Odpowiedzialność za naruszenie zasad ochrony danych osobowych

Rozporządzenie wprowadza nowy mechanizm nakładania kar pieniężnych za naruszenie przepisów rozporządzenia. Kary mają charakter administracyjny. Oprócz sankcji administracyjnych, nakładanych przez organy nadzorcze w ramach ich kompetencji naprawczych na mocy art. 58 ust. 2 rozporządzenia, ustawodawca przewidział możliwość nakładania administracyjnych kar pieniężnych oraz określił zasady odpowiedzialności cywilnoprawnej.

Ustanowione w RODO administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych spowodowały ujednolicenie zasad ich nakładania przez organy nadzorcze w poszczególnych państwach UE.

Służy to wzmocnieniu i zharmonizowaniu sankcji administracyjnych oraz jest naturalną konsekwencją ujednolicenia wymogów dotyczących ochrony danych osobowych na poziomie UE.

Artykuł 83 ust. 2 rozporządzenia przewiduje, że administracyjne kary pieniężne nakłada się jednocześnie z nakazami określonymi w art. 58 ust. 2 rozporządzenia albo zamiast nich. Organy nadzorcze państw Unii mają zapewnić, że stosowane kary będą „w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające” (art. 83 ust. 1 rozporządzenia). W powołanym artykule zostały ujednolicone kryteria, które organ nadzorczy musi wziąć pod uwagę, decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość.

Rozporządzenie dopuszcza ustanowienie przez państwa członkowskie także innego mechanizmu nakładania kar (np. ustanowienie przepisów karnych obok pieniężnych kar administracyjnych), pod warunkiem że nie będzie to prowadziło do orzekania więcej niż raz w tej samej sprawie. Zgodnie z art. 83 ust. 7 rozporządzenia „każde państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim”.

Ustalenie, czy (a jeżeli tak, to w jakim zakresie) pod kary pieniężne będą podlegały organy publiczne, rozporządzenie pozostawia konkretnym państwom członkowskim.                                       

Rozporządzenie w ustępie 148 Preambuły wskazuje, że w pewnych sytuacjach zamiast kary pieniężnej powinno zostać udzielone „upomnienie” – dotyczy to sytuacji, w których „(…) naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie (...)”.

Art. 58 ust. 2 rozporządzenia wskazuje inne niż kary pieniężne środki, jakimi organ nadzorczy może się posługiwać w stosunku do administratorów łamiących przepisy RODO. Do takich narzędzi należą:

  • wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu w związku z możliwością naruszenia przepisów rozporządzenia przez planowane operacje przetwarzania;
  • udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przetwarzania przez operacje przetwarzania;
  • nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy rozporządzenia;
  • nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;
  • nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
  • wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania danych, w tym zakazu przetwarzania;
  • nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
  • cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;
  • nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.