Kary RODO, czyli ile tak naprawdę możemy zapłacić?
Kary administracyjne, czyli finansowe, ogłoszone w rozporządzeniu unijnym wywołują więcej emocji niż obowiązki, jakie nowe prawo narzuca. Należy również pamiętać, że w wyniku naruszeń unijnych przepisów może nas dotknąć odpowiedzialność cywilna czy odpowiedzialność karna. A te roszczenia także mogą być niemałe, jeśli zostaniemy pozwani przez właściciela danych osobowych, których przetwarzanie naruszyliśmy. Ich wysokość będzie regulowana poza unijnym rozporządzeniem.
W ramach odpowiedzialności administracyjnoprawnej wysokość kar wskazanych w RODO waha się do 10 milionów euro i 2% wartości rocznego światowego obrotu przedsiębiorstwa w niektórych przypadkach lub do 20 milionów euro i 4% wartości obrotu. To górne progi kar w całej Unii Europejskiej, ale o ich wysokości będą decydować lokalne organy ochrony danych osobowych, w przypadku naszego kraju będzie to PUODO, który zastąpił GIODO. Dla administracji publicznej i instytucji kultury te kwoty już są odpowiednio mniejsze i będą wynosić maksymalnie 100 tysięcy złotych (dla administracji) i maksymalnie 10 tysięcy złotych (dla instytucji kultury).
Jakie jeszcze kary oprócz finansowych?
Jednak nim dojdzie do finansowych obciążeń, jest jeszcze wiele środków, które może zastosować organ kontrolny. Mówi o tym między innymi punkt 148 rozporządzenia unijnego, wskazując tzw. “środki naprawcze”. Powstał również katalog tak zwanych okoliczności łagodzących, które trzeba każdorazowo wziąć pod uwagę przed jej zastosowaniem. Ogólnie można stwierdzić, że w zasadzie podmiot, który stara się unijne rozporządzenie przestrzegać, wprowadza zmiany, politykę bezpieczeństwa i działania, które mają służyć poprawie bezpieczeństwa, może liczyć na łagodniejsze potraktowanie.
Kary przewidziane przez RODO obejmują więc takie działania, jak ostrzeżenie czy udzielenie upomnienia w przypadku naruszenia przepisów poprzez operacje przetwarzania.
Do kolejnego środka naprawczego zaliczymy wprowadzenie czasowego zakazu przetwarzania danych osobowych. Następny na liście będzie stały zakaz przetwarzania danych osobowych. Organ nadzorczy może nakazać zawiadomienie osoby, której dane dotyczą o ich naruszeniu, jak również nakazać wypełnienie roszczeń z tym naruszeniem związanych. Kolejnym środkiem może być nakaz dostosowania się do przepisów unijnych, jeśli zostaną stwierdzone nieprawidłowości, bez kar finansowych. Można również zobowiązać podmiot przetwarzający do usunięcia lub sprostowania przetwarzanych danych, jak również pozbawić go certyfikacji.
Jak chronić się przed karami?
Według rozporządzenia kary muszą być odstraszające, ale również adekwatne do przewinień, co oznacza, że trudno będzie otrzymać karę wielomilionową. To dobra informacja, jednak warto pamiętać, że kara pozafinansowa jest traktowana jako ostrzeżenie i kolejna może już oznaczać poważne kłopoty finansowe. Jak się przed nimi chronić?
W przypadku przepisów unijnych, z pewnością najlepiej sprawdzi się stare powiedzenie, że to wiedza daje przewagę. Chcąc prawidłowo realizować obowiązek w tym zakresie, warto wybrać się na szkolenie z ochrony danych osobowych, na którym poznamy nie tylko kary przewidziane przez RODO, ale przede wszystkim najważniejsze obowiązki z niego wynikające. A warto to zrobić, gdyż kary pieniężne mogą być bardzo kuszące dla władz - pieniądze pozyskane w ten sposób trafią wprost do budżetu.
Artykuł powstał przy współpracy z firmą szkoleniową Proxymo.