RODO i nowy system kar za naruszenie przepisów z zakresu ochrony danych osobowych

Przyszły rok przyniesie rewolucję w ochronie danych osobowych w całej Unii Europejskiej – w oczekiwaniu na RODO.

Począwszy od dnia 25 maja 2018 r. stosowane będzie przyjęte w  biegłym roku rozporządzenie Parlamentu Europejskiego i Rady Europejskiej w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/ WE zwane też ogólnym rozporządzeniem o ochronie danych lub RODO. Zmiany dotyczyć będą między innymi warunków udzielenia zgody na przetwarzanie danych osobowych, procedur zgłaszania naruszeń oraz transferów danych poza Unię Europejską.

Z punktu widzenia wielu administratorów danych oraz osób odpowiedzialnych za przetwarzanie danych na zlecenie (processor) najistotniejsza staje się kwestia zmiany zasad odpowiedzialności z tytułu naruszenia przepisów z zakresu ochrony danych osobowych.

Zgodnie z obecnie obowiązującymi przepisami administrator danych, jak i processor mogą za niezgodne z prawem przetwarzanie danych osobowych odpowiadać na trzy sposoby. W pierwszej kolejności, odpowiedzialność przetwarzających dane sprowadza się do odpowiedzialności cywilnej za szkodę spowodowaną  niedopełnieniem wynikającym z przepisów prawa, a w przypadku processora, również umów powierzenia zawartych z administratorem danych osobowych. Istotna jest przy tym niebezpośrednia odpowiedzialność processora wobec osoby, której dane dotyczą. To administrator danych odpowiada bowiem wobec  obywatela za bezpieczeństwo jego danych osobowych oraz zobowiązany jest wobec niego do ewentualnego naprawienia szkody powstałej w związku z naruszeniem.

Zauważyć przy tym trzeba, że z uwagi na charakter i zasady odpowiedzialności cywilnej, postępowania, w których dochodzone jest odszkodowanie z tytułu naruszeń w obszarze ochrony danych osobowych należą w Polsce do rzadkości.

W dalszej kolejności, niefrasobliwy administrator danych oraz przetwarzający na zlecenie (choć ten ostatni w ograniczonym zakresie) pamiętać muszą o ryzykach prawnokarnych wynikających z przepisów ustawy o ochronie danych osobowych. I tak, odpowiedzialność karna grozi administratorowi oraz processorowi, kiedy dane są przetwarzane w sytuacji niedopuszczalnej oraz gdy nie są oni uprawnieni do przetwarzania danego zbioru danych. Podobnie w sytuacji, gdy udostępniają dane osobowe osobom lub chociaż umożliwiają taki dostęp nieuprawnionemu podmiotowi. Nadto, administrator danych odpowiada za nienależyte zabezpieczenie przetwarzanych danych osobowych, niedopełnienie obowiązku rejestracyjnego oraz obowiązku informacyjnego.

Przepisy karne w ustawie o ochronie danych osobowych za przestępstwa przeciwko bezpieczeństwu danych osobowych przewidują kary grzywny, ograniczenia wolności, a nawet pozbawienia wolności. W przypadkach przetwarzania danych wrażliwych bez podstawy prawnej kara z tego tytułu wynosić może nawet do trzech lat pozbawienia wolności.

Pamiętać jednak należy, że według udostępnianych przez Ministerstwo Sprawiedliwości danych za lata 2001 – 2014, w ujęciu średniorocznym, dochodziło jedynie do 19 prawomocnych skazań na podstawie przepisów ustawy o ochronie danych osobowych, przy czym w większości chodziło o przypadki udostępnienia danych osobowych osobom nieupoważnionym. Warto też zaznaczyć, że w sprawach, w których doszło do skazania sprawcy, orzekano w większości przypadków kary grzywny – maksymalnie do kwoty 5000 zł – lub ograniczenia wolności. Nadto, wykonanie wszystkich orzeczonych w latach 2011 – 2014 kar pozbawienia wolności zostało warunkowo zawieszone na okres próby.

Wreszcie, rygory wynikające z odpowiedzialności administracyjnej administratora danych osobowych ograniczają się obecnie de facto do konieczności zastosowania się przez administratora do zaleceń pokontrolnych sformułowanych w toku kontroli Generalnego Inspektora Ochrony Danych Osobowych lub decyzji wydanych w toku postępowań prowadzonych przez organ. Ewentualne dalej idące konsekwencje mogą przyjąć wyłącznie postać grzywny nałożonej przez Generalnego Inspektora Danych Osobowych na opornego administratora danych w celu przymuszenia go do wykonania uprzednio wydanej decyzji.

Przepisy RODO w sposób znaczący modyfikują zasady odpowiedzialności administratorów danych i przetwarzających na zlecenie.

Powyższe wynika z faktu, iż obecnie funkcjonujący system kar jest odbierany przez ustawodawcę europejskiego oraz ekspertów z dziedziny ochrony danych osobowych jako niewydolny, a więc niegwarantujący odpowiedniego zabezpieczenia interesów obywateli. Liczba wykrywanych naruszeń pozostaje nieadekwatna do ich rzeczywistej liczby. Organy ścigania, obciążone obowiązkami w zakresie ścigania przestępstw kryminalnych, nie kwapią się do podejmowania działań służących ściganiu sprawców występków przeciwko bezpieczeństwu danych osobowych, zaś organy ochrony danych osobowych pozostają bezradne wobec obserwowanych przypadków naruszeń, jako nieposiadające instrumentów służących wpływaniu na opornych administratorów.

O ile zmiany nie dotkną sfery prawnokarnej odpowiedzialności z tytułu naruszenia przepisów z zakresu ochrony danych osobowych, rozporządzenie ogólne zredefiniuje zasady odpowiedzialności cywilnej podmiotów odpowiedzialnych za przetwarzanie danych osobowych na zlecenie administratora. Zgodnie bowiem z treścią przepisu art. 82 ust. 2 zd. 2 RODO, processor może odpowiadać za szkody spowodowane przetwarzaniem niezgodnie z warunkami określonymi umową powierzenia, jak i przepisami powszechnie obowiązującymi w sposób bezpośredni, obok administratora danych, a więc inaczej niż ma to miejsce obecnie. Jest to zmiana oczekiwana i w praktyce ułatwiająca dochodzenie przez poszkodowanego roszczeń z tytułu naruszenia jego interesów związanych z ochroną danych osobowych.

Największe zmiany dotyczą jednak sfery dotychczas nieeksponowanej, a wręcz marginalizowanej. Począwszy bowiem od 25 maja 2018 r. organy nadzorcze uprawnione będą do dyscyplinowania administratorów i processorów karami pieniężnymi nakładanymi w postępowaniu administracyjnym. Zmiana ta jak się wydaje pociągać będzie za sobą dwa skutki. Po pierwsze w sytuacji istnienia niedostatków budżetowych, z pewnością znacząco wzrośnie motywacja wobec możliwości uzupełnienia budżetu środkami pozyskanymi tytułem kar pieniężnych nakładanych na naruszycieli. Po drugie zaś pozyskane środki pozwolą rozbudować państwom członkowskim, dotychczas skromne agendy zajmujące się ochroną danych osobowych.

Z punktu widzenia przedsiębiorcy – niezależnie czy pełni on wyłącznie rolę administratora, czy też przetwarza również dane na zlecenie, co w przypadku branży IT, rzadkością nie jest, najciekawsza pozostaje kwestia kwot, o których mowa w kontekście potencjalnych kar. A te, trzeba przyznać, muszą robić wrażenie.

Pamiętać trzeba, że świat w drugiej dekadzie XXI w. znacznie różni się od świata sprzed dwudziestu lat, kiedy to przyjmowano pierwsze wspólnotowe przepisy z zakresu ochrony danych osobowych.

Raczkujący Internet, ograniczony, czy wręcz rodzący się dopiero w bólach rynek cyfrowy – to wszystko powodowało, że potrzeby były inne, inne były też środki bezpieczeństwa. Dziś, w erze internetowych gigantów, międzynarodowych korporacji o wielomiliardowej kapitalizacji, działających na rynkach całego świata, a raczej tworzących ponadnarodowy, jednolity rynek cyfrowy, środki bezpieczeństwa muszą być adekwatne do rozmiarów tego nowego biznesu.

I tak, zgodnie z przepisami rozporządzenia ogólnego, wysokość kar sięgać może nawet 20 mln euro. Co jednak istotne, w przypadku przedsiębiorstw, kwota ta może zostać zwiększona nawet do równowartości 4% rocznego światowego obrotu! Oczywiście, mowa tutaj o górnych granicach wysokości kar, jednak już pierwszy rzut oka na te kwoty pozwala na odczytanie jasnego sygnału europejskich prawodawców – ochrona danych osobowych będzie od maja 2018 r. traktowana bardzo poważnie.

Taka zmiana podejścia nie dziwi. Przez ostatnie dwadzieścia kilka lat rynek miał możliwość dostosowania się do obowiązujących przepisów z zakresu danych osobowych. Rażąca większość uchybień była de facto puszczana płazem, a nawet w skrajnych sytuacjach wymierzano kary łagodne, czy wręcz śmieszne. Dlatego też, choć perspektywa wielomilionowych kar może paraliżować, rada może być jedna – nie czekaj, aż wlepią ją Tobie.

Autor: Bartosz Pudo, Kancelaria Ślązak, Zapiór i Wspólnicy