RODO – finansowa odpowiedzialność administracyjna
Czy Twój spadochron się otworzy? Czy strach ma wielkie oczy?
W ostatnim czasie we wszystkich niemal serwisach prawnych i blogach prowadzonych przez kancelarie prawne lub ekspertów od ochrony danych osobowych mówi się o karach pieniężnych nakładanych przez Prezesa Urzędu Ochrony Danych Osobowych oraz inne zagraniczne organy nadzorcze na przedsiębiorców naruszających przepisy RODO. Przyjrzyjmy się, czy faktycznie jest się czego obawiać.
Obowiązki vs. środki dyscyplinujące PUODO
Ogólne Rozporządzenie o Ochronie Danych (RODO) nakłada na przedsiębiorców szereg obowiązków związanych z przetwarzaniem danych osobowych. Obejmują one między innymi obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni standard bezpieczeństwa danych osobowych adekwatny do zagrożeń związanych z przetwarzaniem danych osobowych w danym przedsiębiorstwie. Przedsiębiorcy mają również obowiązek właściwego realizowania praw podmiotów danych, w tym szeroko komentowanego i wzbudzającego wiele kontrowersji obowiązku informacyjnego. Aby zapewnić skuteczność wprowadzonych przepisów prawodawca przyznał organom nadzorczym (w Polsce jest nim Prezes Urzędu Ochrony Danych Osobowych) szereg uprawnień, w tym możliwość wprowadzania czasowego lub całkowitego zakazu przetwarzania danych osobowych przez przedsiębiorcę, a także uprawnienia do nakładania dotkliwych kar administracyjnych za naruszenie przepisów RODO.
Administracyjne kary pieniężne
Istnienie administracyjnych kar pieniężnych to fakt na tyle rozpowszechniony, że już od prawie roku skutecznie mobilizuje spółki, urzędników, osoby fizyczne i inne podmioty do wdrożenia w swoich strukturach rozwiązań, które zapewniłyby im zgodność z wymogami RODO. Strach towarzyszący zmianom ma swoje uzasadnienie – zgodnie z art. 83 ust. 4 oraz ust. 5 RODO kary pieniężne sięgać mogą kwoty 10 mln euro, a w przypadku przedsiębiorstwa – 2% rocznego światowego obrotu z poprzedniego roku obrotowego, zależnie która kwota jest wyższa. W przypadku skrajnych naruszeń przepisów RODO kary mogą dochodzić nawet do kwoty 20 mln euro, a w przypadku przedsiębiorstwa – 4 % rocznego światowego obrotu z poprzedniego roku obrotowego, zależnie która kwota jest wyższa. Przedsiębiorca generujący dochód na poziomie nieprzekraczającym równowartości 2 mln euro ma prawo odczuwać lęk nie mogąc wyważyć, czy za nieprzechowywanie dokumentów w biurze w odpowiedniej szafce zamykanej na klucz, bądź z powodu wywieszenia listy pracowników z przypisanym działem zatrudnienia na ścianie, nie ściągnie na siebie przypadkiem kary rzędu 10 czy 15 mln euro.
Normy prawne określone w RODO są sformułowane na tyle ogólnikowo, że w praktyce to na przedsiębiorcy spoczywa ciężar i ryzyko oceny czy stosowane środki bezpieczeństwa danych osobowych i rozwiązania w zakresie realizacji praw podmiotów danych spełniają wymogi prawa.
Kiedy organy sięgają po kary?
Przepisy o karach administracyjnych bynajmniej nie są martwymi regulacjami. Organy nadzorcze z coraz większą chęcią korzystają ze swoich uprawnień. W styczniu bieżącego roku francuska komisja ds. informatyki i wolności (CNIL) nałożyła na spółkę Google LLC rekordową karę 50 mln euro za nieprzestrzeganie przepisów RODO. Regulator stwierdził, że Google nie zastosowała się do nowych przepisów i nie zapewniła użytkownikom wystarczającego wytłumaczenia i przejrzystości co do danych udostępnianych reklamodawcom. W Polsce natomiast w połowie marca tego roku Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Bisnode karę 1 mln złotych uznawszy, że spółka nie dopełniła obowiązku poinformowania przedsiębiorców prowadzących działalność gospodarczą jako osoby fizyczne o tym, że przetwarza ich dane.
Czym kieruje się PUODO nakładając karę?
Na nieco abstrakcyjny przykład podany we wcześniejszym paragrafie artykułu oraz na inne sytuacje mogące budzić wątpliwości, RODO odpowiada normami o miarkowaniu administracyjnych kar pieniężnych. Przepis art. 83 ust. 1 oraz 2 RODO stwierdza, że kary „nakłada się, zależnie od okoliczności każdego indywidualnego przypadku”, w tym uwzględniając charakter, wagę i czas trwania naruszenia, czy jego umyślność. Jeśli przedsiębiorca stara się sumiennie wywiązywać z nałożonych obowiązków, ma tzw. „czystą kartę”, czyli żadne z jego wcześniejszych przedsięwzięć nie wskazuje na podobne naruszenie, a ponadto, w razie zaistnienia naruszenia, współpracuje z organem nadzorczym w celu jego usunięcia oraz złagodzenia ewentualnych negatywnych skutków, przedsiębiorca taki może uniknąć zbyt dotkliwej kary. Znaczącą przesłanką jest również to, w jaki sposób organ dowiaduje się o ewentualnym naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający dane, stosowne naruszenie zgłosił. RODO przewiduje także inne okoliczności łagodzące, nakazując weryfikację, czy w wyniku naruszenia przedsiębiorca uzyskał jakąś korzyść bądź uniknął straty, czy może dopuścił się naruszenia przypadkowo, bez świadomości, bez zamierzonego celu i widocznej premedytacji swojego działania lub zaniechania.
Odstraszające kary
Z drugiej strony kary pieniężne „w każdym indywidualnym przypadku muszą być skuteczne, proporcjonalne i odstraszające” (art. 83 ust. 1 RODO). Ostatnie decyzje organów nadzorczych o nałożeniu potężnych kar pieniężnych na przedsiębiorstwa naruszające przepisy RODO dają podstawy do twierdzeń, że funkcja odstraszająca wiedzie prymat nad pozostałymi funkcjami kar w motywach rozstrzygnięć organów. Nie bez znaczenia pozostaje również okoliczność, że środki z administracyjnej kary pieniężnej stanowią dochód budżetu państwa, co czyni z tego środka prawnego atrakcyjne źródła zasilania finansów publicznych.
Proporcje i zdrowy rozsądek
Należy pamiętać, że RODO to zbiór przepisów, które dotykają właściwie wszystkich branż i przedsiębiorstw na rynku. Adresując normy do tak szerokiej grupy odbiorców, prawodawca zmuszony jest do stosowania pojęć nie do końca określonych. Pomijając jednak aspekt samej trudności w odkodowaniu znaczenia przepisu, Pan Kowalski musi mieć świadomość, że konkretny paragraf odnosi się nie tylko do niego, ale także i w głównej mierze, do ogromnych przedsiębiorstw, podług których kary pieniężne są przewidziane na tak wysokim pułapie. W tym kontekście zarówno obowiązki wynikające z RODO, jak i środki prawne, jakimi dysponuje PUODO winny być zawsze oceniane przez pryzmat konkretnego przedsiębiorstwa, w szczególności rodzaju działań na danych osobowych, skali działalności, ryzyJk związanych z przetwarzaniem danych. RODO obowiązuje niespełna rok i wszyscy, nie wyłączając organów nadzorczych, „uczą się” praktycznego stosowania nowych przepisów. Pozostaje mieć nadzieję, że organy nadzorcze będą kierować się zdrowym rozsądkiem podejmując decyzje w indywidualnych sprawach oraz wydając wytyczne z zakresu stosowania i interpretacji przepisów o ochronie danych osobowych.