zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

16 kwietnia 2018

RODO a odpowiedzialność osobista przedsiębiorcy

Wraz z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) zmieni się zakres odpowiedzialności przedsiębiorców za naruszenia nowych przepisów. W stosunku do obecnie obowiązującej jeszcze Ustawy o ochronie danych osobowych zmiany dotyczące odpowiedzialności należy uznać za niekorzystne dla przedsiębiorców.

Obecnie obowiązujące przepisy w zakresie przetwarzania danych osobowych umożliwiają stosowanie wobec przedsiębiorców sankcji o charakterze karnym, cywilnoprawnym i administracyjnoprawnym. Sankcje te są określone nie tylko w Ustawie o ochronie danych osobowych (UODO), ale również w innych przepisach, np. w Ustawie o prawach konsumenta z 30 maja 2014 r. czy Ustawie Prawo Telekomunikacyjne z 16 lipca 2004 r.

25 maja 2018 r., czyli w dniu, w którym zacznie obowiązywać RODO, zmienią się uwarunkowania prawne praktycznie dla wszystkich przedsiębiorców – niezależnie od skali działania, branży czy modelu biznesowego. Pomijając wynikające z RODO nowe obowiązki, za jedną z najważniejszych zmian należy uznać poszerzenie odpowiedzialności przedsiębiorców za naruszenia przepisów określających zasady pozyskiwania i przetwarzania przez nich danych osobowych:

  • rozporządzenie przewiduje wielokrotnie wyższe kary finansowe za naruszenia przepisów – świadome lub nieświadome. Wprowadza dwie kategorie naruszeń, dla których grzywny mogą wynosić odpowiednio do 10 mln euro lub do 2% wartości globalnego obrotu przedsiębiorstwa (w kategorii pierwszej), lub do 20 mln euro lub do 4% wartości globalnego obrotu (w kategorii drugiej naruszeń);
  • kary mają być orzekane i nakładane bezpośrednio przez organ nadzorczy po stwierdzeniu naruszenia, a nie, jak jest obecnie, dopiero po niespełnieniu obowiązków określonych w decyzji organu nadzorczego (GIODO);
  • osoba fizyczna może wnosić skargi do organów nadzorczych (Prezesa Urzędu Ochrony Danych Osobowych), ale może też jednocześnie samodzielnie dochodzić roszczeń w trybie postępowania sądowego w przypadkach stwierdzenia naruszenia praw związanych z przetwarzaniem jej danych osobowych przez firmy.

425 razy dotkliwsze grzywny

Należy podkreślić, że w obecnym porządku prawnym grzywna nakładana z tytułu naruszeń danych osobowych ma ograniczony charakter. Jej nałożenie jest skuteczne jedynie w przypadku stwierdzenia niewykonania przez przedsiębiorcę obowiązków wynikających z decyzji GIODO wydanej po rozpatrzeniu sprawy. UODO przewiduje grzywny o maksymalnej wartości 50 tys. zł wobec przedsiębiorstw i 10 tys. zł wobec osób fizycznych. Możliwe są wielokrotne nałożenia grzywny, jednak w takich sytuacjach również założono limit – odpowiednio do 200 tys. i 50 tys. zł. Nawet w tak ekstremalnych przypadkach maksymalna sankcja finansowa dopuszczona w UODO jest ok. 425 razy niższa od maksymalnych wartości sankcji dozwolonych przez RODO. Do tego należy dodać, że w obecnym porządku prawnym nie stwierdza się częstych przypadków nałożenia na przedsiębiorców kar finansowych za naruszenia UODO. W takich uwarunkowaniach firmy nie czują się zagrożone. Sytuacja jednak zmieni się 25 maja, bowiem w myśl RODO sankcje finansowe będzie można ponieść na podstawie stwierdzenia naruszeń, a nie dopiero po niedopełnieniu obowiązków wynikających z decyzji GIODO.

Ministerstwo uspokaja

Ministerstwo cyfryzacji, które odpowiada za wdrożenie w Polsce RODO, przy wielu okazjach starało się studzić emocje związane z widmem wysokich kar finansowych. Podkreślało, że określone w RODO kary to przewidziane limity maksymalne zarezerwowane dla sytuacji ekstremalnych, w których działań przedsiębiorcy nie usprawiedliwiają żadne okoliczności łagodzące. Czy jednak tak będzie? Same przepisy budzą sporo wątpliwości: punkt 1 art. 83 RODO mówi, że kary pieniężne mają być w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Dalej, w punkcie 2 rzeczywiście znajduje się obszerne wyjaśnienie, jakie czynniki będą miały wpływ na wysokość orzekanej kary (m.in. współpraca z organem nadzorczym, umyślne czy nieumyślne działanie, rodzaj i waga naruszenia, rzeczywiste działania administratora podjęte dla minimalizacji wyrządzonych szkód). Nie dają jednak spokoju zapisy w punktach 4 i 5, gdzie przy określeniu poziomu maksymalnych kar organom nadzorczym zaleca się wybór poziomu sankcji, który ma mieć wyższą wartość: „zastosowanie ma kara wyższa”. Przepisy sformułowano więc w sposób jednoznaczny – za naruszenia przedsiębiorcę należy dotkliwie ukarać. Pozostaje mieć nadzieję, że zapowiedzi Ministerstwa Cyfryzacji okażą się prawdziwe i rzeczywiście zanim zostaną nałożone niemożliwe do udźwignięcia kary finansowe, urzędnicy sięgną po instrumenty pozwalające wyjaśniać sprawy oraz naprawiać błędy i niedociągnięcia.