Na jakich zasadach będzie ustalana wysokość kar finansowych według RODO

Paweł Biały

Autor: Paweł Biały

Dodano: 18 grudnia 2017
Na jakich zasadach będzie ustalana wysokość kar finansowych według RODO

Ogólne rozporządzenie o ochronie danych (RODO) daje możliwość nakładania przez organ nadzorczy wysokich administracyjnych kar pieniężnych za nieprzestrzeganie przepisów regulujących ochronę przetwarzania danych osobowych. Dowiedz się, jakie kryteria organ będzie brał pod uwagę, ustalając wysokość kary.

Ogólne rozporządzenie o ochronie danych – RODO (które będzie stosowane wprost już od 25 maja 2018 r.) z perspektywy dotychczasowego stanu prawnego wprowadza diametralną zmianę w zakresie administracyjnych kar pieniężnych. Przede wszystkim niezwykle ważne jest, że RODO, jako akt w randze rozporządzenia prawa unijnego, stosowany jest w porządku prawnym każdego państwa członkowskiego wprost. Wynika z tego, że krajowy system prawny wzbogaci się o materialny przepis prawny stanowiący podstawę prawną dla możliwości nakładania administracyjnych kar pieniężnych na podmiot przetwarzający dane osobowe.

Czy każdy podmiot dostanie taką samą karę

Zgodnie z przepisami RODO organ nadzorczy zapewnia, by stosowane kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Kary te należy nakładać zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a–h oraz j RODO. Decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, organ nadzorczy musi zwracać uwagę na każdy indywidualny przypadek, a w tym m.in. na:

1) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,

2) umyślny lub nieumyślny charakter naruszenia,

3) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,

4) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych,

5) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,

6) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.

Uwaga

Administracyjne kary pieniężne mogą być nakładane przez organ nadzorczy w wysokości do 20 mln euro lub 4% rocznego światowego obrotu, przy czym zastosowanie będzie miała kwota wyższa. W przypadku organów i podmiotów publicznych o wysokości kary ma decydować ustawodawca krajowy. Polski ustawodawca zdecydował, że na podmioty publiczne, o których mowa w art. 9 pkt 1–12 i 14 ustawy z 27 sierpnia 2009 r. o finansach publicznych, Prezes Urzędu może nałożyć w drodze decyzji administracyjne kary pieniężne w wysokości do 100 tys. zł.

Jak Grupa Robocza Art. 29 odnosi się do ustalania wysokości kar finansowych i ich nakładania

Grupa Robocza Art. 29 3 października 2017 r. przyjęła wytyczne w sprawie stosowania i ustalania kar administracyjnych. We wstępie Grupa Robocza Art. 29 zaznacza, że wytyczne nie uwzględniają różnic w systemach prawnych krajów członkowskich, w kontekście obowiązujących u nich przepisów prawa administracyjnego, cywilnego czy karnego, w ujęciu nakładania administracyjnych kar pieniężnych przez organy nadzorcze tych krajów. Niemniej jednak, co wyraźnie podkreślono, wytyczne odzwierciedlają spójne podejście organów nadzorczych do kryteriów oceny stosowania kar administracyjnych, o których mowa w art. 83 RODO.

4 zasady nakładania kar

1. Naruszenie rozporządzenia powinno prowadzić do nałożenia równorzędnej sankcji.

W tym kontekście Grupa Robocza Art. 29 nawiązuje do motywu 10 RODO, który brzmi: „Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych”.

Jego sens rozwija treść motywu 11 RODO: „Aby ochrona danych osobowych w Unii była skuteczna, należy wzmocnić i doprecyzować prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu, jak również zapewnić równorzędne uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych oraz równorzędne kary za naruszenia tych przepisów w państwach członkowskich”.

Grupa Robocza Art. 29 kładzie nacisk na współpracę organów nadzorczych na rzecz spójności tych kar we wszystkich państwach członkowskich, co ma zapobiegać rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym.

2. Wszystkie środki naprawcze, w tym kary administracyjne, powinny być skuteczne, proporcjonalne i odstraszające.

Organy nadzoru powinny badać każdy przypadek naruszenia indywidualnie i tak też do niego podchodzić w stosowaniu środków naprawczych i kar administracyjnych, a poprzez to stosować rozwiązanie, które ma być skuteczne, proporcjonalne, ale i odstraszające (prewencyjne).

Jednocześnie Grupa Robocza Art. 29 nie przesądza, że w każdym przypadku nakładanie kar administracyjnych będzie realizowało cel tej zasady, wskazując na inne środki naprawcze przepisane normami RODO. Grupa Robocza Art. 29 podkreśla, że ustawodawca krajowy może stosować dodatkowe kryteria w celu zweryfikowania wdrożenia środków naprawczych, którymi mogą być np. powiadomienia czy składanie oświadczeń w ustalonych terminach, przy czym kryteria te nie mogą w praktyce utrudniać zastosowania środka naprawczego przez administratora lub podmiot przetwarzający dane do tego zobligowany.

3. Organ nadzoru ma oceniać naruszenie i jego kryteria indywidualnie.

Zasada ta wprost nawiązuje do zasady nr 2. Jej punktem wyjścia jest art. 83 ust. 2 RODO, który stanowi, że kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a–h oraz j RODO. Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, należy zwracać uwagę na każdy indywidualny przypadek.

Dlatego Grupa Robocza Art. 29 kładzie akcent na intencję ustawodawcy europejskiego wyrażoną w treści motywu 148: aby egzekwowanie przepisów (…) było skuteczniejsze, należy (…) nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy.

Uwaga

Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia.

Powinno się jednak zwrócić należytą uwagę na:

  • charakter, wagę oraz czas trwania naruszenia,
  • to, czy naruszenie nie było umyślne,
  • działania podjęte dla zminimalizowania szkody,
  • stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia,
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu,
  • przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający,
  • stosowanie kodeksów postępowania oraz
  • wszelkie inne czynniki obciążające lub łagodzące.

Grupa Robocza Art. 29 wyraźnie podkreśla, że stosowanie administracyjnej kary pieniężnej nie powinno doprowadzić do dewaluacji jej charakteru prawnego (tj. jej skuteczności, proporcjonalności i funkcji prewencyjnej), ze względu na zbyt „mechaniczne” jej nakładanie.

4. Zharmonizowane stosowanie administracyjnych kar wymaga współpracy organów nadzoru.

Intencją tej zasady jest współpraca pomiędzy organami nadzoru krajów członkowskich, co ma zapewnić im stałe podnoszenie spójności w stosowaniu administracyjnych kar pieniężnych, tym bardziej że w wybranych państwach członkowskich kary te są nowym instrumentem prawnym.

15 czynników, które będą brane pod uwagę przy nakładaniu kary

Grupa Robocza Art. 29 wskazuje, że charakter, waga i czas naruszenia bezpośrednio wpływają na to, jaka wysokość kary administracyjnej będzie mogła zostać nałożona. Niemniej jednak to od organu nadzorczego będzie ostatecznie zależało, czy charakter i waga naruszenia wymagają zastosowania kary administracyjnej, a nie innego środka naprawczego. Wskazuje się również, zgodnie z treścią motywu 148, że organ nadzoru będzie mógł odstąpić od nałożenia kary administracyjnej na rzecz upomnienia, jeśli naruszenie było „niewielkie”, a administratorem jest osoba fizyczna.

Uwaga

Grupa Robocza Art. 29 podkreśla, że naruszenie zagrożone niższą karą administracyjną (art. 83 ust. 4 RODO) może zostać zakwalifikowane do wyższej kary administracyjnej (art. 83 ust. 5 RODO), w przypadku gdy podmiot zobowiązany nie wykonał nakazu organu nadzorczego związanego z naruszeniem, o którym mowa w art. 83 ust. 4 RODO.

1. Liczba osób, których dotyczy naruszenia

Przy miarkowaniu kary administracyjnej należy brać pod uwagę liczbę osób, których dotyczy naruszenie, bez względu na to, czy jest to naruszenie pojedyncze czy też jest to wystąpienie kilku różnych naruszeń.

2. Cel przetwarzania danych

Organ nadzorczy powinien także badać cel przetwarzania danych osobowych w kontekście art. 83 ust. 2 RODO. Chodzi o to, aby organ nadzoru sprawdzał, w jakim stopniu w danym przypadku przetwarzanie danych osobowych jest uzasadnione i celowe.

3. Rozmiar szkody

Jeżeli w wyniku przetwarzania danych osobowych dochodzi do naruszenia praw lub wolności osób, co zgodnie z motywem 75 RODO prowadzi do uszczerbku fizycznego lub szkód majątkowych bądź niemajątkowych, organ nadzorczy powinien brać pod uwagę rozmiar tej szkody przy wyborze środka naprawczego. Co ważne, nałożenie kary administracyjnej nie wymaga od organu nadzoru wykazania związku przyczynowo-skutkowego pomiędzy naruszeniem a zaistniałą szkodą.

4. Czas trwania naruszenia

Czas trwania naruszenia może być różnie rozpatrywany w zależności od celowego działania administratora lub od braku podjęcia środków zaradczych albo od braku wprowadzenia adekwatnych środków technicznych i organizacyjnych.

5. Umyślny lub nieumyślny charakter

Odnosząc się do art. 83 ust. 2 pkt b RODO – umyślnego lub nieumyślnego charakteru naruszenia, Grupa Robocza Art. 29 wskazuje, że nieumyślność będzie cechowała naruszenie, do którego doszło bez intencji administratora lub podmiotu przetwarzającego dane. Naruszenie umyślne z kolei cechuje administratora lub podmiot przetwarzający wiedzą i świadomością faktu wystąpienia takiego naruszenia. W konsekwencji można przyjąć, że mniej prawdopodobne będzie nałożenie kary administracyjnej przy wystąpieniu naruszenia o charakterze nieumyślnym.

PRZYKŁAD

Naruszeniem o charakterze umyślnym jest mylne informowanie o celu przetwarzania danych osobowych lub handel danymi osobowymi w celach marketingowych bez zgody osób, których dane dotyczą. Naruszeniem o charakterze nieumyślnym jest z kolei błędna interpretacja przyjętych przez administratora zasad, błąd ludzki, brak wprowadzania w odpowiednim czasie aktualizacji.

6. Działania w celu zminimalizowania szkody

Działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 pkt c RODO), są bardzo ważnym aspektem przy miarkowaniu wysokości kary administracyjnej nakładanej przez organ nadzorczy. Chodzi tu o środki organizacyjne i techniczne, które administrator lub podmiot przetwarzający wprowadził po to, aby zmniejszyć skutki powstałego naruszenia.

7. Wdrożenie środków organizacyjnych i technicznych

Stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 (art. 83 ust. 2 pkt d RODO) powinien odnosić się przede wszystkim do tego, czy:

  • zostały wdrożone środki techniczne przez administratora lub podmiot przetwarzający dane,
  • środki te są faktycznie stosowane (przestrzegane),
  • zrealizowane są postulaty ochrony danych w fazie projektowania oraz domyślnej ochrony danych na wszystkich szczeblach organizacyjnych,
  • stosuje się odpowiednie dla danej organizacji procedury, polityki, dobre praktyki czy też kodeksy postępowania.

8. Wcześniejsze naruszenia

Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 pkt e RODO). Na podstawie tego kryterium organ nadzoru powinien ocenić, czy administrator lub podmiot przetwarzający popełnili naruszenie dotychczas, jak również czy kolejne naruszenie jest tej samej kategorii.

9. Współpraca z organem nadzorczym

Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 pkt f RODO). Zarówno współpraca, jak i jej stopień mają daleko idące znaczenie w kwestii nałożenia kary administracyjnej oraz jej wysokości. W zakres tej współpracy wchodzi przykładowo umożliwienie czy „ułatwienie” organowi nadzorczemu przeprowadzenia właściwej kontroli, związanej z naruszeniem.

10. Kategorie danych, których naruszenie dotyczy

Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 pkt g RODO). Grupa Robocza Art. 29 wskazuje, że w tym przypadku należy zwrócić uwagę na to, czy naruszenie dotyczyło przetwarzania szczególnej kategorii danych osobowych lub danych osobowych odnoszących się do wyroków skazujących i naruszeń prawa. Czy dane przetwarzane prowadziły do pośredniego, czy bezpośredniego zidentyfikowania osoby fizycznej albo czy dane były szyfrowane.

11. Sposób, w jaki organ dowiedział się o naruszeniu

Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (art. 83 ust. 2 pkt h RODO). Organ nadzorczy może dowiedzieć się o naruszeniu za pomocą różnych źródeł, np. artykułu w prasie, skargi, dochodzenia itp.

Istotne w perspektywie nałożenia kary administracyjnej ma być samodzielne poinformowanie organu nadzorczego przez administratora lub podmiot przetwarzający dane o naruszeniu. W takim przypadku organ nadzorczy będzie się również skupiał na tym, czy zostały mu przekazane wszystkie informacje związane z naruszeniem, czy też nie został powiadomiony o wszystkich szczegółach powstałego naruszenia.

12. Czy administrator był wcześniej karany

Jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – organ sprawdza przestrzeganie tych środków (art. 83 ust. 2 pkt i RODO). Kryterium dotyczy, w przeciwieństwie do pkt e, organu nadzorczego i faktu, czy i w jakich okolicznościach organ nadzorczy skorzystał względem administratora lub podmiotu przetwarzającego z uprawnień przepisanych treścią art. 58 ust. 2 RODO.

Jest to zatem kryterium, którego bezpośrednim adresatem jest organ nadzorczy, a nie administrator danych lub podmiot przetwarzający dane.

13. Stosowanie zatwierdzonych kodeksów postępowania

Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 (art. 83 ust. 2 pkt j RODO). Procedury zatwierdzonych kodeksów postępowania lub zatwierdzone mechanizmy certyfikacji mają pomóc administratorowi lub podmiotowi przetwarzającemu dane w podjęciu odpowiednich kroków w przypadku powstania naruszenia. Tym samym te zatwierdzone procedury mogą pozytywnie wpłynąć na dobór przez organ nadzorczy proporcjonalnego i adekwatnego środka prawnego.

14. Wszystkie inne czynniki

Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 pkt k RODO). Grupa Robocza Art. 29 podkreśla charakter otwarty tego kryterium. Jednocześnie wskazuje, że jeśli doszło do uzyskania korzyści finansowych w związku z zaistniałym naruszeniem, może być to przesłanka przemawiająca za nałożeniem kary administracyjnej.

15. Organ nie musi nakładać kar pieniężnych

Wnioski, to czwarty (ostatni) rozdział wytycznych. Grupa Robocza Art. 29 precyzuje, że kryteria, które zostały omówione, mają pomóc organowi nadzorczemu w miarkowaniu kary administracyjnej, jak również w procesie stosowania środka prawnego, który ma być proporcjonalny, skuteczny i prewencyjny, a przy tym adekwatny do zaistniałego naruszenia.

Jednocześnie też kary administracyjne nie mają być stosowane wprost w każdym przypadku, gdyż będzie to sprzeczne z indywidualną oceną każdej sytuacji, jak również może doprowadzić do dewaluacji tego środka prawnego. Dlatego organ nadzorczy powinien rozważyć stosowanie również innych środków prawnych, tych najbardziej adekwatnych do powstałego naruszenia, o których mowa w art. 58 RODO.

Jednocześnie też intencją Grupy Roboczej Art. 29 jest polityka spójności w nakładaniu kar administracyjnych przez organy nadzorcze państw członkowskich w określonych kategoriach przypadków. Cel ten ma być osiągnięty poprzez regularną wymianę praktyk w tym zakresie na poziomie doświadczeń krajowych organów nadzorczych.

Paweł Biały

Autor: Paweł Biały

doktor nauk prawnych, prawnik praktyk, ekspert z zakresu prawa ochrony danych osobowych, administrator bezpieczeństwa informacji, prowadzi warsztaty i szkolenia, wykładowca akademicki, Instytut Ochrony Danych Osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel