Liczba skarg na naruszenie przepisów RODO kierowana do krajowych organów nadzorczych stale wzrasta. Część z nich stała się już podstawą do nałożenia kar finansowych w państwach europejskich. Warto więc zastanowić się nad tym, czy kwestią czasu nie pozostaje nałożenie pierwszych takich kar w Polsce.
Kary przewidziane przez RODO
Ogólne rozporządzenie o ochronie danych osobowych (dalej jako: „RODO”), przyznaje krajowym organom nadzorczym, monitorującym przestrzeganie RODO, szereg uprawnień[1]. Wśród nich znajdują się uprawnienia naprawcze, jak chociażby czasowe lub całkowite ograniczenie przetwarzania, czy czasowy lub całkowity zakaz przetwarzania danych osobowych.
Ponadto RODO przyznaje organom nadzorczym uprawnienie do stosowania, zamiast lub oprócz środków naprawczych, administracyjnej kary pieniężnej. Oznacza to możliwość łączenia środków stosowanych w przypadku naruszenia przepisów RODO. Może to rodzić szczególne dolegliwości po stronie podmiotów, które naruszenia się dopuściły.
Organy nadzorcze zobowiązane są zadbać o to, by nakładane na przedsiębiorców administracyjne kary pieniężne były w każdym przypadku skuteczne, proporcjonalne i odstraszające (skutek prewencyjny). Kara ma negatywnie oddziaływać na podmiot, który się dopuścił się naruszenia RODO, a ponadto zapobiegać takim naruszeniom w przyszłości.
Podejmując decyzję o nałożeniu administracyjnej kary pieniężnej oraz ustalając jej wysokość, organy nadzorcze obowiązane są do zwrócenia należytej uwagi na wiele okoliczności, takich jak charakter, waga i okres trwania naruszenia, umyślny charakter naruszenia czy kategoria danych osobowych, których naruszenie dotyczyło.
RODO przewiduje, w zależności od rodzaju naruszenia, kary pieniężne w wysokości do 10 000 000 euro w sprawach mniejszej wagi lub kary w wysokości do 20 000 000 euro przy poważniejszych naruszeniach. W przypadku przedsiębiorstwa, gdzie wysokość kary również zależy od wagi naruszenia, kary oscylują w wysokości 2% lub 4% całkowitego, rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, chyba, że kara ustalona kwotowo jest wyższa – wtedy ona znajduje zastosowanie.
Pierwsze nałożone kary
Po ośmiu miesiącach od wejścia w życie RODO pojawiły się pierwsze decyzje, nakładające na nierzetelnych przedsiębiorców ww. kary. Jedna z nich dotyczyła portugalskiego szpitala Barreiro-Montijo. Tamtejszy organ nadzorczy Comissão Nacional de Proteção de Dados (w skrócie CNPD) nałożył na szpital karę w wysokości 400 000 euro. Zgodnie z ustaleniami portugalskiego organu nadzorczego, dostęp do kont pacjentów, zawierających ich dane kliniczne, miało 985 aktywnych kont. Jest to o tyle ciekawe, że w szpitalu pracowało jedynie 296 lekarzy. Byli pracownicy szpitala nie zostali bowiem pozbawieni dostępu do kont.
Najwyższa kara za naruszenie RODO
Obecnie najwyższa kara nałożona na podstawie RODO wyniosła 50 000 000 euro. Dnia 21.01.2019 r. Francuska Komisja ds. Informatyki i Wolności (dalej jako: „CNIL”)[2] nałożyła karę na znanego giganta technologicznego – Google LLC. Bodźcem do nałożenia kary były dwie skargi grupowe skierowane do CNIL przez organizacje non-profit None Of Your Business (NOYB) oraz La Quadrature du Net (LQDN). Google zarzucono m.in. nierzetelne wypełnienie obowiązku informacyjnego. Zgodnie z nim informacje dotyczące przetwarzania mają być ujęte w sposób jasny, zwięzły i zrozumiały, umożliwiający użytkownikom zrozumienie w pełni zakresu przeprowadzanych operacji przetwarzania danych, z uwzględnieniem celów przetwarzania, podstaw i sposobów przetwarzania.
Google nie realizowało tego obowiązku głównie przez nadmierne rozproszenie informacji na temat przetwarzania danych osobowych w wielu dokumentach, polegające na przekierowywaniu użytkowników z każdym kolejnym kliknięciem do innego dokumentu. Najważniejszym zarzutem było jednak to, że Google nie zbierało ważnych zgód użytkowników na przetwarzanie ich danych osobowych, w szczególności związanych z procesem personalizacji reklam.
W ocenie CNIL, zgody pozyskiwane przez Google nie spełniały wymogu „konkretności” i „jednoznaczności”. Ich treść nie wskazywała precyzyjnie dla jakich celów są zbierane. Użytkownik nie mógł więc w sposób w pełni świadomy potwierdzić woli przetwarzania jego danych osobowych w konkretnym zakresie i celach.
Stosowanie kar w Polsce…
Dotychczas prezes Urzędu Ochrony Danych Osobowych nie nałożył żadnej kary finansowej za naruszenie RODO. Brak kar nie jest jednak jednoznaczny z brakiem zawiadomień o naruszeniach. Jest wręcz przeciwnie – zawiadomienia takie są składane. Ich skala zaś rośnie nie tylko w Polsce, ale i w innych państwach członkowskich. Kary są więc prawdopodobnie nieuniknione i pozostają jedynie kwestią czasu. Wynika to głównie z pośpiechu w jakim przedsiębiorstwa wdrażały postanowienia RODO.
Warto podkreślić, że, państwa członkowskie mają możliwość wprowadzania dodatkowych sankcji za naruszenia RODO. Możliwe są zatem sytuacje, w których wobec podmiotu naruszającego zostanie orzeczona łącznie wysoka kara pieniężna i środek naprawczy np. w postaci czasowego zakazu przetwarzania danych, albo wysoka kara pieniężna i inna sankcja przewidziana w ustawodawstwie państwa członkowskiego. W przypadku takiej kumulacji sankcji powstaje niebezpieczeństwo paraliżu działalności przedsiębiorstwa, w tym utraty płynności finansowej, co może spowodować nawet konieczność ogłoszenia upadłości przedsiębiorstwa.
[1] W Polsce Prezesowi Urzędu Ochrony Danych Osobowych.
[2] CNIL to francuski, krajowy organ ochrony danych osobowych.
