Dostęp do serwisu wygasł w dniu . Kliknij "wznów dostęp", aby nadal korzystać z bogactwa treści, eksperckiej wiedzy, wzorów, dokumentów i aktualności oświatowych.
Witaj na Platformie MM.
Zaloguj się, aby korzystać z dostępu do zakupionych serwisów.
Możesz również swobodnie przeglądać zasoby Platformy bez logowania, ale tylko w ograniczonej wersji demonstracyjnej.
Chcesz sprawdzić zawartość niezbędników i czasopism? Zyskaj 14 dni pełnego dostępu całkowicie za darmo i bez zobowiązań.
STAN PRAWNY NA 6 KWIETNIA 2021
Konsekwencje naruszenia RODO
Opracowała: Aneta Mościcka, prawnik, z odbytą aplikacją sądową, dziennikarz od 2001 r. Autorka artykułów z zakresu prawa: pracy, BHP, cywilnego, gospodarczego, podatków, zamówień publicznych, nieruchomości. Przez 14 lat pracowała w "Dzienniku Gazecie Prawnej", 7 lat w "Rzeczpospolitej". Obecnie współpracuje między innymi z Wydawnictwem C. H. Beck i Wydawnictwem Wiedza i Praktyka
Podstawa prawna:
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. z 2019 r. poz. 730), (dalej: RODO),
• Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781).
Naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Wynika to z art. 4 pkt 12 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Przekroczenia RODO wiążą się z odpowiedzialnością administracyjną, karną, cywilną, dyscyplinarną. Co ważne, sankcje te mogą być stosowane niezależnie.
Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych prowadzi prezes Urzędu Ochrony Danych Osobowych (dalej: prezes). Zgodnie z art. 77 RODO, każda osoba, ma prawo wnieść skargę do organu nadzorczego w państwie członkowskim swojego pobytu, swojego miejsca pracy lub miejsca popełnienia naruszenia, jeżeli uważa, ze przetwarzanie jej danych osobowych narusza Rozporządzenie. Urząd musi poinformować skarżącego o postępach i efektach rozpatrywania skargi, w tym o możliwości skorzystania z sądowego odwołania się.
Kontrola naruszenia przepisów o ochronie danych osobowych
Kontrolę prowadzi pracownik urzędu z upoważnienia prezes Urzędu Ochrony Danych Osobowych, który ma obowiązek zachować w tajemnicy to, o czym dowiedział się w trakcie dozoru. Podczas nadzoru musi być obecny kontrolowany lub osoba przez niego upoważniona. Kontrolujący może wejść na grunt i do budynku w godzinach od 6 do 22, ma wgląd do dokumentów i informacji, ma również możliwość dokonania oględzin systemów informatycznych, czy żądać pisemnych lub ustnych wyjaśnień.
W trakcie oględzin prezes Urzędu lub kontrolujący może zwrócić się do Policji z prośbą o pomoc w podejmowanych czynnościach. Kontrolowany może odnieść się do treści protokołu kontroli w terminie 7 dni od przedstawienia mu tego dokumentu. Protokół może mieć także formę elektroniczną. Procedury mogą trwać nie dłużej niż 30 dni od okazania kontrolowanemu lub innej osobie wskazanej w przepisach imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość.
Wszczęcie postępowania
Jeżeli na podstawie informacji zebranych w toku postępowania kontrolnego, prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, ma obowiązek niezwłocznego wszczęcia postępowania.
Jeżeli w trakcie postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, prezes Urzędu, w celu zapobieżenia tym skutkom, może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych i wskazuje dopuszczalny zakres tego przetwarzania. Postanowienie takie zawiera termin obowiązywania ograniczenia przetwarzania danych osobowych, który nie może być dłuższy niż do dnia wydania decyzji kończącej postępowanie w sprawie.
Odpowiedzialność cywilna
Zgodnie z art. 79 RODO, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Każdy administrator, uczestniczący w przetwarzaniu danych osobowych, odpowiada za szkody spowodowane naruszeniem RODO, jeżeli:
• nie dopełnił obowiązków, które na niego nakłada RODO,
• gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
Administrator lub podmiot przetwarzający mogą się zwolnić z powyższej odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Jeżeli w przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający, wówczas za wywołaną szkodę ponoszą solidarną odpowiedzialność. Administrator lub podmiot przetwarzający, który zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.
Postępowanie sądowe dotyczące odszkodowania prowadzi się przed sądem właściwym na mocy prawa państwa członkowskiego. Procedury przeciwko administratorowi lub podmiotowi przetwarzającemu wszczyna się przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają siedzibę. Ewentualnie postępowanie takie może zostać wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu, chyba że administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne.
Nakładanie kary pieniężnej
Art. 77 RODO przewiduje, że każda osoba, której dane dotyczą może wnieść skargę do organu nadzorczego (prezesa Urzędu) w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie jej danych osobowych narusza przepisy RODO. Prezes Urzędu ma obowiązek informować osobę pokrzywdzoną naruszeniem danych o postępach w rozpoznawaniu sprawy, a także poinformować o możliwości zaskarżenia decyzji do sądu. Może też złożyć skargę do sądu również, gdy prezes Urzędu nie rozpoznał skargi lub nie poinformował osoby, której dane dotyczą, w terminie trzech miesięcy, o postępach lub efektach rozpatrywania skargi. Postępowanie przeciwko organowi nadzorczemu zostaje wszczęte przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę.
Przesłanki nałożenia kary pieniężnej za naruszenie przepisów o ochronie danych określa art. 83 ust. 2 RODO. Prezes urzędu bierze pod uwagę między innymi charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych osób, umyślny lub nieumyślny charakter czynu, jak również to, w jaki sposób odpowiedzialny za naruszenie danych osobowych współpracował z urzędem w celu usunięcia naruszenia lub złagodzenia jego skutków. Jeżeli administrator danych osobowych naruszy kilka przepisów RODO, całkowita wysokość administracyjnej kary pieniężnej, nie przekracza wysokości kary za najpoważniejsze naruszenie. Wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych między innymi na urzędy administracji rządowej, samorządowej, ZUS, NFZ, Narodowy Bank Polski. Państwowe i samorządowe instytucji kultury mogą być ukarane kara pieniężną do 10 tys. zł. Pieniądze z administracyjnej kary pieniężnej stanowią dochód budżetu państwa.
Administracyjną karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Prezes Urzędu może, na wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty, ze względu na ważny interes wnioskodawcy. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, nalicza się od nieuiszczonej kwoty odsetki. W przypadku rozłożenia administracyjnej kary pieniężnej na raty, odsetki nalicza się odrębnie dla każdej raty.
Zgodnie z art. 83 ust. 4 RODO naruszenie przepisów tego Rozporządzenia podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 euro, a w przypadku firmy – wysokości do 2 proc. jej całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy grozi kara pieniężna w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Według przepisów RODO, nakładane kary pieniężne mają być skuteczne, odstraszające i proporcjonalne.
Inne kompetencje organu nadzorczego
Według art. 58 RODO, organ nadzorczy ma też inne uprawnienia, m.in.:
• wydawania ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania,
• udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania,
• nakazania administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO,
• nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów RODO, a w stosownych przypadkach wskazanie sposobu i terminu,
• nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.
Prezes Urzędu może stosować wskazane wyżej środki, zarówno bez konieczności nałożenia administracyjnej kary pieniężnej, jak również obok tej kary.
Odpowiedzialność karna za naruszenie RODO
Zgodnie z art. 84 RODO państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenie RODO. Art. 107 Ustawy o ochronie danych osobowych przewiduje karę grzywny, ograniczenia wolności albo pozbawienia wolności do 2 lat za bezprawne przetwarzanie danych osobowych. Jeżeli dojdzie do ujawnienia danych wrażliwych dotyczących poglądów politycznych, przekonań religijnych, danych genetycznych, biometrycznych, seksualności czy orientacji seksualnej, ustawa przewiduje kare grzywny, ograniczenia wolności albo pozbawienia wolności do lat 3. Udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Tej samej karze podlega kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej. Warto podkreślić, że sankcje administracyjne, cywilne i karne mogą być stosowane niezależnie od siebie.
Postępowanie dyscyplinarne
Jeżeli prezes Urzędu, na podstawie posiadanych informacji, uzna, że doszło do naruszenia przepisów dotyczących przetwarzania danych osobowych, może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom, które dopuściły się naruszeń, i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach. Wynika to z art. 58 Ustawy o ochronie danych osobowych.
