Co grozi za naruszenie obowiązków określonych w RODO?
Wraz z rozpoczęciem obowiązywania RODO bardzo szeroko komentowane i opisywane były wysokie – sięgające choćby dziesiątek milionów euro – kary za naruszenie obowiązków z zakresu ochrony danych osobowych. To jednak nie wszystko. Obok kar pieniężnych w wysokości do 20 milionów euro, a w przypadku przedsiębiorstwa – do 4% rocznego obrotu, przepisy z zakresu ochrony danych osobowych przewidują ponadto możliwość pociągnięcia do odpowiedzialności cywilnej i karnej. Z uwagi na surowe konsekwencje, warto zatem wiedzieć dokładnie, co grozi przedsiębiorcom za naruszenie obowiązków wynikających z RODO.
Kary pieniężne za naruszenie RODO
Zgodnie z art. 83 ust. 4 i 5 RODO Prezes Urzędu Ochrony Danych Osobowych (PUODO) może nałożyć 2 rodzaje administracyjnych kar pieniężnych za naruszenie RODO:
- w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa lub
- w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Możliwość nałożenia jednej lub drugiej kary zależy od rodzaju uchybień. RODO wymienia naruszenia, które mogą stać się podstawą nałożenia każdej z wymienionych kar.
Na jednostki sektora finansów publicznych (w tym na organy samorządu terytorialnego i organy administracji publicznej) może zostać nałożona kara w wysokości maksymalnie 100 tys. zł. Na państwowe i samorządowe jednostki kultury może natomiast zostać nałożona kara w wysokości maksymalnie 10 tys. zł.
Kara pieniężna może zostać nałożona na administratora danych osobowych, czyli podmiot decydujący o celach i sposobach przetwarzania danych osobowych. Przedmiotowej karze podlega również podmiot przetwarzający dane osobowe, czyli podmiot, który przetwarza dane w imieniu i na zlecenie administratora, na podstawie zawartej z nim umowy o powierzenie przetwarzania danych osobowych.
RODO – Kara do 10 milionów euro lub 2% rocznego obrotu
Kara do 10 milionów euro lub 2% rocznego obrotu może zostać nałożona za łagodniejsze uchybienia. W tym zakresie należy wymienić przede wszystkim naruszenie obowiązku zawarcia umowy o powierzenie przetwarzania danych osobowych. Ponadto podstawą nałożenia kary mogą być także nieprawidłowości w zakresie prowadzenia rejestru czynności przetwarzania danych, niestosowanie należytych zabezpieczeń danych osobowych, czy brak powołania inspektora ochrony danych [o podmiotach zobowiązanych do powołania IOD pisaliśmy w artykule „Inspektor ochrony danych – kto ma obowiązek powołania inspektora danych?”.
Przykłady:
- Najwyższa z nałożonych dotychczas kar pieniężnych – w wysokości ponad 2,8 mln zł (660 tys. euro) została nałożona na sklep internetowy Morele.net. Pomimo iż spółka padła ofiarą ataku hakerskiego, PUODO uznał, iż stosowane przez nią zabezpieczenia organizacyjne i techniczne nie były odpowiednie do istniejącego ryzyka związanego z przetwarzaniem danych osobowych. W ocenie PUODO, na skutek niedostatecznych zabezpieczeń dane ponad 2 milionów osób, których dane osobowe posiadał sklep internetowy dostały się w niepowołane ręce, co skutkowało nałożeniem tak wysokiej kary – decyzja PUODO nr ZSPR.421.2.2019 z dnia 10 września 2019 r. – https://uodo.gov.pl/decyzje/ZSPR.421.2.2019.
- Burmistrz Aleksandrowa Kujawskiego został ukarany karą 40 tys. zł za brak umowy powierzenia z firmą, na której serwerach znajdowały się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego Aleksandrowa Kujawskiego, a także za niezawarcie przedmiotowej umowy z firmą dostarczającą i zajmującą się serwisem systemu dla Urzędu – decyzja PUODO nr ZSPU.421.3.2019 z dnia 18 października 2019 r. – https://uodo.gov.pl/decyzje/ZSPU.421.3.2019.
RODO – Kara do 20 milionów euro lub 4% rocznego obrotu
Surowsza kara – do 20 mln euro lub 4% rocznego obrotu została przewidziana w RODO za poważniejsze uchybienia. Do uchybień takich należy w pierwszej kolejności naruszenie podstawowych zasad przetwarzania danych osobowych. W art. 5 RODO zostało wymienionych 7 takich zasad:
- zasada zgodności z prawem, rzetelności i przejrzystości,
- zasada ograniczenia celu,
- zasada minimalizacji danych,
- zasada prawidłowości,
- zasada ograniczenia czasu przechowywania,
- zasada integralności i poufności,
- zasada rozliczalności.
Wyjaśnienie treści poszczególnych zasad wymaga odrębnego opracowania. W tym miejscu warto natomiast podkreślić, iż zasady określone w RODO nie są jedynie ogólnymi wytycznymi, których jedyną rolą jest wyznaczanie kierunków interpretacji przepisów Rozporządzenia. Zasady stanowią samodzielne obowiązki, których nieprzestrzeganie może skutkować nałożeniem kary pieniężnej, co więcej – kary w wyższej wysokości.
Kara do 20 mln euro lub 4% rocznego obrotu grozi ponadto w przypadku naruszenia praw przysługujących podmiotom danych. Prawa te zostały uregulowane w art. 12-22 RODO. Należy do nich w szczególności prawo do bycia informowanym, do dostępu do danych, do sprostowania danych, do sprzeciwu wobec przetwarzania czy wreszcie prawo do bycia zapomnianym.
Przykład:
- Pierwsza kara pieniężna, jaka została nałożona przez PUODO dotyczyła niewykonania obowiązku informacyjnego wobec osób, których dane przetwarzała ukarana spółka, czyli naruszenia prawa do bycia informowanym (art. 14 RODO). Ukarany podmiot posiadał jedynie adresy zamieszkania tych osób (co istotne, chodzi tu o ponad 6 milionów osób), uznał zatem, iż wysyłanie pocztą tradycyjną takiej ilości przesyłek z informacją o przetwarzaniu danych byłoby niewspółmiernym wysiłkiem. PUOOD nie podzielił tego poglądu, nałożył na spółkę karę pieniężną w wysokości ponad 943 tys. zł i nakazał dopełnić obowiązek informacyjny – decyzja PUODO nr ZSPR.421.3.2018 z 15 marca 2019 r. – https://uodo.gov.pl/decyzje/ZSPR.421.3.2018.
Omawiana kara pieniężna może zostać nałożona nie tylko za naruszenie RODO, będącego aktem prawa unijnego, ale także w związku z niedochowaniem obowiązków w zakresie ochrony danych osobowych, wynikających z polskich ustaw. Przepisy takie znajdują się m.in. w Kodeksie pracy i dotyczą zakresu danych pracownika i kandydata do pracy, które zgodnie z prawem może przetwarzać pracodawca, a także zasad dopuszczalnego monitorowania pracowników.
Wysokość kary za naruszenie RODO
Jak zostało wskazane powyżej, RODO określa jedynie górną granicę administracyjnej kary pieniężnej, która może zostać nałożona za naruszenie. Konkretna wysokość kary jest przedmiotem uznania PUODO. Podejmując rozstrzygnięcie w tym zakresie, organ ma obowiązek uwzględnić całokształt okoliczności naruszenia. o ile naruszenie jest niewielkie, zaś grożąca kara stanowiłaby niewspółmierne obciążenie, PUODO może zamiast tego udzielić jedynie upomnienia. PUODO korzystał już niejednokrotnie z możliwości zastosowania upomnienia, w szczególności w przypadku, gdy naruszenie zostało usunięte przed zakończeniem postępowania prowadzonego przez organ.
Przykład:
- PUODO udzielił upomnienia pewnej szkole podstawowej za wywieszenie na tablicy ogłoszeń w pokoju nauczycielskim pisma zawierającego imię i nazwisko oraz adres zamieszkania jednej z nauczycielek. Zanim postępowanie w sprawie naruszenia zostało zakończone, dane z tablicy usunięto, zatem organ poprzestał jedynie na upomnieniu – decyzja PUODO nr ZSZZS.440.790.2018 z dnia 11 lipca 2019 r. – https://uodo.gov.pl/decyzje/ZSZZS.440.790.2018.
Zgodnie z RODO, podejmując decyzję, czy nałożyć administracyjną karę pieniężną, oraz jaka powinna być jej wysokość, PUODO bierze pod uwagę przede wszystkim charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych osób, a także rozmiar poniesionej przez te osoby szkody. Innymi słowy, PUODO musi uwzględnić, co było przedmiotem incydentu, kto na tym ucierpiał oraz jakie są tego konsekwencje. Dla oceny naruszenia istotny jest ponadto stopień zabezpieczenia danych osobowych, w tym stosowane przez administratora zabezpieczenia techniczne, informatyczne oraz organizacyjne. Ważne jest także, czy do naruszenia doszło po raz pierwszy, czy też podobne sytuacje miały już miejsce w przeszłości. Wpływ na wysokość kary ma nie tylko charakter incydentu, ale także zachowanie administratora już po zaistnieniu i wykryciu naruszenia. o ile administrator podejmuje działania służące zminimalizowaniu szkód wywołanych naruszeniem oraz współpracuje z PUODO w celu usunięcia naruszenia, można oczekiwać, iż kara będzie łagodniejsza. Wpływ na wysokość kary ma również okoliczność, skąd PUODO uzyskał wiedzę na temat naruszenia, tj. czy administrator sam zgłosił naruszenie (co jest jego obowiązkiem), czy też PUODO uzyskał informację z innego źródła. Istotna dla ustalenia wysokości kary jest także ogólna zasada nakładania kar – zgodnie z RODO, kary mają być skuteczne, proporcjonalne i odstraszające.
Odpowiedzialność cywilna za naruszenie RODO
Na skutek naruszenia obowiązków określonych w RODO (np. nienależytego zabezpieczenia danych osobowych i w konsekwencji doprowadzenia do wycieku danych), nierzadko dochodzi do wyrządzenia szkody innym osobom i podmiotom. Szkoda ta może polegać zarówno na uszczerbku na dobrach majątkowych (np. strata finansowa na skutek włamania się na konto bankowe przy użyciu nielegalnie pozyskanych danych osobowych), jak i niemajątkowych (np. krzywda, jakiej osoba doznała wskutek bezprawnego ujawnienia danych o stanie zdrowia, naruszenia sfery prywatności czy dobrego imienia). Ewentualne nałożenie kary pieniężnej na administratora danych osobowych nie stanowi rekompensaty dla osób, które poniosły szkodę na skutek naruszenia. Kary pieniężne są bowiem wyłącznie dochodem budżetu państwa. Osoby poszkodowane muszą zatem dochodzić naprawienia szkody na drodze powództwa do sądu.
Zgodnie z art. 82 ust. 1 RODO, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie. Odpowiedzialność za szkodę na podstawie RODO stanowi modyfikację odpowiedzialności cywilnoprawnej przewidzianej przez Kodeks cywilny. Ustawa o ochronie danych osobowych precyzuje bowiem, iż w zakresie nieuregulowanym w RODO, zastosowanie znajduje Kodeks cywilny.
Odpowiedzialność za szkodę poniesioną na skutek naruszenia RODO może ponieść administrator lub podmiot przetwarzający.
Odpowiedzialność cywilnoprawna za złamanie RODO opiera się na zasadzie winy. Zatem administrator lub podmiot przetwarzający są zwolnieni z odpowiedzialności odszkodowawczej, o ile wykażą, iż nie ponoszą winy za powstałe naruszenie. Użyte w RODO pojęcie „winy” obejmuje zarówno winę umyślną (w zamiarze bezpośrednim i ewentualnym), jak i nieumyślną (lekkomyślność i niedbalstwo).
Odpowiedzialność pracownika za naruszenie RODO
Jak zostało wskazane wyżej, odpowiedzialność administracyjną (możliwość nałożenia kar pieniężnych), jak i cywilną, ponoszą administrator i podmiot przetwarzający. Podmioty te odpowiadają za osoby działające w ich imieniu, w szczególności za pracowników. Na pracownika nie może zostać nałożona kara pieniężna na naruszenie RODO. Podobnie, osoba, której wyrządzono szkodę na skutek naruszenia RODO nie może dochodzić naprawienia szkody od osób zatrudnionych lub współpracujących z administratorem albo podmiotem przetwarzającym. Administrator lub podmiot przetwarzający mogą ewentualnie domagać się od pracownika naprawienia szkody na zasadach określonych w Kodeksie pracy. Zasadniczo górną granicą tej odpowiedzialności będzie zatem 3-krotność wynagrodzenia. Jedynie w przypadku winy umyślnej pracownik może odpowiadać w pełnej wysokości.
Odpowiedzialność karna za naruszenie RODO
Polski ustawodawca przewiduje także sankcje karne za naruszenie RODO. Ustawa z 10 maja 2018 r. o ochronie danych osobowych statuuje dwa czyny zabronione, zagrożone w typie podstawowym karą grzywny, ograniczeniem wolności lub pozbawieniem wolności do lat dwóch.
Pierwszym przestępstwem jest nielegalne przetwarzanie danych osobowych, czyli przetwarzania danych, mimo iż ich przetwarzanie nie jest dopuszczalne albo sprawca nie jest uprawniony do ich przetwarzania.
Drugim przestępstwem, zakazanym pod groźbą kary jest udaremnianie lub utrudnianie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych.
W przeciwieństwie do dwóch pozostałych podstaw, odpowiedzialność za opisane wyżej przestępstwa mają charakter powszechny, zatem karze podlega każdy, kto dopuścił się jednego z tych czynów, a nie tylko administrator lub podmiot przetwarzający. Warunkiem jest, aby sprawca w chwili czynu ukończył 17 lat, czyli posiadał zdolność do ponoszenia odpowiedzialności karnej w świetle przepisów Kodeksu karnego. Odpowiedzialność karna ma charakter osobisty, dlatego administrator ani podmiot przetwarzający nie odpowiadają za działania lub zaniechania podległych sobie pracowników. Co więcej, sprawca przedmiotowych przestępstw może w ogóle nie być powiązany z jakimkolwiek administratorem lub podmiotem przetwarzającym.
Komentarz Capital Legal
Przepisy z zakresu ochrony danych osobowych przewidują trzy podstawy odpowiedzialności za naruszenie RODO: administracyjną, cywilną i karną. W praktyce największe znaczenie mają administracyjne kary pieniężne, których maksymalna wysokość może sięgać choćby milionów euro. Realnie kary te mogą być zatem najbardziej dotkliwe dla firmy. Mimo tak surowych sankcji, podstawy nałożenia kar pieniężnych zostały uregulowane w RODO w bardzo ogólny sposób. W artykule zostały opisane najważniejsze podstawy nałożenia kary. Należy jednak zauważyć, iż trudno wyróżnić jakikolwiek określony w RODO obowiązek, którego niewykonanie byłoby pozbawione sankcji. Warto zatem poznać swoje obowiązki wynikające z RODO i zadbać o ich przestrzeganie. Pozwoli to uniknąć naruszenia przepisów rozporządzenia, a w konsekwencji również ryzyka nałożenia kar przez PUODO.
Do naruszenia ochrony danych bardzo często dochodzi na skutek działań pracowników. Może to być wynikiem ich lekkomyślności, niedbalstwa lub niewiedzy. Dlatego oprócz stosowania rozbudowanych systemów zabezpieczeń warto zadbać o przeszkolenie pracowników w zakresie należytego postępowania z danymi osobowymi.
Potrzebujesz pomocy prawnej z zakresu ochrony danych osobowych ?
Zapraszamy do kontaktu z naszą kancelarią. Jedną z naszych specjalizacji jest ochrona danych osobowych (RODO). Przedstaw nam swój problem prawny, a my poszukamy rozwiązania.