Od 2018 r. sankcje za nieprzestrzeganie przepisów o ochronie danych osobowych

Za rok, od 25 maja 2018 r. zaczną obowiązywać przepisy europejskiego rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („Rozporządzenie”). Aktualnie obowiązująca Dyrektywa 95/46/WE zostanie ona zastąpiona nowym Rozporządzeniem.

zdjDyrektywa 95/46/WE wdrażana była w każdym kraju Unii Europejskiej w oparciu o wewnętrzne ustawodawstwo. W Polsce, opracowana i przyjęta została Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Praktyka działania wewnętrznych przepisów o ochronie danych osobowych w poszczególnych krajach wykazała, iż wprawdzie większość ustaw o ochronie danych osobowych obowiązujących na terenie Unii jest do siebie zbliżonych, jednak w każdej z nich występują pewne różnice i odrębności.

Nowe Rozporządzenie będzie co do zasady (z licznymi wyjątkami) jednolicie obowiązywać  we wszystkich krajach członkowskich Unii Europejskiej. Nie jest to jednak akt prawny bezpośrednio obowiązujący, którego szereg elementów de facto trzeba implementować w prawie krajowym.

Większość podstawowych zasad dotyczących ochrony danych osobowych uregulowanych w Rozporządzeniu jest analogiczna, jak występujące w obecnej ustawie o ochronie danych osobowych. Istotnym novum jednak możliwość nakładania na podmioty przetwarzające dane osobowe administracyjnych kar pieniężnych za niezgodne z prawem przetwarzanie danych. Podkreślić należy, iż przewidziane w Rozporządzeniu kary są bardzo surowe.

Ustawodawca europejski, ustanawiając administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych, zdecydował się na ujednolicenie zasad ich nakładania przez organy nadzorcze. Wprowadzenie takich jednolitych sankcji na podmioty naruszające zasady bezpieczeństwa danych osobowych we wszystkich krajach unijnych ma na celu zharmonizowanie wymogów dotyczących ochrony danych osobowych w całej Unii Europejskiej.

Jednocześnie, jak wynika z samego sformułowania art. 83 ust. 1 Rozporządzenia, organy nadzorcze mają zapewnić, aby kary były „w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające”.  Jak bowiem wynika z praktyki działania dotychczas obowiązujących przepisów prawa, ich skuteczność nie jest wielka, a stosowane sankcje nie mają charakteru prewencyjnego, czy odstraszającego.  Zazwyczaj sankcje sprowadzają się do wydania przez GIODO decyzji nakazującej podmiotowi przetwarzającemu dane osobowe przywrócenie stanu zgodnego z prawem. Bardzo rzadko zdarza się, aby na podmioty naruszające przepisy o ochronie danych osobowych nakładane były kary pieniężne, bowiem jest to dopuszczalne, gdy adresat decyzji GIODO, nie zastosuje się do jej dyspozycji.

Również zawarte w aktualnie obowiązującej Ustawie o ochronie danych osobowych przepisy karne nie działają wystarczająco prewencyjnie, biorąc pod uwagę fakt, że jeśli nawet do organów ścigania kierowane są zawiadomienia o podejrzeniu popełnienia przestępstwa, takie postępowania kończą się wydaniem decyzji o umorzeniu postępowania z uwagi na niską szkodliwość społeczną czynu.

Rozporządzenie wprowadza wysokie kary pieniężne.

Za naruszenie istotnych przepisów ochrony danych osobowych przewidzianych w Rozporządzeniu podmiot przetwarzający dane osobowe może zostać ukarany grzywną w wysokości do 20 mln EUR, a w przypadku przedsiębiorstwa do 4% całkowitego światowego obrotu z poprzedniego roku.

W sprawach mniejszej wagi, sankcje są mniejsze o połowę  tj. do 10 mln EUR lub do 2% światowego obrotu – czyli i tak ogromne.

Wprowadzenie jednolitych zasad dotyczących karania za naruszenie ochrony danych osobowych ma na celu zapewnienie jak najwyższego, jednolitego poziomu bezpieczeństwa danych osobowych na całym terytorium Unii Europejskiej, ale również uniemożliwienie unikania tzw. forum shopping, czyli przenoszenia działalności do państw, w których sankcje za naruszenie wymogów bezpieczeństwa danych będą niższe.

O tym, czy ewentualne kary finansowe za nieprzestrzeganie wymogów bezpieczeństwa danych osobowych będą mogły być nakładane również na publiczne podmioty przetwarzające dane osobowe, mogą samodzielnie zadecydować kraje członkowskie.

Nowe Rozporządzenie wprowadza zasady odpowiedzialności odszkodowawczej za naruszenie jego przepisów. Art. 82 ust. 2 Rozporządzenia stanowi, że „osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów Rozporządzenia ma prawo do uzyskania od administratora lub procesora odszkodowania za poniesioną szkodę”. Oznacza to, iż odszkodowanie za szkodę majątkową lub niemajątkową spowodowaną naruszeniem Rozporządzenia, może być dochodzone przez każdą osobę od administratora lub podmiotu przetwarzającego, gdy ten nie dopełnił obowiązków, które Rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Administrator lub podmiot przetwarzający nie będą ponosić odpowiedzialności odszkodowawczej, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

Kancelaria Radców Prawnych Stopczyk & Wspólnicy Sp. k.

Kancelaria zastrzega, że niniejszy artykuł zawiera jedynie ogólny zarys poruszonych w nim zagadnień. Artykuł nie stanowi porady prawnej, opinii prawnej, ani też analizy konkretnego stanu faktycznego. W razie jakichkolwiek pytań lub wątpliwości z Państwa strony, serdecznie zachęcamy do kontaktu z naszą Kancelarią.

Dodaj komentarz

Twój adres e-mail nie będzie publikowany. Zaznaczone pola są obowiązkowe *

*