Słone grzywny za złamanie przepisów RODO

Tomasz Mamys, menedżer projektu RODO w Sage.
Tomasz Mamys, menedżer projektu RODO w Sage.

Członkowie zarządu firmy, która umyślnie lub przypadkowo naruszy bezpieczeństwo danych osobowych, muszą się liczyć nie tylko z wysokimi karami administracyjnymi, lecz również koniecznością wypłaty odszkodowań. Unijne rozporządzenie w sprawie ochrony danych osobowych (RODO), które zacznie być egzekwowane 25 maja 2018 r., przewiduje dotkliwe administracyjne kary pieniężne dla podmiotów, które naruszą jego zapisy. Mogą one sięgnąć nawet 20 mln EUR i do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Wśród branż najbardziej zagrożonych incydentami bezpieczeń- stwa wymienia się od lat firmy z dużymi budżetami — banki, firmy ubezpieczeniowe czy telekomunikacyjne. — Warto jednak w kontekście RODO spojrzeć zdecydowanie szerzej i bardziej praktycznie — a co z korporacjami taksówkowymi, operatorami telewizji kablowej, różnego rodzaju urzędami czy szpitalami, szkołami i przedszkolami? Wszędzie tam przetwarzane są nasze dane osobowe, a z pewnością nie wiążemy ich z olbrzymimi budżetami — zauważa Tomasz Mamys, menedżer projektu RODO w Sage.

Newralgiczne momenty

A ryzyko naruszenia danych może być nie tylko efektem umyślnego działania, jak kradzież czy przekazanie informacji osobom nieupoważ- nionym, lecz także awarii komputera, serwera, oprogramowania czy nawet utraty zasilania. Niewłaściwie zaadresowana korespondencja elektroniczna czy przypadkowe upublicznienie informacji przez nadawcę, który zapomniał o ukryciu adresów e-mailowych przy wysyłce masowej, również może prowadzić do incydentu bezpieczeństwa. Zdaniem ekspertów Sage, kradzież czy zagubienie nośników danych osobowych smartfona, laptopa, pamięci mobilnej USB, a nawet… zwykłej kartki z CV należy również zakwalifikować jako incydent w ochronie danych osobowych. Podobnie gdy papierowe dokumenty, zawierające dane osobowe, przedzieramy i wyrzucamy do kosza na śmieci pod biurkiem. Jak widać na tych przykładach, sytuacji, w których dane osobowe zostaną zagrożone, jest bez liku. I często nie wynikają z celowego działania. Za wdrożenie w firmie zasad wynikających z RODO oraz ich potencjalne naruszenie odpowiada zarząd spółki lub jego poszczególni członkowie. Oznacza to, że administracyjna kara pieniężna za naruszenie obowiązków ochrony danych osobowych to także problem zarządów. — Przesłankami tej odpowiedzialności jest powstanie szkody po stronie spółki, związek przyczynowy pomiędzy działaniem lub zaniechaniem członka zarządu oraz winą. Delegowanie obowiązków w zakresie ochrony danych osobowych na pracowników również nie zwolni członka zarządu z ponoszenia odpowiedzialności za szkodę wyrządzoną wobec spółki — przekonuje Tomasz Mamys.

Solidarna odpowiedzialność

W przypadku stwierdzenia naruszeń RODO organ nadzorczy — według projektu będzie to prezes Urzędu Ochrony Danych Osobowych, który zastąpi dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych — ustala wysokość finansowej kary, biorąc pod uwagę m.in.: charakter, czas i wagę naruszenia, umyślność lub nieumyślność, wdrożone u administratora środki organizacyjne oraz techniczne, czy i w jakim zakresie przedsiębiorca zgłosił naruszenie. — Jeżeli administrator lub podmiot przetwarzający dane narusza w ramach tych samych lub powią- zanych operacji przetwarzania kilka przepisów RODO, całkowita wysokość kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie. Oznacza to, że organ nadzorczy na- łoży tylko jedną karę, przy czym będzie to stawka wyższa — tłumaczy Tomasz Mamys. Oprócz tego prezes UODO będzie mógł stosować także różnorakie środki naprawcze, nie tylko w postaci ostrzeżeń czy upomnień, lecz również np. wprowadzając czasowe lub całkowite ograniczenie przetwarzania danych. Warto również mieć na uwadze, że administracyjne kary pieniężne nie zwalniają przedsiębiorcy z ewentualnej odpowiedzialności cywilnej wobec osób, których dane dotyczą. Przykładowo, każdy, kto poniósł szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO, ma prawo domagać się odszkodowania od administratora lub podmiotu przetwarzającego za poniesioną szkodę. — Jeżeli w tym samym przetwarzaniu uczestniczy kilka podmiotów, poniosą oni odpowiedzialność solidarną za całą szkodę — podkreśla Tomasz Mamys. Projekt ustawy o ochronie danych osobowych przewiduje nawet odpowiedzialność karną w przypadku najcięższych naruszeń przepisów, np. za udaremnianie lub utrudnianie prowadzenia kontroli, czy spółka przestrzega przepisów o RODO, za co grozi kara grzywny. Kara grzywny, a nawet ograniczenia bądź pozbawienia wolności grozi również w przypadku przetwarzania tzw. danych wrażliwych bez podstawy prawnej. — Mając na uwadze tak szeroki wachlarz sankcji, które grożą przedsiębiorcom za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych, warto już teraz upewnić się, czy konkretne przedsiębiorstwo spełnia wszystkie wymogi stawiane przez RODO oraz projekt ustawy o ochronie danych osobowych, aby uniknąć wysokich kar oraz odszkodowań spowodowwanych kontrolami — sugeruje Tomasz Mamys.

Źródło: Materiał partnera

Porównaj oferty

Sprawdź, które banki pożyczą pieniądze na najlepszych warunkach, i ile wyniesie miesięczna rata kredytu.

Znajdź najbardziej zyskowną lokatę bankową. Określ najważniejsze cechy, a wyszukiwarka wybierze najlepsze oferty.

Zapisz się na bezpłatny newsletter Bankier.pl