyć, że wysokie kary zmotywują organizacje do przykładania większej wagi do respektowania przepisów o ochronie danych osobowych – mówi adw. Marcin Zadrożny. Przedsiębiorcy, którzy do tej pory nie stosowali się do regulacji normujących ochronę danych osobowych powinni dokładnie zastanowić się, czy nadal będzie to dla nich korzystne zarówno ze względów finansowych jak i wizerunkowych.
