Jak w razie stwierdzenia naruszenia uniknąć kar finansowych w firmie

RODO umożliwia nakładanie administracyjnych kar pieniężnych m.in. na administratora oraz podmiot przetwarzający. W zależności od wagi naruszenia kary mogą sięgać do 20 000 000 euro, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy naruszeniach większej wagi) bądź do 10 000 000 euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy naruszeniach mniejszej wagi), przy czym zastosowanie będzie miała kwota wyższa.

Szczegółowe regulacje w zakresie tego, za jakie naruszenia może zostać nałożona kara wyższa, a za jakie niższa, znajdują się w art. 83 ust. 4, 5 i 6 RODO.

Przykładowo, kara w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, może zostać nałożona za naruszenie:

  • podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9,
  • praw osób, których dane dotyczą, o których mowa w art. 12–22.

Kara w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego będzie mogła być nałożona w przypadku m.in. naruszenia obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25–39 oraz 42 i 43 RODO.

Kary nakładane przez organy nadzorcze muszą być skuteczne, proporcjonalne i odstraszające. Co ważne jednak, kary muszą być zindywidualizowane i powinny uwzględniać konkretną sytuację. Administrator bądź podmiot przetwarzający, wiedząc, na co w szczególności będzie zwracał uwagę organ nadzorczy, może odpowiednio wcześnie zabezpieczyć swoje interesy, a tym samym ograniczyć ryzyko nałożenia kary bądź wpłynąć na jej obniżenie.

O tym, czy kara zostanie nałożona bądź w jakiej wysokości, będą decydować wskazane w art. 83 ust. 2 RODO przesłanki. Omawiając je, warto zwrócić uwagę na przyjęte przez Grupę Roboczą art. 29 w dniu 3 października 2017 r. wytyczne w sprawie stosowania i ustalania admi­nistracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679. Wytyczne te są dostępne na stronie: //www.giodo.gov.pl/pl/1520344/10432.

Do przesłanek wymienionych w art. 83 ust. 2 RODO zaliczają się:

  1. charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
  2. umyślny lub nieumyślny charakter naruszenia; 
    Grupa Robocza art. 29 wskazuje, iż umyślnym naruszeniem będzie np. niezgodne z prawem działanie zatwierdzone przez ścisłe kierownictwo administratora bądź dokonane z pominięciem wytycznych udzielonych przez inspektora ochrony danych lub realizowane z naruszeniem istniejących polityk. Przykładem działania umyślnego byłby handel danymi w celach marketingowych bez sprawdzenia lub ignorując poglądy osób, których dane dotyczą, w odniesieniu do sposobu użycia tych danych;
  3. działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
    Organ nadzorczy będzie więc brał pod uwagę to, czy administrator lub podmiot przetwarzający podejdzie do naruszenia w sposób odpowiedzialny. Przykładowo, jak wskazuje Grupa Robocza art. 29, chodzi o kontaktowanie się z innymi administratorami lub podmiotami przetwarzającymi, którzy mogli uczestniczyć w rozszerzeniu zakresu przetwarzania, np. gdy doszło do omyłkowego udostępnienia danych stronom trzecim;
  4. stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;
    Stopień odpowiedzialności wg Grupy Roboczej art. 29 może dotyczyć następujących kwestii:
  • Czy administrator wdrożył środki techniczne zgodne z zasadą uwzględniania ochrony danych w fazie projektowania lub z zasadą domyślnej ochrony danych?
  • Czy administrator wdrożył środki organizacyjne, które zapewniają skuteczność zasady uwzględniania ochrony danych w fazie projektowania i zasady domyślnej ochrony danych na wszystkich poziomach organizacji?
  • Czy administrator/podmiot przetwarzający zapewnił odpowiedni poziom bezpieczeństwa zgodnie z art. 32?
  • Czy na odpowiednim poziomie zarządzania w organizacji są znane i stosowane właściwe procedury/polityki ochrony danych?

Prezes Urzędu Ochrony Danych będzie więc badał, czy administrator zrobił wszystko, czego można było od niego oczekiwać, biorąc pod uwagę przepisy RODO. Z pewnością dobrym rozwiązaniem będzie naśladowanie najlepszych praktyk, o ile takie istnieją i znajdują zastosowanie. Jak podkreśla Grupa Robocza art. 29, należy wziąć pod uwagę normy branżowe, a także kodeksy postępowania w danej dziedzinie lub zawodzie.

  1. wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
    Według Grupy Roboczej art. 29 organ nadzorczy powinien więc ocenić:
  • Czy administrator (podmiot przetwarzający) do­puścił się wcześniej tego samego naruszenia?
  • Czy administrator (podmiot przetwarzający) dopuścił się naruszenia rozporządzenia w ten sam sposób (np. w wyniku niewystarczającej znajomości istniejących procedur w organizacji lub w wyniku niewłaściwej oceny ryzyka, braku reakcji na wnioski osób, których dane dotyczą, w odpowiednim czasie, nieuzasadnionego opóźnienia w udzielaniu odpowiedzi na wnioski itp.)?
  1. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
    Nie chodzi tutaj, jak podnosi Grupa Robocza art. 29, o współpracę, która jest wymagana przepisami prawa (przykładowo o dostęp do pomieszczeń w celu przeprowadzenia audytów/inspekcji), ale np. o reakcję na wnioski organu nadzorczego w fazie dochodzenia w konkretnej sprawie, co ograniczyło wpływ na prawa danych osób;
  2. kategorie danych osobowych, których dotyczyło naruszenie, przykładowo, czy naruszenie dotyczy danych, o których mowa w art. 9 i 10 RODO;
  3. sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
    Niedbałość w powiadomieniu organu nadzorczego polegająca na niedopełnieniu obowiązku powiadomienia lub niepowiadomieniu o wszystkich szczegółach naruszenia na skutek niepoprawnej oceny rozmiaru naruszenia może zdaniem Grupy Roboczej art. 29 zasłużyć na poważniejszą sankcję;
  4. jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
    Chodzi tutaj o przestrzeganie środków, które mogą zostać nałożone w konkretnej sprawie przez organ nadzorczy, a które to uprawnienia naprawcze są wyraźnie wskazane w art. 58 ust. 2 RODO;
  5. stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42;
    Co podkreśla Grupa Robocza art. 29, społeczność stosująca zatwierdzony kodeks postępowania powinna sama podejmować odpowiednie działania przeciwko swojemu członkowi, np. za pomocą odpowiednich systemów monitorowania i egzekwowania kodeksu postępowania. Organ nadzorczy będzie mógł więc uznać, że takie środki są wystarczająco skuteczne, proporcjonalne lub odstraszające i w konsekwencji odstąpić od nakładania dodatkowych środków (w tym kar administracyjnych). Stosowanie zatwierdzonych kodeksów postępowania może więc przyczynić się do rezygnacji z wymierzenia kary bądź obniżenia jej wysokości. Należy jednak pamiętać, że organ nadzorczy nie ma obowiązku uwzględniania wcześniej nałożonych kar w ramach systemu samoregulacyjnego;
  6. wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty;
    Osiągnięcie przez administratora korzyści z tytułu naruszenia RODO może więc stanowić dodatkowy argument dla organu nadzorczego do zastosowania kary pieniężnej.

Wszystkie powyższe elementy powinny zostać uwzględnione przy wymierzaniu kary administracyjnej, co oznacza, że podmiot, który chce się bronić przed nałożeniem lub wysokością kary, powinien zwrócić na te przesłanki szczególną uwagę.

Odpowiadając na pytanie, jakie dowody zbierać, aby chronić się przed karami, należy przede wszystkim zacząć od prawidłowego wdrożenia u siebie przepisów RODO. Należy podkreślić, iż prawidłowe wdrożenie przez administratora obejmuje:

  • audyt aktualnej sytuacji w zakresie przetwarzania danych osobowych,
  • weryfikację posiadanej dokumentacji w zakresie danych osobowych,
  • dostosowanie wyników audytu do wdrożenia RODO,
  • przygotowanie dokumentacji i procedur,
  • powołanie inspektora ochrony danych osobowych,
  • przeprowadzenie analizy ryzyka lub oceny skutków,
  • opracowanie zasad postępowania w przypadku kontaktu z osobami, których dane dotyczą, w tym w przypadku otrzymania żądań od osób, których dane dotyczą,
  • bieżące lub okresowe monitorowanie pozostawania w zgodności z RODO.

Mimo iż RODO wymaga przygotowania stosunkowo niewielkiej dokumentacji, mocno rekomendowane jest jednak opracowanie dokumentacji i procedur, które pozwolą administratorowi na rozliczenie się z przestrzegania RODO.

Należy posiadać:

  • rejestr czynności przetwarzania danych;
  • rejestr naruszeń ochrony danych osobowych;
  • umowy powierzenia przetwarzania danych w przypadku powierzenia danych podmiotom zewnętrznym i przetwarzania tych danych w imieniu administratora (np. korzystanie z usług firm hostingowych) – wymogi odnośnie treści tej umowy są wyraźnie wskazane w RODO; administrator może także korzystać (zamiast z umowy powierzenia przetwarzania danych) z instrumentu prawnego, który podlega prawu Unii lub prawu państwa członkowskiego i który wiąże podmiot przetwarzający i administratora (np. uchwała).

Powyższa dokumentacja stanowi absolutne minimum. Ponadto rekomendowane jest stworzenie:

  • polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym, załącznikami do tych dokumentów może być wzór upoważnienia dla pracowników oraz wzór oświadczenia pracownika o zapoznaniu się z dokumentami i zobowiązaniu do ich przestrzegania,
  • ewidencji udzielonych upoważnień do przetwarzania danych osobowych,
  • procedury ustosunkowywania się do żądań osób, których dane dotyczą, oraz zasad postępowania w przypadku kontaktu z osobami, których dane dotyczą,
  • procedury postępowania w przypadku wystąpienia incydentów bezpieczeństwa (naruszeń danych osobowych), zawierającej wzór zgłoszenia naruszenia,
  • klauzul informacyjnych (chyba że administrator jest zwolniony z obowiązku informacyjnego),
  • formularzy zgód (o ile dane są pozyskiwane na podstawie zgody danej osoby, a nie przepisu prawa),
  • dokumentacji w zakresie powołania inspektora ochrony danych osobowych i jego zgłoszenia (odwołania, zmian) do Prezesa Urzędu Ochrony Danych, sposobu współpracy z inspektorem,
  • procedury przeprowadzania analizy ryzyka lub oceny skutków dla ochrony danych osobowych i monitorowania jej aktualności.

Jak wskazano wcześniej, organ nadzorczy może brać pod uwagę wszelkie obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy. Z pewnością prawidłowe wdrożenie RODO stanowi punkt wyjścia. Zaistnienie naruszenia pociąga jednak konieczność szybkiego, skutecznego i odpowiedzialnego działania dopasowanego do konkretnego naruszenia. Warto więc w razie stwierdzenia naruszenia przeanalizować wskazane przesłanki w zakresie nakładania kar administracyjnych oraz wytyczne Grupy Roboczej art. 29 i próbować ograniczyć odpowiedzialność w tej konkretnej sytuacji.

Rekomendowane jest obserwowanie praktyki w zakresie wymierzania kar administracyjnych i w razie potrzeby korygowanie podjętych przez siebie działań lub zaniechań.