Dostęp do serwisu wygasł w dniu . Kliknij "wznów dostęp", aby nadal korzystać z bogactwa treści, eksperckiej wiedzy, wzorów, dokumentów i aktualności oświatowych.
Witaj na Platformie MM.
Zaloguj się, aby korzystać z dostępu do zakupionych serwisów.
Możesz również swobodnie przeglądać zasoby Platformy bez logowania, ale tylko w ograniczonej wersji demonstracyjnej.
Chcesz sprawdzić zawartość niezbędników i czasopism? Zyskaj 14 dni pełnego dostępu całkowicie za darmo i bez zobowiązań.
STAN PRAWNY NA 20 KWIETNIA 2021
Konsekwencje naruszenia RODO
Opracowała: Aneta Mościcka, prawnik, z odbytą aplikacją sądową, dziennikarz od 2001 r. Autorka artykułów z zakresu prawa: pracy, BHP, cywilnego, gospodarczego, podatków, zamówień publicznych, nieruchomości. Przez 14 lat pracowała w „Dzienniku Gazecie Prawnej”, 7 lat w „Rzeczpospolitej”. Obecnie współpracuje m.in. z Wydawnictwem C.H.Beck i Wydawnictwem Wiedza i Praktyka
Podstawa prawna:
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych oso-bowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L. z 2016 r. Nr 119 poz. 1),
• Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781).
Naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieu-prawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Wynika to z art. 4 pkt 12 Rozporzą-dzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Przekroczenia RODO wiążą się z odpowiedzialnością administracyjną, karną, cywilną, dyscyplinarną. Co ważne, sankcje te mogą być stosowane niezależnie. Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych prowadzi prezes Urzędu Ochrony Danych Osobowych (dalej: prezes UODO).
Kontrola naruszenia przepisów o ochronie danych osobowych
Kontrolę prowadzi pracownik urzędu z upoważnienia prezesa UODO – ma on obowiązek zachować w tajemnicy to, czego dowiedział się jej w trakcie. Podczas kontroli muszą być obecni kontrolowany lub osoba przez niego upoważniona. Kontrolujący może wejść na grunt i do budynku w godzinach od 6.00 do 22.00, ma wgląd do dokumentów i informacji, a także możliwość dokonania oględzin systemów informatycznych, może też żądać pisemnych lub ustnych wyjaśnień.
W trakcie oględzin prezes UODO lub kontrolujący mogą zwrócić się do policji z prośbą o pomoc w podejmowanych czynnościach. Kontrolowany może odnieść się do treści protoko-łu kontroli w terminie 7 dni od przedstawienia mu tego dokumentu. Protokół może mieć także formę elektroniczną. Procedury mogą trwać nie dłużej niż 30 dni od okazania kontrolowane-mu lub innej osobie wskazanej w przepisach imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość.
Wszczęcie postępowania
Jeżeli na podstawie informacji zebranych w toku postępowania kontrolnego prezes UODO uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, ma obowiązek niezwłocznego wszczęcia postępowania. Natomiast jeżeli w trakcie postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie da-nych osobowych i może w dalszym toku spowodować poważne i trudne do usunięcia skutki, prezes UODO może w celu zapobieżenia tym skutkom, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych i wskazać dopuszczalny zakres tego przetwa-rzania. Postanowienie takie zawiera termin obowiązywania ograniczenia przetwarzania danych osobowych, który nie może być dłuższy niż do dnia wydania decyzji kończącej postępowanie w sprawie.
Odpowiedzialność cywilna
Zgodnie z art. 79 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarza-jącego odszkodowanie za poniesioną szkodę. Każdy administrator, uczestniczący w przetwa-rzaniu danych osobowych, odpowiada za szkody spowodowane naruszeniem RODO, jeżeli:
• nie dopełnił obowiązków, które nakłada na niego RODO,
• działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instruk-cjom.
Administrator lub podmiot przetwarzający mogą zwolnić siebie z powyższej odpowiedzialno-ści, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Jeżeli w przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający, wówczas za wywołaną szkodę ponoszą solidarną odpowiedzialność. Administrator lub podmiot przetwarzający, którzy zapłacili odszkodowanie za całą wyrzą-dzoną szkodę, mają prawo żądania od pozostałych administratorów lub podmiotów przetwa-rzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.
Postępowanie sądowe dotyczące odszkodowania prowadzi się przed sądem właściwym na mocy prawa państwa członkowskiego. Procedury przeciwko administratorowi lub podmiotowi przetwarzającemu wszczyna się przed sądem państwa członkowskiego, w którym admini-strator lub podmiot przetwarzający posiadają siedzibę. Ewentualnie postępowanie takie może zostać wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu, chyba że administrator lub podmiot przetwarzający są organem publicznym państwa członkowskiego wykonującym swoje uprawnienia publiczne.
Nakładanie kary pieniężnej
Art. 77 RODO przewiduje, że każda osoba, której dane dotyczą, może wnieść skargę do or-ganu nadzorczego (prezesa UODO) w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie jej danych osobowych narusza przepisy RODO. Prezes UODO ma obowiązek informować osobę pokrzywdzoną naruszeniem danych o postępach w rozpoznawaniu sprawy, a także poinformować o możliwości zaskarżenia decyzji do sądu. Osoba pokrzywdzona może też złożyć skargę do sądu, gdy prezes UODO nie rozpoznał skargi lub nie poinformował oso-by, której dane dotyczą, w terminie trzech miesięcy o postępach lub efektach rozpatrywania skargi. Postępowanie przeciwko organowi nadzorczemu zostaje wszczęte przed sądem pań-stwa członkowskiego, w którym organ nadzorczy ma siedzibę.
Przesłanki nałożenia kary pieniężnej za naruszenie przepisów o ochronie danych określa art. 83 ust. 2 RODO. Prezes UODO bierze pod uwagę m.in. charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych osób, umyślny lub nieumyślny charakter czynu, jak rów-nież to, w jaki sposób odpowiedzialny za naruszenie danych osobowych współpracował z urzędem w celu usunięcia naruszenia lub złagodzenia jego skutków. Jeżeli administrator danych osobowych naruszy kilka przepisów RODO, całkowita wysokość administracyjnej kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze naruszenie. Wnie-sienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakre-sie administracyjnej kary pieniężnej.
Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 tys. złotych m.in. na urzędy administracji rządowej, samorządowej, ZUS, NFZ, NBP. Państwowe i samorządowe instytucje kultury mogą być ukarane karą pieniężną do 10 tys. zł. Pieniądze z administracyjnej kary pieniężnej stanowią dochód budżetu państwa.
Administracyjną karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Pre-zes UODO może, na wniosek podmiotu ukaranego, odroczyć termin uiszczenia administra-cyjnej kary pieniężnej albo rozłożyć ją na raty ze względu na ważny interes wnioskodawcy. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty nalicza się odsetki od nieuiszczonej kwoty. W przypadku rozłożenia administracyjnej kary pieniężnej na raty odsetki nalicza się odrębnie dla każdej raty.
Stosownie do art. 83 ust. 4 RODO naruszenie przepisów tego Rozporządzenia podlega admi-nistracyjnej karze pieniężnej w wysokości do 10 mln euro, a w przypadku firmy – w wysoko-ści do 2 proc. jej całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy grozi kara pieniężna w wy-sokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego cał-kowitego rocznego światowego obrotu z poprzedniego roku obrotowego. W myśl przepisów RODO nakładane kary pieniężne mają być skuteczne, odstraszające i proporcjonalne.
Inne kompetencje organu nadzorczego
Według art. 58 RODO organ nadzorczy ma też inne uprawnienia, m.in. prawo do:
• wydawania administratorowi lub podmiotowi przetwarzającemu ostrzeżeń dotyczą-cych możliwości naruszenia przepisów RODO poprzez planowane operacje przetwa-rzania,
• udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypad-ku naruszenia przepisów RODO przez operacje przetwarzania,
• nakazania administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO,
• nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów RODO, a w stosownych przypadkach wskazania sposobu i terminu,
• nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.
Prezes UODO może stosować wskazane wyżej środki bez konieczności nałożenia administra-cyjnej kary pieniężnej, jak również obok tej kary.
Odpowiedzialność karna za naruszenie RODO
Zgodnie z art. 84 RODO państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenie RODO. Art. 107 Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych przewiduje karę grzywny, ograniczenia wolności albo pozbawienia wolności do dwóch lat za bezprawne przetwarzanie danych osobowych. Jeżeli dojdzie do ujawnienia danych wrażli-wych dotyczących poglądów politycznych, przekonań religijnych, danych genetycznych, biometrycznych, seksualności czy orientacji seksualnej, Ustawa przewiduje karę grzywny, ograniczenia wolności albo pozbawienia wolności do lat trzech. Udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych podlegają grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Tej samej karze podlega ten, kto w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.
Postępowanie dyscyplinarne
Jeżeli prezes UODO na podstawie posiadanych informacji uzna, że doszło do naruszenia prze-pisów dotyczących przetwarzania danych osobowych, może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom, które dopuściły się naruszeń, i poinformowania go w określonym terminie o wynikach tego postępo-wania i podjętych działaniach, co wynika z art. 58 Ustawy o ochronie danych osobowych.
