Nowością wprowadzaną przez rozporządzenie jest nowy mechanizm nakładania kar pieniężnych za naruszenie przepisów rozporządzenia, co do zasady będą one miały charakter administracyjny, z wyłączeniem Danii oraz Estonii, gdzie z uwagi na konstrukcję systemu prawnego będą one miały charakter karny. Rozporządzenie dopuszcza ustanowienie przez państwa członkowskie także innego mechanizmu nakładania kar (np. ustanowienie przepisów karnych obok pieniężnych kar administracyjnych), pod warunkiem, że nie będzie to prowadziło do złamania zasady polegającej na zakazie orzekania więcej niż raz w tej samej sprawie („ne bis in idem”). Podkreślone zostało przede wszystkim to, że nakładane kary pieniężne muszą być „skuteczne, proporcjonalne i odstraszające”.
Należy podkreślić, że rozporządzenie wymienia rodzaje naruszeń, oraz określa górną granicę oraz kryteria ustalania administracyjnych kar pieniężnych, które GIODO jako organ nadzorczy będzie nakładał indywidualnie dla każdego przypadku.
Ustalenie czy (a jeżeli tak, to w jakim zakresie) pod kary pieniężne będą podlegały organy publiczne, rozporządzenie pozostawia konkretnym państwo członkowskim.
Nie tylko kary pieniężne.
Rozporządzenie w ustępie 148 Preambuły wskazuje, że w pewnych sytuacjach zamiast kary pieniężnej powinno zostać udzielone „upomnienie” – dotyczyć to powinno sytuacji, w których „(…)naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie(…)”. W tym miejscu należy przytoczyć art. 58 ust. 2 rozporządzenia, którym wskazano inne niż kary pieniężne środki, jakimi GIODO jako organ nadzorczy może się posługiwać (zamiast kar pieniężnych, lub oprócz nich) do takich narzędzi należą:
– wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu w związku z możliwością naruszenia przepisów rozporządzenia przez planowane operacje przetwarzania.
– udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przetwarzania przez operacje przetwarzania
– nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy rozporządzenia
– nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;
– nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
– wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania
– nakazanie na mocy sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
– cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;
– nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.
Kryteria decydowaniu o zastosowaniu kar pieniężnych lub innych środków.
Rozporządzenie wskazuje, że przy ocenie, czy w danej sytuacji wystarczające będzie nałożenie przez organ nadzorczy (w Polsce będzie to GIODO) kary pieniężnej czy też zastosowanie innego środka (np. upomnienia) należy zwrócić uwagę na takie elementy jak:
– charakter, wagę oraz czas trwania naruszenia, przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
– umyślny lub nieumyślny charakter naruszenia;
– działania podjęte dla zminimalizowania szkody,
– stopień odpowiedzialności z uwzględnieniem środków technicznych i organizacyjnych przez nich wdrożonych
– wszelkie mające znaczenie wcześniejsze naruszenia,
– stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków
– kategorie danych osobowych, których dotyczyło naruszenie
– sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie
– przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający (jeżeli były wcześniej nałożone),
– stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji
– wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty
Wysokość kar pieniężnych.
[betteroffer]To tylko fragment tekstu. Aby uzyskać dostęp do całości, kliknij w przycisk Kup teraz.[/betteroffer][betterpay amount=”5″ amount_sms=”5″ sms_nr=”75068″ sms_id=”RBDO5″ button=”images/buynow_1.png” description=”UE Sankcje i kary” validity=”0″ validity_unit=”d” ids=””]
Karę pieniężną w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa – stosuje się za naruszenia obowiązków administratora (lub podmiotu przetwarzającego dane) o których mowa w:
– art. 8, obowiązki związane z przetwarzaniem danych osobowych dziecka poniżej 16 lat (państwo członkowskie może obniżyć ten próg do 13 lat) w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku bez wyrażonej lub zaaprobowanej zgody przez osobę sprawującą władzę rodzicielską lub opiekę nad dzieckiem. Należy pamiętać, że administrator danych jest zobowiązany podjąć „rozsądne starania” by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.
– art. 11, obowiązki w związane z przetwarzaniem niewymagającym identyfikacji
– art. 25, obowiązki związane z wdrożeniem odpowiednich środków technicznych i organizacyjnych (pseudonimizacja, minimalizacja) w celu zabezpieczenia danych między innymi przed dostępem osób nieuprawnionych oraz zapewnienia realizacji zasady adekwatności przetwarzanych danych (by przetwarzać tylko te dane, które są niezbędne do realizacji określonych celów).
– art. 26, obowiązki związane z uzgodnieniem zakresów odpowiedzialności współadministratorów danych
– art. 27, obowiązki związane z wyznaczeniem na piśmie przedstawiciela w Unii przez administratora danych lub podmiot przetwarzający niemający jednostek organizacyjnych w Unii.
– art. 28, obowiązki związane z właściwym uregulowaniem relacji pomiędzy administratorem danych a podmiotem przetwarzającym dane w jego imieniu
– art. 29, obowiązki związane z przetwarzaniem danych przez podmioty przetwarzające oraz osoby działające z upoważnienia mające dostęp do danych osobowych wyłącznie na polecenie administratora danych
– art. 30, obowiązki związane z prowadzeniem rejestru czynności przetwarzania danych osobowych przez administratora danych
– art. 31, obowiązki związane ze współpracą przez administratora danych oraz podmiot przetwarzający z organem nadzorczym
– art. 32, obowiązki związane z wdrożeniem odpowiednich środków organizacyjnych i technicznych w celu zapewnienia stopnia bezpieczeństwa odpowiadającemu ryzyku (pseudonimizacja, szyfrowanie, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania)
– art. 33, obowiązki związane ze zgłoszeniem naruszenia ochrony danych osobowych do organu nadzorczego w ciągu 72 godzin oraz dokumentowanie naruszenia
– art. 34, obowiązki związane z zawiadomieniem osoby, której dane dotyczą o fakcie naruszenia ochrony danych osobowych
– art. 35, obowiązki związane z oceną skutków planowanych operacji przetwarzania dla ochrony danych osobowych wedle przewidzianej w rozporządzeniu procedury
– art. 36, obowiązki związane z koniecznością konsultowania się z organem nadzorczym, w związku z efektem oceny skutków dla ochrony danych, o której stanowi art. 35 rozporządzenia
– art. 37, obowiązki związane z wyznaczeniem inspektora ochrony danych
– art. 38, obowiązki związane z zapewnieniem niezależności oraz umożliwienia swobodnego wykonywania czynności przez inspektora ochrony danych
– art. 39, obowiązki związane z wypełnianiem przez inspektora ochrony danych swoich obowiązków
– art. 42 oraz 43 obowiązki związanych z realizacją oraz zapewnieniem przejrzystości przyjętego przez administrator lub podmiot przetwarzający mechanizmu certyfikacji
– obowiązków podmiotu certyfikującego, o których mowa w art. 42 oraz 43;
– obowiązków podmiotu monitorującego, o których mowa w art. 41 ust. 4;
Karę pieniężną w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa – stosuje się za naruszenia o których mowa w:
– art. 5, 6, 7 oraz 9, w zakresie podstawowych zasad przetwarzania, w tym warunków zgody
– art. 12-22, w zakresie praw osób, których dane dotyczą
– art. 44-49, w zakresie przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej,
– art. 85- 91, w zakresie wykonywania obowiązków wynikających ze szczegółowych uregulowań państw członkowskich, wydanych w granicach i na podstawie art. 85-91 (rozdziału IX rozporządzenia)]
– art. 58, w zakresie nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienia dostępu organowi nadzorczemu
Należy zwrócić uwagę na ograniczenie wysokości kary pieniężnej zawarte w art. 83 ust. 3 rozporządzenia które stanowi, że całkowita wysokość nałożonej kary pieniężnej w przypadku naruszenia (umyślnie lub nieumyślnie) kilku przepisów w związku z tymi samymi lub powiązanymi operacjami przetwarzania nie może przekroczyć kary za najpoważniejsze naruszenie.
Zapraszam do lektury i dyskusji,
Karol Cieniak, Dyrektor Działu Prawnego RBDO
faq@rbdo.pl
[/betterpay]
Aby uzyskać dostęp do treści, wyślij SMS o treści: AP.RBDO5 na numer: 75068. Koszt wysłania SMS wynosi 5 PLN netto +23% VAT (6,15zł brutto)
W odpowiedzi otrzymasz SMS z kodem aktywacyjnym, który wpisz w oznaczone pole.
Usługę SMS obsługuje Eurokoncept, grupa Dotpay. Usługa dostępna jest u wszystkich operatorów (T-mobile, Plus, Play, Orange).
Link do reg.usług SMS: dotpay.eu/regulaminsms/
Link do reklamacji usług SMS https://www.dotpay.pl/reklamacje/
Operatorem serwisu jest firma DoradcyPrawa.pl Łukasz Cieniak, Kopalniana22A/7, 01-321 Warszawa, NIP: 118-165-16-57, biuro@rbdo.pl
Powyższy materiał, jest fragmentem kompleksowego opracowania „Zmiany w prawie UE w zakresie ochrony danych osobowych na mocy rozporządzenia z 27 kwietnia 2016 roku w cenie 19 zł + 23% VAT” – autorstwa Dyrektora Działu Prawnego RBDO.
Po wejściu w życie rozporządzenia UE – kary za brak procedur przetwarzania danych wzrosną do 4% przychodu za ubiegły rok a ilość kontroli znacznie się zwiększy!
Już teraz warto poznać przegląd zmian jakie czekają na firmy po okresie vocatio legis rozporządzenia:
- Czy Twoja firma będzie zobligowana do powołania Inspektora Ochrony Danych?
- Jakie procedury będą obowiązywały – np. zgłoszenie incydentu do 72 godzin!
- Jakie nowe terminy i organy powołuje rozporządzenie unijne?
Specjalnie dla Klientów RBDO przygotowaliśmy opracowanie o kluczowych zmianach w prawie UE w zakresie ochrony danych wg rozporządzenia z 27 kwietnia 2016 >>
Zapraszamy do zakupu rzetelnego opracowania w cenie 19 zł + 23% VAT
[youtube]https://www.youtube.com/watch?v=2SVorNhy56Y[/youtube]
NIE MASZ PEWNOŚCI CZY TWOJA FIRMA SPEŁNIŁA OBOWIĄZKI OCHRONY DANYCH
- Skorzystaj z oferty zakupu dokumentacji przetwarzania danych z instrukcją rejestracji do GIODO i wsparciem prawnym w cenie 199 zł >>
- Zamów Audyt wykonany przez prawnika wraz z dokumentacją i rejestracją do GIODO za 699 zł +23% VAT