Wszem i wobec bombardują nas informacje o tym, że za brak przestrzegania przepisów związanych z RODO można otrzymać ogromne kary administracyjne. Jednak w ostatecznym rozrachunku jak czytam niektóre komentarze w sieci dotyczące RODO to część mikro i małych przedsiębiorców wychodzi z założenia, że skoro są małymi przedsiębiorcami albo takimi mikro mikro – czy nawet prowadzącymi działalność nierejestrowaną, to za wiele robić nie muszą, bo w sumie “UODO zajmuje się tymi większymi”. Nic bardziej błędnego i szczerze powiedziawszy marti mnie taki tok myślenia innych.
Jednak warto wskazać, że kary administracyjne to tylko jeden przykład kar jakie może ponieść osoba lub inny podmiot np. osoba prawna, która przetwarza dane osobowe.
Trzeba wiedzieć, że na gruncie przepisów RODO jest kilka rodzajów odpowiedzialności.
- Odpowiedzialność administracyjna
- Odpowiedzialność odszkodowawcza oraz zadośćuczynienie
- Odpowiedzialność karna
W zależności z jaką sytuacją (jakim stanem faktycznym) mamy do czynienia te odpowiedzialnością mogą być pojedyncze, albo mogą być połączone. Nic nie stoi na przeszkodzie, aby administrator, który otrzymał karę administracyjną odpowiadał również w zakresie odszkodowania przed osobami, których dane dotyczą.
Hipotetyczny przykład. Właściciel salonu kosmetycznego rażąco naruszył przepisy RODO, nie zabezpieczał danych osobowych (w tym danych o stanie zdrowia) swoich klientów. Doszło do wycieku tych danych. Prezes Ochrony Danych osobowych w ramach swoich kompetencji weryfikuje dane zdarzenie – jak również fakt czy taki incydent został w określonym rozporządzeniem czasie zgłoszony oraz wydaje decyzję. Może nałożyć na taki podmiot karę. Jednak nic nie stoi na przeszkodzie, aby osoby, które doznały szkody materialnej czy niematerialnej na skutek tego wycieku dochodziły swoich praw przed sądem. Przyzwoleniem tego stanu rzeczy jest artykuł 82 Rozporządzenia o ochronie danych osobowych.
Zgodnie z jego treścią:
Prawo do odszkodowania i odpowiedzialność
1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporzą dzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwa rzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
4. Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.
5. Administrator lub podmiot przetwarzający, który zgodnie z ust. 4 zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowie dzialność, zgodnie z warunkami określonymi w ust. 2.
6. Postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego, o którym mowa w art. 79 ust. 2.”
Co to oznacza? Oznacza to tyle, że administrator chcąc zwolnić się z odpowiedzialności musi udowodnić, że nie ponosi winy. Jest to ogromnie ważne ponieważ całe RODO cechuje “rozliczalność” a co za tym idzie ciężar dowodu, że działa zgodnie z prawem administrator lub podmiot przetwarzający zawsze będzie spoczywał na nich.
Co ważne można już przeczytać o wyrokach w zakresie odszkodowania za naruszenie danych osobowych. Ostatni wskazuje na kwotę 1500zł.
Przepisy karne nie wynikają wprost z Rozporządzenia RODO. Z artykułu 84 dowiadujemy się, że prawodawca eurpejski te uprawnienia przypisuje państwom członkowskim. Zatem przepisów tych należy szukać w ustawie o ochronie danych osobowych z 10 maja 2018r.
Artykuł 107 tejże ustawy wskazuje, że:
1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.
Natomiast warto wskazać również na artykuł 108 tejże ustawy, głównie dlatego, że coraz częściej słyszy się o sytuacjach, w których przedsiębiorcy nie odbierają poczty od Prezesa Urzędu Ochrony Danych Osobowych.
Zgodnie z tym artykułem:
Art. 108. [Udaremnianie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych; niedostarczenie Prezesowi UODO danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej]
1. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Tej samej karze podlega kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.
Jaki z tego wniosek?
Po 1. Przestrzegaj wymogów związanych z RODO – brak podstawy prawnej do przetwarzania danych osobowych może doprowadzić do odpowiedzialności karnej!
Po 2. Szanuj prawa osób, których dane dotyczą
Po 3. Odbieraj korespondencję od organów administracji
Po 4. Poszerzaj swoją i swoich pracowników wiedzę w zakresie ochrony danych osobowych.
Źrodła:
1. Ustawa z dnia 10 maja 2018 r.o ochronie danych osobowych
2. ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
__________________________________________________
Autor:
Charlotta Lendzion, Prawnik, właściciel LLEGAL, Stały Mediator przy Sądzie Okręgowym w sprawach cywilnych,
Członkini Stowarzyszenia Praktyków Ochrony Danych SPOD, Autorka książki z zakresu odpowiedzialności odszkodowawczej oraz licznych artykułów prawniczych. Certyfikowany Tester Oprogramowania -ISTQB FL, Certyfikowany Trener Szkoleniowiec, Aktualnie w trakcie badań naukowych w ramach pracy doktorskiej z zakresu prawa nowych technologii i zobowiązań. Na codzień wspieram przedsiębiorców w sprawach z zakresu ochrony danych osobowych oraz prawa przedsiębiorców.
Jeżeli potrzebujesz wsparcia lub dokumentacji w zakresie RODO w twoim przedsiębiorstwie pisz śmiało.
KONTKT
__________________________________________________
Podana powyżej treść nie jest opinią prawną ani poradą prawną. Wszelkie decyzje powinny być podejmowane na podstawie dokładnej analizy ryzyka oraz weryfikacji prawnej. Tylko dokładna weryfikacja stanu faktycznego Twojej sprawy umożliwia wskazanie najlepszych rozwiązań prawnych w Twojej sprawie. W tym celu skontaktuj się z prawnikiem. Artykuły zamieszczone na stronie są aktualne na dzień publikacji, z racji tego, że prawo często się zmienia mniej na uwadze to, że podane informacje mogą być już nieaktualne.
Bądź pierwszy, który skomentuje ten wpis