Kryteria decydowania o zastosowaniu kar pieniężnych lub innych środków karnych

Rozporządzenie wskazuje na konieczność dokonania dogłębnej oceny każdej sytuacji naruszenia przepisów i zbadania, czy wystarczające będzie nałożenie przez organ nadzorczy kary pieniężnej czy też zastosowanie innego środka (np. upomnienia). Przy tej ocenie organ nadzorczy powinien wziąć pod uwagę:

  • charakter, wagę oraz czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
  • umyślny lub nieumyślny charakter naruszenia;
  • działania podjęte dla zminimalizowania szkody;
  • stopień odpowiedzialności z uwzględnieniem środków technicznych i organizacyjnych przez nich wdrożonych;
  • wszelkie mające znaczenie wcześniejsze naruszenia;
  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentual­nych negatywnych skutków;
  • kategorie danych osobowych, których dotyczyło naruszenie;
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
  • przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający (jeżeli były wcześniej nałożone);
  • stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji;
  • wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.  

Karę pieniężną w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa – stosuje się za naruszenia obowiązków administratora (lub podmiotu przetwarzającego dane), o których mowa w:

  1. Art. 8, obowiązki związane z przetwarzaniem danych osobowych dziecka poniżej 16 lat (państwo członkowskie może obniżyć ten próg do 13 lat) w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku bez wyrażonej lub zaaprobowanej zgody przez osobę sprawującą władzę rodzicielską lub opiekę nad dzieckiem. Należy pamiętać, że administrator danych jest zobowiązany podjąć „rozsądne starania”, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.
  2. Art. 11, obowiązki związane z przetwarzaniem nie­wymagającym identyfikacji.
  3. Art. 25, obowiązki związane z wdrożeniem odpowiednich środków technicznych i organizacyjnych (pseudo­nimizacja, minimalizacja) w celu zabezpieczenia danych m.in. przed dostępem osób nieuprawnionych oraz zapewnienia realizacji zasady adekwatności przetwarzanych danych (by przetwarzać tylko te dane, które są niezbędne do realizacji określonych celów).
  4. Art. 26, obowiązki związane z uzgodnieniem zakresów odpowiedzialności współadministratorów danych.
  5. Art. 27, obowiązki związane z wyznaczeniem na piśmie przedstawiciela w Unii przez administratora danych lub podmiot przetwarzający niemający jednostek orga­nizacyjnych w Unii Europejskiej.
  6. Art. 28, obowiązki związane z właściwym uregulowaniem relacji pomiędzy administratorem danych a podmiotem przetwarzającym dane w jego imieniu.
  7. Art. 29, obowiązki związane z przetwarzaniem danych przez podmioty przetwarzające oraz osoby działające z upoważnienia mające dostęp do danych osobowych wyłącznie na polecenie administratora danych.
  8. Art. 30, obowiązki związane z prowadzeniem rejestru czynności przetwarzania danych osobowych przez admi­nistratora danych.
  9. Art. 31, obowiązki związane ze współpracą administratora danych oraz podmiotu przetwarzającego z organem nadzorczym.
  10. Art. 32, obowiązki związane z wdrożeniem odpowiednich środków organizacyjnych i technicznych w celu zapewnienia stopnia bezpieczeństwa odpowiadającemu ryzyku utraty lub ujawnienia danych (pseudonimizacja, szyfrowanie, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania).
  11. Art. 33, obowiązki związane ze zgłoszeniem naruszenia ochrony danych osobowych do organu nadzorczego w ciągu 72 godzin oraz dokumentowanie naruszenia zasad ich przetwarzania.
  12. Art. 34, obowiązki związane z zawiadomieniem osoby, której dane dotyczą, o fakcie naruszenia ochrony danych osobowych.
  13. Art. 35, obowiązki związane z oceną skutków planowanych operacji przetwarzania dla ochrony danych osobowych według przewidzianej w rozporządzeniu procedury.
  14. Art. 36, obowiązki związane z koniecznością konsultowania się z organem nadzorczym, w związku z efektem oceny skutków dla ochrony danych, o której stanowi art. 35 rozporządzenia.
  15. Art. 37, obowiązki związane z wyznaczeniem inspektora ochrony danych osobowych.
  16. Art. 38, obowiązki związane z zapewnieniem niezależności oraz umożliwienia swobodnego wykonywania czynności przez inspektora ochrony danych oso­bowych.
  17. Art. 39, obowiązki związane z wypełnianiem przez inspektora ochrony danych swoich obowiązków.
  18. Art. 42 oraz art. 43, obowiązki związane z realizacją oraz zapewnieniem przejrzystości przyjętego przez administratora danych lub podmiot przetwarzający mechanizmu certyfikacji.
  19. Art. 42 oraz art. 43, obowiązki podmiotu certyfikującego.
  20. Art. 41 ust. 4, obowiązki podmiotu monitorującego.

Karę pieniężną w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa – stosuje się za naruszenia, o których mowa w:

  1. Art. 5, 6, 7 oraz 9, w zakresie podstawowych zasad przetwarzania, w tym warunków zgody.
  2. Art. 12–22, w zakresie praw osób, których dane dotyczą.
  3. Art. 44–49, w zakresie przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej.
  4. Art. 85–91, w zakresie wykonywania obowiązków wynikających ze szczegółowych uregulowań państw członkowskich, wydanych w granicach i na podstawie art. 85–91 (rozdziału IX rozporządzenia).
  5. Art. 58, w zakresie nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienia dostępu organowi nadzorczemu.

Należy zwrócić uwagę na ograniczenie wysokości kary pieniężnej zawarte w art. 83 ust. 3 rozporządzenia, które stanowi, że całkowita wysokość nałożonej kary pieniężnej w przypadku naruszenia (umyślnie lub nieumyślnie) kilku
przepisów w związku z tymi samymi lub powiązanymi operacjami przetwarzania nie może przekroczyć kary za najpoważniejsze naruszenie.