Ogólne rozporządzenie o ochronie danych osobowych, a dokładnie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane potocznie „RODO” stanowi dokument określający ramy prawne przetwarzania danych osobowych w Unii Europejskiej w tym także w Polsce.
Zapewne znacząca większość osób prowadzących działalność gospodarczą, czy to w formie jednoosobowej działalności gospodarczej, spółki osobowej bądź też spółki kapitałowej przetwarza dane osobowe m.in. swoich pracowników czy kontrahentów. Niezwykle istotna jest w tym przypadku świadomość obowiązków jakie nakłada RODO na podmioty będące administratorami, czy przetwarzającymi dane osobowych oraz konsekwencji jakie niesie za sobą niestosowanie się do tejże regulacji prawnej.
W pierwszej kolejności wskazać należy, iż organem monitorującym i egzekwującym przestrzeganie RODO w Polsce jest Urząd Ochrony Danych Osobowych (UODO), na którego czele stoi Prezes Urzędu Ochrony Danych Osobowych (PUODO). W przypadku stwierdzenia przez Prezesa Urzędu Ochrony Danych Osobowych naruszenia przepisów RODO, którego dopuszcza się administrator lub podmiot przetwarzający dane osobowe, PUODO ma kompetencje do ukarania takiego podmiotu.
Sankcje za naruszenie RODO nakładane są w drodze decyzji administracyjnej, a sama procedura jej nałożenia powinna być poprzedzona przeprowadzonym postępowaniem administracyjnym zgodnym z k.p.a. Od takiej decyzji można odwołać się do wojewódzkiego sądu administracyjnego, z zachowaniem terminów określonych w k.p.a.
Oczywistym jest, że każda sprawa rozpatrywana jest indywidualnie, z uwzględnieniem okoliczności popełnionego czynu, zaś reakcja PUODO powinna być odpowiednia do wagi naruszenia. Należy również pamiętać, iż oprócz sankcji finansowej – organ dysponuje także wieloma innymi uprawnieniami naprawczymi przewidzianymi w RODO, w szczególności może on: wydać ostrzeżenie, udzielić upomnienia, nakazać spełnienie żądań osoby, której dane dotyczą, czy wreszcie zdecydować o ograniczeniu lub zakazaniu przetwarzania danych osobowych przez określony podmiot.
Przepisy RODO przewidują dwa zasadnicze pułapy kar finansowych:
- do 10 mln euro lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z roku ubiegłego m.in. w przypadku braku zgłoszenia przez administratora lub podmiot przetwarzający dane osobowe naruszenia ochrony danych osobowych organowi nadzorczemu, braku zawiadamiania o naruszeniu ochrony danych osobowych osoby, której dane dotyczą, niewłaściwe prowadzenie rejestru czynności przetwarzania danych lub jego całkowity brak (wszystkie uchybienia wskazano w art 83 ust. 4 RODO)
- do 20 mln euro lub 4% całkowitego rocznego obrotu przedsiębiorstwa z roku ubiegłego m.in. w przypadku przetwarzania danych osobowych niezgodnych z postanowieniami RODO, niedotrzymanie warunku wyrażenia zgody na przetwarzanie danych lub niedopełnienie obowiązku informacyjnego (wszystkie uchybienia wskazano w art 83 ust. 5 RODO)
Surowość i konsekwencję w zakresie nakładania administracyjnych kar pieniężnych za naruszenie RODO potwierdzają przypadki wysokich sankcji nałożonych do tej pory przez PUODO.
W styczniu 2022 roku PUODO nałożył na podmiot zajmujący się sprzedażą prądu, gazu i ciepła rekordową karę w wysokości 1 mln euro (ok. 4,9 mln zł). W decyzji z dnia 19.01.2022 r. nr DKN.5130.2215.2020 wskazano na naruszenie RODO: „polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, skutkującym naruszeniem ich poufności, oraz na braku weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych”.
We wrześniu 2019 r. PUODO nałożył na jeden ze sklepów internetowych karę w wysokości 660 tys. euro (ok. 2,8 mln zł) zarzucając mu w decyzji z dnia 10.09.2022 r. nr ZSPR.421.2.2019 „niezastosowanie wystarczających środków technicznych ochrony danych naruszające przepisy RODO” skutkujące wyciekiem danych klientów sklepu internetowego.
Kolejną wysoką karę finansową za naruszenie RODO w wysokości 443 tys. euro (ok. 1,95 mln zł) został obciążony wirtualny operator telekomunikacyjny. W decyzji PUODO z dnia 03.12.2020 r. nr DKN.5112.1.2020 czytamy, iż naruszenie polegało na: „niewdrożeniu przez (…) odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych”.
Mając na uwadze surowość powyższych kar należy dojść do konkluzji, iż konieczności zabezpieczenia prawnego i proceduralnego w zakresie ochrony danych osobowych ma niebagatelne znaczenie dla funkcjonowania każdej firmy.