Kary za naruszenie RODO – uważaj na odszkodowania
Nawet 20 milionów euro – tyle może wynieść kara za naruszenie przepisów RODO. Przedsiębiorcy mogą też zostać pociągnięci do odpowiedzialności przez samych klientów i zobowiązani do wypłaty odszkodowania na ich rzecz.
Pierwszy szum dotyczący wprowadzenia RODO mamy za sobą, ale to nie koniec reperkusji, jakie może nieść ze sobą dla przedsiębiorców. Unijne Rozporządzenie Ogólne o Ochronie Danych Osobowych, znane wszystkim jako RODO, dotyczy praktycznie wszystkich firm. Obejmuje każde przedsiębiorstwo, które przetwarza dane osobowe, ale, co ważne, za „przetwarzanie” rozumie się również samo posiadanie danych klientów.
Co grozi za złamanie RODO? Kary finansowe
Rozporządzenie przewiduje, że za najcięższe naruszenie przepisów grozi kara nawet do 20 mln euro. Oczywiście nie jest to kwota, która będzie brana pod uwagę przy małych przedsiębiorstwach, ale wyraźnie pokazuje, jak poważnie obecnie traktowana jest kwestia danych osobowych.
Kary za nieprzestrzeganie RODO są nakładane w drodze decyzji administracyjnej wydawanej przez Prezesa Urzędu Ochrony Danych Osobowych (UODO). Przepisy przewidują dwie kategorie kar finansowych, w zależności od rodzaju naruszenia. Organ nadzorczy może nałożyć karę administracyjną w wysokości do 10 lub 20 mln euro bądź do 2 lub 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.
Ostateczna decyzja o wysokości kary powinna zależeć również od takich czynników, jak m.in.:
- charakter czynu, jego waga i czas trwania naruszenia,
- działania podjęte w celu zminimalizowania szkody,
- stopień odpowiedzialności administratora danych,
- zachowanie po naruszeniu zasad ochrony (np. stopień współpracy z organem nadzorczym),
- kategorie danych osobowych, których dotyczyło naruszenie przepisów RODO,
- inne czynniki obciążające lub łagodzące (np. osiągnięte korzyści finansowe lub uniknięte straty).
Odpowiedzialność karna
Naruszenie RODO może skutkować także odpowiedzialnością karną. Przepisy zawarte w ustawie o ochronie danych osobowych przewidują – w zależności od rodzaju czynu – karę grzywny, ograniczenie wolności lub pozbawienie wolności (nawet do trzech lat). Zgodnie z zasadami prawa, odpowiedzialność karną za niedopuszczalne lub nieuprawnione przetwarzanie danych osobowych ponoszą zawsze osoby fizyczne, którym można przypisać to działanie. Zatem kara pozbawienia wolności nie może zostać orzeczona wobec administratora, ale wobec pracownika, który dopuścił się naruszenia zasad RODO.
Odszkodowanie za wyciek danych osobowych
Swoich praw mogą dochodzić również sami klienci. Jeżeli uznają, że ich dobra zostały naruszone, mogą zwrócić się z tym do sądu. I tutaj zaczynają się potencjalne komplikacje.
Rozporządzenie mówi o „szkodach majątkowych i niemajątkowych”. O ile szkody majątkowe są stosunkowo łatwe do oszacowania i sądy zajmują się takimi sprawami nie od dziś, to kwestia szkód niemajątkowych generuje spekulacje. Czym w przypadku RODO jest szkoda niemajątkowa? Nie wiadomo. Wydaje się w takim razie, że jeżeli ktoś poczuje się urażony faktem, że jego nazwisko „wyciekło” z listy poparcia dla danej partii politycznej, może dochodzić swoich praw w sądzie. I analogicznie, jeżeli nazwisko Twojego klienta (jako osoby korzystającej z usług Twojej firmy) wyjdzie na jaw, potencjalnie możesz narazić się na pozew sądowy o odszkodowanie.
Jak wysokie mogą być odszkodowania w przypadku naruszenia RODO? Niestety, tego również nie wiadomo. To całkowicie nowy teren zarówno dla przedsiębiorców, klientów, jak i samych sądów, do których będą trafiały takie sprawy.
Kary za naruszenie RODO – czy jest się czego obawiać?
Największe emocje i obawy w związku z wprowadzeniem RODO pojawiły się oczywiście wokół olbrzymich sankcji karnych, które potencjalnie może otrzymać przedsiębiorca. Czy rzeczywiście należy się tego obawiać? Wysokie kary finansowe zostały wprowadzone przede wszystkim po to, by przeciwdziałać nieuczciwym praktykom przetwarzania danych osobowych przez duże firmy. Na celowniku są w szczególności koncerny działające w branży teleinformatycznej oraz świadczące tzw. usługi społeczeństwa informacyjnego.
To jednak wcale nie oznacza, że narzędzia tego nie można wykorzystać w odniesieniu do małego i średniego przedsiębiorcy. Jednak aby tak się stało, muszą pojawić się istotne przesłanki zwiększające jego odpowiedzialność. Warto również pamiętać, że administracyjne kary pieniężne nie mają obligatoryjnego charakteru. Oznacza to, że nawet pomimo stwierdzenia naruszenia przepisów RODO, organ nadzorczy nie jest zobowiązany do wymierzenia kary. Może też uznać, że kara pieniężna byłaby zbyt dotkliwym środkiem dla przedsiębiorcy – w tym przypadku zastosowanie znajdują środki naprawcze, np. upomnienie lub wprowadzenie ograniczenia przetwarzania danych.
Dziękujemy za zapisanie się do Newslettera!
Spodobał Ci się artykuł i chcesz otrzymywać więcej ciekawych treści?
Bądź na bieżąco z naszymi najnowszymi artykułami i raportami specjalnymi, które pomogą Ci rozwijać Twój biznes.