Kary za naruszenie RODO w Polsce - w jaki sposób ustala się ich wysokość

Naruszenie RODO powinno skutkować nałożeniem równorzędnej sankcji.

Jak wskazuje motyw 10 RODO: „Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych”.

Z kolei w motywie 11 RODO wskazano: „Aby ochrona danych osobowych w Unii była skuteczna, należy wzmocnić i doprecyzować prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu, jak również zapewnić równorzędne uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych oraz równorzędne kary za naruszenia tych przepisów w państwach członkowskich”.

Grupa Robocza Art. 29 kładzie nacisk na współpracę organów nadzorczych na rzecz spójności tych kar we wszystkich państwach członkowskich, co ma zapobiegać rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym.

Wszystkie środki naprawcze, w tym kary administracyjne, powinny być skuteczne, proporcjonalne i odstraszające.

Każdy przypadek naruszenia ochrony danych powinien być badany indywidualnie, również w kontekście stosowania środków naprawczych i kar administracyjnych.

Grupa Robocza Art. 29 nie przesądza, że w każdym przypadku nakładanie kar administracyjnych będzie realizowało cel tej zasady. Możliwe jest także stosowanie innych środków naprawczych przewidzianych w RODO.

Organ nadzoru ma oceniać naruszenie i jego kryteria indywidualnie.

Art. 83 ust. 2 RODO wskazuje, że kary finansowe nakłada się w zależności od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a–h oraz j RODO. Dlatego właśnie, decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, należy zwracać uwagę na każdy indywidualny przypadek.

Grupa Robocza Art. 29 akcentuje, że stosowanie administracyjnej kary pieniężnej nie powinno doprowadzić do dewaluacji jej charakteru prawnego (tj. jej skuteczności, proporcjonalności i funkcji prewencyjnej), ze względu na zbyt „mechaniczne” jej nakładanie.

Zharmonizowane stosowanie administracyjnych kar wymaga współpracy organów nadzoru.

Wymagana jest współpraca pomiędzy organami nadzoru krajów członkowskich, co ma zapewnić im stałe podnoszenie spójności w stosowaniu administracyjnych kar pieniężnych, tym bardziej że w wybranych państwach członkowskich kary te są nowym instrumentem prawnym.

Kryteria wymiary kary RODO

Objaśnienie

Liczba osób, których dotyczy naruszenia

Ustalając wysokość kary administracyjnej, należy brać pod uwagę liczbę osób, których dotyczy naruszenie, bez względu na to, czy jest to naruszenie pojedyncze czy też jest to wystąpienie kilku różnych naruszeń.

Cel przetwarzania danych

Organ nadzorczy powinien także badać cel przetwarzania danych osobowych w kontekście art. 83 ust. 2 RODO. Chodzi o to, aby organ nadzoru sprawdzał, w jakim stopniu w danym przypadku przetwarzanie danych osobowych jest uzasadnione i celowe.

Rozmiar szkody

Jeżeli w wyniku przetwarzania danych osobowych dochodzi do naruszenia praw lub wolności podmiotów danych, co zgodnie z motywem 75 RODO prowadzi do uszczerbku fizycznego lub szkód majątkowych bądź niemajątkowych, organ nadzorczy powinien brać pod uwagę rozmiar tej szkody przy wyborze środka naprawczego. Co ważne, nałożenie kary administracyjnej nie wymaga od organu nadzoru wykazania związku przyczynowo - skutkowego pomiędzy naruszeniem a zaistniałą szkodą.

Czas trwania naruszenia

Czas trwania naruszenia może być różnie rozpatrywany w zależności od celowego działania administratora lub od braku podjęcia środków zaradczych albo od braku wprowadzenia adekwatnych środków technicznych i organizacyjnych.

Umyślny lub nieumyślny charakter

Odnosząc się do art. 83 ust. 2 pkt b RODO – umyślnego lub nieumyślnego charakteru naruszenia, Grupa Robocza Art. 29 wskazuje, że nieumyślność będzie cechowała naruszenie, do którego doszło bez intencji administratora lub podmiotu przetwarzającego dane. Naruszenie umyślne z kolei cechuje administratora lub podmiot przetwarzający wiedzą i świadomością faktu wystąpienia takiego naruszenia. W konsekwencji można przyjąć, że mniej prawdopodobne będzie nałożenie kary administracyjnej przy wystąpieniu naruszenia o charakterze nieumyślnym.

Przykład: Naruszeniem o charakterze umyślnym może być sprzedaż danych osobowych w celach marketingowych bez zgody osób, których dane dotyczą. Z kolei typowym przypadkiem nieumyślnego naruszenia jest dobór środków bezpieczeństwa danych nieadekwatnych do poziomu ryzyka wiążącego się z ich przetwarzaniem (art. 32 RODO).

Działania w celu zminimalizowania szkody

Działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 pkt c RODO), są bardzo ważnym aspektem przy miarkowaniu wysokości kary administracyjnej nakładanej przez organ nadzorczy. Chodzi tu o środki organizacyjne i techniczne, które administrator lub podmiot przetwarzający wprowadził po to, aby zmniejszyć skutki powstałego naruszenia.

Wdrożenie środków organizacyjnych i technicznych

Stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych (art. 83 ust. 2 pkt d RODO) powinien odnosić się przede wszystkim do tego, czy:

• zostały wdrożone środki techniczne przez administratora lub podmiot przetwarzający dane,
• środki te są faktycznie stosowane (przestrzegane),
• zrealizowane są postulaty ochrony danych w fazie projektowania oraz domyślnej ochrony danych na wszystkich szczeblach organizacyjnych,
• stosuje się odpowiednie dla danej organizacji procedury, polityki, dobre praktyki czy też kodeksy postępowania.

Wcześniejsze naruszenia

Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 pkt e RODO). Na podstawie tego kryterium organ nadzoru powinien ocenić, czy administrator lub podmiot przetwarzający popełnili naruszenie dotychczas, jak również czy kolejne naruszenie jest tej samej kategorii.

Współpraca z organem nadzorczym

Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 pkt f RODO). Zarówno współpraca, jak i jej stopień mają daleko idące znaczenie w kwestii nałożenia kary administracyjnej oraz jej wysokości. W zakres tej współpracy wchodzi przykładowo umożliwienie czy „ułatwienie” organowi nadzorczemu przeprowadzenia właściwej kontroli, związanej z naruszeniem.

Kategorie danych, których naruszenie dotyczy

Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 pkt g RODO). Grupa Robocza Art. 29 wskazuje, że w tym przypadku należy zwrócić uwagę na to, czy naruszenie dotyczyło przetwarzania szczególnej kategorii danych osobowych lub danych osobowych odnoszących się do wyroków skazujących i naruszeń prawa. Czy dane przetwarzane prowadziły do pośredniego, czy bezpośredniego zidentyfikowania osoby fizycznej albo czy dane były szyfrowane.

Sposób, w jaki organ dowiedział się o naruszeniu

Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (art. 83 ust. 2 pkt h RODO). Organ nadzorczy może dowiedzieć się o naruszeniu za pomocą różnych źródeł, np. artykułu w prasie, skargi, dochodzenia itp.

Istotne w perspektywie nałożenia kary administracyjnej ma być samodzielne poinformowanie organu nadzorczego przez administratora lub podmiot przetwarzający dane o naruszeniu. W takim przypadku organ nadzorczy będzie się również skupiał na tym, czy zostały mu przekazane wszystkie informacje związane z naruszeniem, czy też nie został powiadomiony o wszystkich szczegółach powstałego naruszenia.

Czy administrator był wcześniej karany

Jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – organ sprawdza przestrzeganie tych środków (art. 83 ust. 2 pkt i RODO). Kryterium dotyczy, w przeciwieństwie do pkt e, organu nadzorczego i faktu, czy i w jakich okolicznościach organ nadzorczy skorzystał względem administratora lub podmiotu przetwarzającego z uprawnień przepisanych treścią art. 58 ust. 2 RODO.

Jest to zatem kryterium, którego bezpośrednim adresatem jest organ nadzorczy, a nie administrator danych lub podmiot przetwarzający dane.

Stosowanie zatwierdzonych kodeksów postępowania

Chodzi tu o stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji na mocy odpowiednich przepisów rozporządzenia unijnego (art. 83 ust. 2 pkt j RODO). Procedury zatwierdzonych kodeksów postępowania lub zatwierdzone mechanizmy certyfikacji mają pomóc administratorowi lub podmiotowi przetwarzającemu dane w podjęciu odpowiednich kroków w przypadku powstania naruszenia. Tym samym te zatwierdzone procedury mogą pozytywnie wpłynąć na dobór przez organ nadzorczy proporcjonalnego i adekwatnego środka prawnego.

Pozostałe czynniki

Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 pkt k RODO). Grupa Robocza Art. 29 podkreśla charakter otwarty tego kryterium. Jednocześnie wskazuje, że jeśli doszło do uzyskania korzyści finansowych w związku z zaistniałym naruszeniem, może być to przesłanka przemawiająca za nałożeniem kary administracyjnej.