fbpx

Bartosz Gajek

adwokat

Jako adwokat pomagam kreatywnym rozwiązać problemy z jakimi borykają się ich agencje marketingowe. Przeczytasz tutaj jak uniknąć błędów popełnianych w Twojej branży – tych najczęstszych i… tych najbardziej kosztowych. Podpowiem Ci jak umowy mogą chronić efekty Twojej pracy i jak zadbać o to, żeby zawsze działały na Twoją korzyść. Wreszcie poradzę Ci jak porozumieć się z trudnym klientem (TYM który spędza Ci sen z powiek), a gdy wszystko inne zawiedzie – jak skutecznie dochodzić swoich praw przed sądem...
[Więcej >>>]

Sklep

Agencja Reklamowa i RODO – administracyjne kary finansowe czyli RODOcop czuwa

Bartosz Gajek27 marca 2018Komentarze (0)

Agencja Reklamowa RODO administracyjne kary finansoweW poprzednim poście starałem się Ciebie przekonać, że RODO to przede wszystkim szansa dla Ciebie, aby dotychczasowe nudne pouczenia zamienić w ciekawy content.

Myślę, że jednak nadal masz z tyłu głowy sławetne kary w kwotach, bagatela, 20.000.000 EURO.

Trudno bowiem zignorować taki scenariusz, że Twoja Agencja Reklamowa prowadzi standardową promocję dla klienta, a tu nagle (lub jak w komiksach: WTEM) z uprzejmego pisma od Prezesa Urzędu Ochrony Danych Osobowych dowiadujesz się trzech rzeczy:

  1. popełniłeś błąd przy zbieraniu lub przetwarzaniu danych osobowych
  2. ktoś się poskarżył
  3. będzie Cię to słono kosztować

Kary administracyjne mają w Polsce długą i niechlubną tradycję: są sztywne, surowe i najcześciej wymierzane…za byle co. Doskonałym przykładem jeszcze kilka lat temu była kara za przejazd autostradą bez opłaty, gdzie i tak drakońskie kary były następnie absurdalnie pomnażane przez niefrasobliwych urzędników.

Stąd też proste równanie:

surowe kary + brak zaufania do urzędów = obawa przed RODO

Tymczasem Prezes Urzędu nie będzie jak RODOcop, który beznamiętnie strzela decyzjami “z biodra” (i zawsze trafia), ale przyznane mu uprawnienia do nakładania kar administracyjnych podlegać będą licznym ograniczeniom.

I tutaj od razu chcę podkreślić: odżegnuję się od tezy, że każda kara jest z gruntu zła i służyć ma jedynie zgnębieniu małego przedsiębiorcy. Przeciwnie, uważam że ustawa bez “pazura” w praktyce nie działa. Przykład? Przepis antyspamowy w ustawie o świadczeniu usług elektronicznych. Niby coś tam ukarać można i że ścigać trzeba takich gagatków co niezamówione informacje handlowe wysyłają, ale w praktyce nie kara się ani nie ściga, a spam ma się dobrze.

O ile jednak nie przejmiesz się tym, że na Twoim e-mailu wyląduje więcej spamu to już wyciek Twoich danych osobowych może być problematyczny.

Dobrze, zobaczmy w jakim kierunku poszły kary administracyjne w RODO.

Zasada indywidualizacji kary

RODO przewiduje, że kary muszą być zindywidualizowane. Oczywiście miara staranności i ostrożności w obchodzeniu się z danymi osobami jest taka sama dla Ciebie jak i dla wielkiej korporacji. Mówiąc o “indywidualizacji kary” unijny ustawodawca zaleca przeanalizować m.in.:

  • charakter, wagę i czas trwania naruszenia oraz liczbę poszkodowanych – Twoje incydentalne, drobne naruszenie będzie musiało być potraktowane inaczej niż wieloletnia i naganna praktyka konkurenta.
  • umyślny lub nieumyślny charakter naruszenia – to jest zdecydowanie pożądany kierunek zmian, gdyż do tej pory kary administracyjne w naszym systemie prawnym nakładane były za samo wystąpienie zdarzenia. Motywacja sprawcy nie miała większego znaczenia, co oczywiście jest krzywdzące jeżeli tak samo potraktuje się sprawcę z przypadku  i “starego wyjadacza”, który naruszał prawo wielokrotnie, a jedynie nie został złapany.
  • działania podjęte przez administratora  w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą
  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków 
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie – to doskonałe zapisy które “premiują” tych którzy szybko zareagują na np: wyciek danych osobowych i zamiast tuszować sprawę podejmą kroki, aby nie tylko naprawić lukę w systemie, ale też ostrzec osoby których dane zostały utracone o konieczności podjęcie odpowiednich działań.
  •  wszelkie stosowne wcześniejsze naruszenia ze strony administratora – to rodzaj recydywy administracyjnej 😀 Ci którzy regularnie naruszają przepisy ustawy muszą liczyć się z surowym potraktowaniem. Wnioskując z przeciwieństwa (a my prawnicy lubimy to robić 😆) pierwsze naruszenie powinno być potraktowane łagodniej.
  • kategorie danych osobowych, których dotyczyło naruszenie – utrata bazy newslettera, w którym zgromadzone są e-maile pokroju “malykwiatuszek91@wp.pl” nie będzie karane tak samo jak dane dotyczące zdrowia. Dana danej nie równa.
  • wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty – ten przepis podlega oczywiście interpretacji, ale został umieszczony w RODO właśnie po to żeby wymierzenie kary finansowej nie sprowadzało się do prostego stwierdzenia “jest naruszenie to jest i kara”. Organ będzie musiał analizować wszystkie aspekty sprawy, a dla sprawcy naruszenia to kolejna zachęta do działana, gdyż jest duża szansa, że przełoży się ono na niższą karę.

Zasada proporcjonalności kary

RODO przewiduje następujące dwie stawki kar zależne od rodzaju naruszenia:

  • w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego
  • wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

Intencją zapewne było stworzenie takiego systemu kar, gdzie nie pojawi się pokusa typu “zapłacimy karę i dalej robimy to samo bo się opłaca”. Jednocześnie zauważ, że określając stawkę kary użyto słowa “do”, co oznacza że tylko za największe “zbrodnie” na danych osobowych organ może wymierzyć 20.000.000 milionów EURO. W typowych, drobnych przypadkach kara ta nie tylko, że może, ale nawet MUSI być odpowiednio łagodniejsza.

Po wejściu w życie nowej ustawy o ochronie danych osobowych GIODO stanie się PUODO (moim zdaniem skrót ten nie wpada już tak w ucho 😕). Jaka będzie praktyka nakładania kar przez naszego krajowego RODOcopa to pokaże czas. Z całą pewnością rozporządzenie zawiera odpowiednie mechanizmy żeby dawać szansę sprawcom z przypadku i karać tych, którzy z naruszenia przepisów o ochronie danych osobowych zrobili sobie pomysł na biznes.  Wiele jednak będzie zależeć od osób stosujących to nowe prawo w praktyce.

*****

Zobacz także:

Podziękowania:

Jeżeli chcesz skorzystać z pomocy prawnej, zapraszam Cię do kontaktu:

tel.: +48 607 610 718e-mail: bartosz@gajekpartnerzy.pl

umów bezpłatną konsultację | sklep ze wzorami umów

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz

Wyrażając swoją opinię w powyższym formularzu wyrażasz zgodę na przetwarzanie przez GAJEK PARTNERZY ADWOKACI I RADCOWIE PRAWNI SPÓŁKA PARTNERSKA Twoich danych osobowych w celach ekspozycji treści komentarza zgodnie z zasadami ochrony danych osobowych wyrażonymi w Polityce Prywatności

Administratorem danych osobowych jest GAJEK PARTNERZY ADWOKACI I RADCOWIE PRAWNI SPÓŁKA PARTNERSKA z siedzibą w Krakowie.

Kontakt z Administratorem jest możliwy pod adresem bartosz@gajekpartnerzy.pl.

Pozostałe informacje dotyczące ochrony Twoich danych osobowych w tym w szczególności prawo dostępu, aktualizacji tych danych, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu na dalsze ich przetwarzanie znajdują się w tutejszej Polityce Prywatności. W sprawach spornych przysługuje Tobie prawo wniesienia skargi do Generalnego Inspektora Ochrony Danych Osobowych.

Poprzedni wpis:

Następny wpis: