Kary administracyjne zgodnie z nowymi Wytycznymi Grupy Roboczej Artykułu 29

młotek

Możliwość nakładania kar przez organ nadzorczy (w Polsce PUODO) jest jedną z kluczowych zmian, którą wprowadza RODO. Wysokość kar sprawia, że mogą być one bardzo dotkliwe dla przedsiębiorstw, które naruszą przepisy dotyczące ochrony danych osobowych. W artykule 82 RODO określony został szereg okoliczności, które organ nadzorczy powinien wziąć pod uwagę decydując o nałożeniu oraz wysokości nałożonej kary. Ustalenie wysokości kar stanowi swoiste novum na gruncie przepisów unijnych, dlatego Grupa Robocza Artykułu 29 wydała wytyczne dla organów nadzorczych w sprawie ustalania wysokości kar administracyjnych, precyzując okoliczności wykonania przez PUODO swoich uprawnień w tym zakresie. Nasuwa się więc pytanie, czy przedsiębiorcy mogą podjąć jakieś kroki w celu uniknięcia lub złagodzenia kary w przypadku zidentyfikowania naruszenia?

Zgodnie z nowymi wytycznymi działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez podmioty danych, są najbardziej istotne w przypadku ustalania wysokości kary, a w sytuacjach spornych mogą nawet rozstrzygnąć czy kara zostanie nałożona czy udzielone zostanie jedynie upomnienie. Grupa Robocza wskazuje, że kroki podjęte przez organizację mogą obejmować w szczególności poinformowanie innych administratorów oraz procesorów, którzy mogą być zaangażowani w naruszenie oraz podjęcie w odpowiednim czasie działań powodujących ustanie skutków naruszenia.

Przedsiębiorcy są zobowiązani do współpracy z organem nadzorczym w przypadku wykrycia przez organ naruszenia. Stopień takiej współpracy, mimo wskazania go w artykule jako przesłanki, nie będzie miał znaczącego wpływu na decyzję organu o karze. Działania organizacji podczas współpracy z organem, które sprawiły, iż znacząco zostały ograniczone skutki takiego naruszenia lub wpływ naruszenia na podmioty danych został znacząco ograniczony, mogą jedynie w ograniczonych przypadkach stanowić okoliczność łagodzącą.

RODO nakłada na przedsiębiorców obowiązek zgłaszania naruszenia do organu nadzorczego, dlatego również samo zgłoszenie takiego naruszenia do organu nie będzie miało wpływu na zmniejszenie wymiaru kary. Z kolei samo zaniechanie wypełnienia tego obowiązku może spowodować zwiększenie wysokości kary.

Kary administracyjne wyrażone w RODO, mają w założeniu prawodawcy unijnego, zapewnić faktyczną możliwość egzekwowania przez organy nadzorcze przepisów rozporządzenia. Nie wiadomo jak będzie kształtować się praktyka co do nakładania i ustalania wysokości kar. Przedsiębiorcy powinni stosować przepisy RODO w swojej organizacji, by uniknąć ewentualnych, dotkliwych sankcji.

Natalia Łukawska

Autor

Natalia Łukawska

Odbyła siedmiomiesięczny staż w Islandzkim Centrum Praw Człowieka w Reykjaviku. Jej praktyka obejmuje analizę zagadnień dotyczących ochrony danych osobowych oraz bezpieczeństwa informacji.