Jedną z najistotniejszych zmian, którą przyniosła reforma unijnych przepisów o ochronie danych osobowych, jest wprowadzenie administracyjnej kary pieniężnej do katalogu sankcji z tytułu naruszenia obowiązków przewidzianych w RODO.
Kary pieniężne będą nakładane zarówno na administratorów danych jak i na podmioty przetwarzające dane. Organem właściwym do nałożenia kary pieniężnej będzie krajowy organ nadzorczy, a więc – zgodnie z przygotowywanym projektem nowej ustawy o ochronie danych osobowych – Prezes Urzędu Ochrony Danych Osobowych. (więcej o projekcie ustawy na Portalu ODO – cz. 1 oraz cz. 2)
Przewidziana sankcja ma charakter autonomiczny tzn. jej nałożenie nie jest uzależnione od uprzedniego zastosowania przez organ nadzorczy uprawnień korekcyjnych wskazanych w art. 58 RODO, a zastosowanie uprawnienia korekcyjnego przez organ nie powoduje obowiązku zastosowania kar pieniężnych. Może jednak dojść do sytuacji, gdy organ zdecyduje się nałożyć zarówno sankcje pieniężną, jak i sankcje o charakterze niepieniężnym.
RODO nie zawiera taryfikatora przewidującego wysokość kary pieniężnej za konkretne naruszenie, określa jedynie górną granicę kary finansowej dla poszczególnych kategorii naruszeń. To organ nadzorczy będzie decydował o wysokości nakładanej kary po dokonaniu analizy konkretnego przypadku i wszystkich okoliczności towarzyszących naruszeniu. Celem RODO jest, aby nałożona kara była skuteczna, proporcjonalna (zarówno do naruszenia jak i sytuacji administratora), ale jednocześnie odstraszająca.
Okoliczności, które zostaną uwzględnione to między innymi charakter, waga i czas trwania naruszenia, kategorie danych osobowych, których naruszenie dotyczyło oraz zachowania administratora lub podmiotu przetwarzającego dane. Oceniając administratora lub podmiot przetwarzający, organ nadzorczy będzie uwzględniał przed wszystkim sposób postępowania poprzedzający naruszenie, działania podjęte po stwierdzeniu naruszenia.
W zależności od kategorii naruszenia, kara pieniężna będzie mogła zostać nałożona w wysokości do 10 000 000 EUR lub do 20 000 000 EUR, a w przypadku przedsiębiorstw – w wysokości do 2 % lub do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Należy pamiętać, że oprócz administracyjnych kar pieniężnych RODO przewiduje również uprawnienie podmiotu danych do dochodzenia na drodze cywilnoprawnej odszkodowania za szkodę materialną lub niematerialną, poniesioną w wyniku naruszenia przez administratora zasad wynikających z rozporządzenia.
W świetle dopuszczalnej wysokości kar administracyjnych oraz potencjalnych roszczeń odszkodowawczych, prawidłowe wdrożenie zasad ochrony danych osobowych przewidzianych w RODO i należyta współpraca z organem nadzorczym może być najlepszą inwestycją w nadchodzącym roku.
