BEZPIECZEŃSTWo DANYCH

Next Article

fElIEToN

Kary pieniężne za naruszenie RODO. Czy można oszacować ich wysokość?

Administratorzy danych osobowych oraz podmioty przetwarzające, od wejścia w życie RoDo z ogromnym zaangażowaniem podchodzą do kwestii odpowiedniego zabezpieczania danych osobowych. Mimo to, co wynika z m.in. nasilenia ataków cybernetycznych oraz stopnia skomplikowania systemów zabezpieczeń, do naruszeń ochrony danych osobowych wciąż dochodzi. A to może pociągać za sobą konsekwencje w postaci upomnień i grzywien.

KAROLINA SZuŚCIK, cISA Inspektor Ochrony Danych, KAMSOFT S.A.

Podmiotem odpowiedzialnym za właściwe monitorowanie przestrzegania przepisów w tym zakresie jest organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. W przypadku stwierdzenia naruszeń przepisów o ochronie danych osobowych, jest on uprawniony do nakładania kar pieniężnych, które stały się jednym z najbardziej rozpoznawalnych elementów nowego systemu.

Co o karach mówi RoDo? RODO, w zależności od tego, który przepis prawa został naruszony, przewiduje co do zasady dwa progi w zakresie wysokości kar administracyjnych: – do 10000000 EUR, a w przypadku przedsiębiorstwa, w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa; – do 20000000 EUR, a w przypadku przedsiębiorstwa, w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

W Polsce obowiązują dodatkowe progi. W zakresie jednostek sektora finansów publicznych górny próg to 100000 złotych kary, a w zakresie państwowych i samorządowych instytucji kultury – do 10000 zł.

Jak ustalana jest wysokość kary? RODO wskazuje, iż nakładane kary powinny być skuteczne, proporcjonalne i odstraszające, a ustalając ich wysokość w każdym indywidualnym przypadku należy zwrócić uwagę na kilkanaście szczegółowo opisanych kryteriów. Proces dochodzenia do konkretnej kwoty jest dosyć skomplikowany, wobec czego istotnych wskazówek dostarczyć mogą omówione poniżej wybrane Wytyczne Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych.

Jakie kryteria oceny organ weźmie pod uwagę? Charakter, waga i czas trwania naruszenia

Wyszczególnione powyżej dwa progi wysokości kar wskazują, iż istnieje różnicowanie stopnia istotności naruszenia. Co więcej, motyw 148 RODO wprowadza pojęcie tzw. „niewielkich naruszeń”, które nie stanowią poważnego zagrożenia dla praw osób, których dane dotyczą. Za tego typu naruszenie, zgodnie z Wytycznymi, karę pieniężną można zastąpić upomnieniem. Zastąpienie kary pieniężnej upomnieniem jest także możliwe w przypadku, gdy administratorem danych jest osoba fizyczna, a grożąca kara pieniężna stanowiłaby dla niej nieproporcjonalne obciążenie. Organ oceni również czas trwania naruszenia, co bez wątpienia będzie miało wpływ na wysokość nałożonej kary.

Kategorie danych osobowych, których dotyczyło naruszenie

Jest to bardzo istotne kryterium. W tym zakresie organ ustali, czy naruszenie dotyczy przetwarzania szczególnych kategorii danych, czy na podstawie tych danych jest możliwa bezpośrednia identyfikacja osoby, np. czy dane są zaszyfrowane oraz czy naruszenie może spowodować negatywny skutek dla osoby, której dane dotyczą.

Wdrożone przez podmiot zabezpieczenia

Każda osoba zajmująca się bezpieczeństwem wie, że niełatwo jest zapewnić w sposób ciągły najwyższy poziom zabezpieczeń, szczególnie że naruszenia mogą wynikać z nieumyślnego błędu ludzkiego lub mogą być celowym działaniem grup cybeprzestępczych. Dlatego są sytuacje w których trudno uniknąć incydentów bezpieczeństwa danych, pomimo zastosowania wielu środków ostrożności. Z tego względu, organ dokonując oceny będzie brał pod uwagę m.in. jakie narzędzia techniczne i procedury organizacyjne wdrożył podmiot w celu zabezpieczenia danych, czy wdrożone rozwiążania są zgodne z zasadą uwzględniania ochrony danych w fazie projektowania lub z zasadą domyślnej ochrony danych, czy w jego organizacji są znane i stosowane właściwe procedury ochrony danych itd. Innymi słowy, zgodnie z Wytycznymi, organ nadzorczy musi ocenić, w jakim stopniu podmiot wdrożył zabezpieczenia, których można było oczekiwać w zakresie systemu zabezpieczeń.

Nieumyślny lub umyślny charakter naruszenia

Zgodnie z Wytycznymi, za umyślne naruszenie uznamy niezgodne z prawem przetwarzanie danych, np. działanie niezgodnie z RODO, a świadomie zatwierdzone przez najwyższe kierownictwo. Za nieumyślne naruszenie można uznać np. omyłkowe otwarcie załącznika łudząco podobnego do prawidłowego, a zawierającego złośliwe oprogramowane. Mimo szkoleń w zakresie phishingu takie przypadki mają miejsce, gdyż atakujący wciąż doskonaloną techniki ataków cybernetycznych. Oczywistym jest to, że celowe naruszenie przepisów będzie wiązało się z zaostrzeniem odpowiedzialności.

Działania podjęte w celu zminimalizowania negatywnych skutków naruszenia

Wobec administratorów, którzy sami zgłosili naruszenie, a następnie podjęli działania zmierzające do ograniczenia negatywnych skutków naruszenia, możemy spodziewać się łagodniejszego podejścia ze strony organu.

»Zgłoszenie naruszenia i działania zmierzające do ograniczenia jego negatywnych skutków mogą być argumentem do ograniczenia wysokości kary.«

Dlatego tak ważne jest wykazanie się sumiennością i aktywną postawą po stwierdzeniu naruszenia.

Wcześniejsze istotne naruszenia

Organ musi ocenić, jak wyglądała dotychczasowa działalność podmiotu, u którego stwierdzono naruszenie m.in. czy stwierdzono wcześniej takie samo naruszenie i czy dopuszczono się go w ten sam sposób. Okoliczności te mogą istotnie wpłynąć na ostateczną wysokość nałożonej kary.

Stosowanie zatwierdzonych kodeksów postępowania

Zgodnie z Wytycznymi, w przypadku, gdy podmiot zastosował się do zatwierdzonego kodeksu postępowania, organ nadzorczy może ocenić, że wdrożył on odpowiednie zabezpieczenia i jest zaangażowany w ochronę danych osobowych, które przetwarza. Podsumowanie Organ nadzorczy weźmie pod uwagę wszystkie wymienione wyżej okoliczności mogące mieć znaczenie dla sprawy. Powyższe wytyczne uświadamiają nam, iż wysokości kary za naruszenie przepisów RODO są wyliczane po bardzo szczegółowej analizie stanu faktycznego w każdym indywidualnym przypadku. Warto pamiętać, że proaktywna postawa podmiotu, któremu przytrafiło się naruszenie, zwykle oceniana jest z korzyścią dla samego podmiotu i może pozytywnie wpływać na ostateczną wysokość kary. Z tego względu, nawet w obliczu naruszeń, w których wina ewidentnie leży po stronie podmiotu, zawsze należy współpracować z organem nadzorczym m.in. poprzez zgłoszenie naruszenia zgodnie z wymaganiami określonymi w art. 33 RODO oraz w zakresie pomocy w ustaleniu stanu faktycznego sprawy i prawidłowym jej rozstrzygnięciu. 

Kryteria ustalania wysokości kary tytułem naruszenia ochrony danych osobowych

Wcześniejsze istotne naruszenia Stosowanie zatwierdzonych kodeksów postępowania

Działania podjęte w celu zminimalizowania negatywnych skutków naruszenia Nieumyślny lub umyślny charakter naruszenia Wdrożone przez podmiot zabezpieczenia

Charakter, waga i czas trwania naruszenia Kategorie danych osobowych, których dotyczyło naruszenie