W poprzednim poście starałem się Ciebie przekonać, że RODO to przede wszystkim szansa dla Ciebie, aby dotychczasowe nudne pouczenia zamienić w ciekawy content.
Myślę, że jednak nadal masz z tyłu głowy sławetne kary w kwotach, bagatela, 20.000.000 EURO.
Trudno bowiem zignorować taki scenariusz, że Twoja Agencja Reklamowa prowadzi standardową promocję dla klienta, a tu nagle (lub jak w komiksach: WTEM) z uprzejmego pisma od Prezesa Urzędu Ochrony Danych Osobowych dowiadujesz się trzech rzeczy:
- popełniłeś błąd przy zbieraniu lub przetwarzaniu danych osobowych
- ktoś się poskarżył
- będzie Cię to słono kosztować
Kary administracyjne mają w Polsce długą i niechlubną tradycję: są sztywne, surowe i najcześciej wymierzane…za byle co. Doskonałym przykładem jeszcze kilka lat temu była kara za przejazd autostradą bez opłaty, gdzie i tak drakońskie kary były następnie absurdalnie pomnażane przez niefrasobliwych urzędników.
Stąd też proste równanie:
surowe kary + brak zaufania do urzędów = obawa przed RODO
Tymczasem Prezes Urzędu nie będzie jak RODOcop, który beznamiętnie strzela decyzjami „z biodra” (i zawsze trafia), ale przyznane mu uprawnienia do nakładania kar administracyjnych podlegać będą licznym ograniczeniom.
I tutaj od razu chcę podkreślić: odżegnuję się od tezy, że każda kara jest z gruntu zła i służyć ma jedynie zgnębieniu małego przedsiębiorcy. Przeciwnie, uważam że ustawa bez „pazura” w praktyce nie działa. Przykład? Przepis antyspamowy w ustawie o świadczeniu usług elektronicznych. Niby coś tam ukarać można i że ścigać trzeba takich gagatków co niezamówione informacje handlowe wysyłają, ale w praktyce nie kara się ani nie ściga, a spam ma się dobrze.
O ile jednak nie przejmiesz się tym, że na Twoim e-mailu wyląduje więcej spamu to już wyciek Twoich danych osobowych może być problematyczny.
Dobrze, zobaczmy w jakim kierunku poszły kary administracyjne w RODO.
Zasada indywidualizacji kary
RODO przewiduje, że kary muszą być zindywidualizowane. Oczywiście miara staranności i ostrożności w obchodzeniu się z danymi osobami jest taka sama dla Ciebie jak i dla wielkiej korporacji. Mówiąc o „indywidualizacji kary” unijny ustawodawca zaleca przeanalizować m.in.:
- charakter, wagę i czas trwania naruszenia oraz liczbę poszkodowanych – Twoje incydentalne, drobne naruszenie będzie musiało być potraktowane inaczej niż wieloletnia i naganna praktyka konkurenta.
- umyślny lub nieumyślny charakter naruszenia – to jest zdecydowanie pożądany kierunek zmian, gdyż do tej pory kary administracyjne w naszym systemie prawnym nakładane były za samo wystąpienie zdarzenia. Motywacja sprawcy nie miała większego znaczenia, co oczywiście jest krzywdzące jeżeli tak samo potraktuje się sprawcę z przypadku i „starego wyjadacza”, który naruszał prawo wielokrotnie, a jedynie nie został złapany.
- działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie – to doskonałe zapisy które „premiują” tych którzy szybko zareagują na np: wyciek danych osobowych i zamiast tuszować sprawę podejmą kroki, aby nie tylko naprawić lukę w systemie, ale też ostrzec osoby których dane zostały utracone o konieczności podjęcie odpowiednich działań.
- wszelkie stosowne wcześniejsze naruszenia ze strony administratora – to rodzaj recydywy administracyjnej 😀 Ci którzy regularnie naruszają przepisy ustawy muszą liczyć się z surowym potraktowaniem. Wnioskując z przeciwieństwa (a my prawnicy lubimy to robić 😆) pierwsze naruszenie powinno być potraktowane łagodniej.
- kategorie danych osobowych, których dotyczyło naruszenie – utrata bazy newslettera, w którym zgromadzone są e-maile pokroju „malykwiatuszek91@wp.pl” nie będzie karane tak samo jak dane dotyczące zdrowia. Dana danej nie równa.
- wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty – ten przepis podlega oczywiście interpretacji, ale został umieszczony w RODO właśnie po to żeby wymierzenie kary finansowej nie sprowadzało się do prostego stwierdzenia „jest naruszenie to jest i kara”. Organ będzie musiał analizować wszystkie aspekty sprawy, a dla sprawcy naruszenia to kolejna zachęta do działana, gdyż jest duża szansa, że przełoży się ono na niższą karę.
Zasada proporcjonalności kary
RODO przewiduje następujące dwie stawki kar zależne od rodzaju naruszenia:
- w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego
- wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego
Intencją zapewne było stworzenie takiego systemu kar, gdzie nie pojawi się pokusa typu „zapłacimy karę i dalej robimy to samo bo się opłaca”. Jednocześnie zauważ, że określając stawkę kary użyto słowa „do”, co oznacza że tylko za największe „zbrodnie” na danych osobowych organ może wymierzyć 20.000.000 milionów EURO. W typowych, drobnych przypadkach kara ta nie tylko, że może, ale nawet MUSI być odpowiednio łagodniejsza.
Po wejściu w życie nowej ustawy o ochronie danych osobowych GIODO stanie się PUODO (moim zdaniem skrót ten nie wpada już tak w ucho 😕). Jaka będzie praktyka nakładania kar przez naszego krajowego RODOcopa to pokaże czas. Z całą pewnością rozporządzenie zawiera odpowiednie mechanizmy żeby dawać szansę sprawcom z przypadku i karać tych, którzy z naruszenia przepisów o ochronie danych osobowych zrobili sobie pomysł na biznes. Wiele jednak będzie zależeć od osób stosujących to nowe prawo w praktyce.
Potrzebujesz sprawdzonego wzoru umowy?
Zobacz także:
- dlaczego zasada przejrzystości w RODO jest szansą dla kreatywnych
Podziękowania dla:
- Photo by Andy Kelly on Unsplash
{ 0 komentarze… dodaj teraz swój }