Odpowiedzialność za niewłaściwe przetwarzanie danych
Zgodnie z przepisami RODO oraz Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: UODO) za naruszenie zasad ochrony danych można ponieść:
- odpowiedzialność karną,
- odpowiedzialność cywilnoprawną,
- odpowiedzialność administracyjną.
Odpowiedzialność karna za niewłaściwe przetwarzanie danych
Ustawodawca krajowy uregulował odpowiedzialność karną za naruszenie przepisów o ochronie danych osobowych w art. 107 oraz art. 108 UODO w następujących przypadkach:
- Przetwarzanie danych osobowych jest niedopuszczalne (art. 107 ust. 1 UODO).
- Przetwarzanie danych osobowych odbywa się przez osobę do tego nieuprawnioną (art. 107 ust. 1 UODO).
- Udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych albo niedostarczanie danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarczanie danych, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej (art. 108 ust. 1 i 2 UODO).
Powyższe czyny zagrożone są karami grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch. W przypadku zaś, gdy czyn, określony w art. 107 ust. 1 UODO dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.
Odpowiedzialność cywilnoprawna za niewłaściwe przetwarzanie danych
Przepisy RODO przyznają każdej osobie fizycznej, której dobra zostały naruszone, prawo do wystąpienia z roszczeniem o zapłatę odszkodowania za naruszenie przepisów RODO.
Zgodnie z art. 82 ust. 1 RODO, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
W myśl art. 82 ust. 2 RODO, każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane niewłaściwym przetwarzaniem. . Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które rozporządzenie nakłada bezpośrednio na podmioty przetwarzające lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom.
Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
Administrator lub podmiot przetwarzający, który zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo do żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.
Odpowiedzialność administracyjna za niewłaściwe przetwarzanie danych
Odpowiedzialność administracyjna jest realizowana przez organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO). W zależności od rodzaju i okoliczności naruszenia, PUODO może nałożyć na administratora danych karę pieniężną lub zastosować środek naprawczy, na przykład w postaci ostrzeżenia, upomnienia, nakazu określonego zachowania, wprowadzenia czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania.
W myśl art. 83 ust. 2 RODO, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku. Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę m.in. na: charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, rozmiaru poniesionej przez nie szkody oraz umyślny lub nieumyślny charakter naruszenia.
W art. 83 ust. 4 i 5 RODO rozróżniono dwie kategorie kar pieniężnych:
- do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie będzie miała kwota wyższa), za naruszenia dotyczące m. in.: podstawowych zasad przetwarzania, jak np. przetwarzanie bez legalnej podstawy prawnej, naruszenia praw osób, których dane dotyczą, jak np. prawo do usunięcia danych;
- do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie będzie miała kwota wyższa), za naruszenie obowiązków administratora lub podmiotu przetwarzającego dotyczących m. in.: wyrażenia zgody przez dziecko, zasad powierzenia przetwarzania danych.
PUODO raz w roku do 31 sierpnia przedstawia Sejmowi RP, Radzie Ministrów, Rzecznikowi Praw Obywatelskich, Rzecznikowi Praw Dziecka oraz Prokuratorowi Generalnemu sprawozdanie ze swojej działalności. W sprawozdaniach wymienione są administracyjne kary pieniężne wymierzone przez PUODO w poszczególnych latach.