Do wejścia w życie RODO przedsiębiorcy łamiący ustawę z 29 sierpnia 1997r. o ochronie danych osobowych lub rozporządzenia wydane na jej podstawie, narażali się na sankcje karne, administracyjne lub cywilnoprawne. W praktyce były one jednak stosowane rzadko, a ich dotkliwość była niewielka. Wprowadzenie RODO pociąga za sobą bardzo wysokie kary finansowe dla przedsiębiorców, którzy złamią Ogólne Rozporządzenie o Ochronie Danych Osobowych.
Prawo do ochrony dóbr osobowych
Przedtem sankcje karne groziły przedsiębiorcy choćby za udostępnianie danych osobom nieuprawnionym czy naruszenie obowiązku zabezpieczenia danych. Karą były: grzywna, ograniczenie wolności, a najsurowszą karą były trzy lata więzienia. Sprawy o naruszenie przepisów o danych osobowych były jednak rzadkie, a kary pozostawały raczej rzeczywistością ustawową, a nie realną możliwością, której należałoby się obawiać.
Kodeks cywilny daje osobie, której prawo do ochrony dóbr osobowych zostało naruszone, prawo do wystąpienia do sądu cywilnego z żądaniem aby naruszający to prawo zaniechał naruszenia, usunął skutki tego naruszenia, zapłacił za to co zrobił lub naprawił powstałą szkodę.
Rozporządzenie unijne i jego skutki
Do momentu wprowadzenia RODO przedsiębiorcy groziła kara administracyjna: grzywna przymuszająca, nakładana przez generalnego inspektora ochrony danych osobowych za niewykonanie przez przedsiębiorcę decyzji generalnego inspektora. Wysokość grzywny w przypadku przedsiębiorców nie mogła przekroczyć 50 tys. złotych jednorazowo i 200 tys. złotych łącznie, jeśli nakładano je wielokrotnie. Kary administracyjne wobec przedsiębiorców za nieprzestrzeganie przepisów o danych osobowych były nieczęste. Można więc powiedzieć, że przedsiębiorcy, jak i wszyscy, którzy przetwarzali dane osobowe, nie byli odpowiednio motywowani, żeby stosować ochronę danych osobowych zgodnie z odpowiednią ustawą. Czy zmieni to rozporządzenie unijne wprowadzone 25 maja?
Trzy rodzaje odpowiedzialności
Zgodnie z RODO, przedsiębiorcy dotyczą za naruszenie rozporządzenia trzy rodzaje odpowiedzialności:
1. odpowiedzialność administracyjnoprawna (jednostkami egzekwującymi grzywny są właściwe organy nadzoru,
2. odpowiedzialność cywilnoprawna (do sądu występuje osoba, której prawo do ochrony dóbr osobowych naruszono, a więc poszkodowana),
3. odpowiedzialność karna wchodzi w grę tylko wtedy, jeśli polska legislacja ustanowi za naruszenie przepisy przewidujące właśnie sankcje karne. Wtedy będzie można karać np. pozbawiając przedsiębiorcę zysków, które osiągnął naruszając RODO.
W przypadku jeśli dane osób fizycznych będą przetwarzane z naruszeniem prawa, osoby te będą mogły:
1. wnieść skargę do organu nadzorczego, jeśli osoba fizyczna sądzi, iż przetwarzanie jej danych osobowych odbywa się z naruszeniem prawa,
2. niezależnie od złożenia skargi do organu nadzorczego, wystąpić do sądu przeciwko przedsiębiorcy przetwarzającemu dane.
Kara, którą poniesie przedsiębiorca, zgodnie z nowymi przepisami ma być:
- skuteczna, co oznacza, że przedsiębiorca ją na pewno zapłaci i zrozumie za co poniósł koszty,
- proporcjonalna do charakteru, wagi i czasu trwania naruszenia i ma uwzględniać m.in. liczbę osób, które zostały poszkodowane oraz to czy poniosły małą czy dużą szkodę.
Wysokość kary ustalana jest indywidualnie w stosunku do przedsiębiorcy
- odstraszająca – sprawiająca, że przedsiębiorca nie będzie chciał więcej znaleźć się w takiej sytuacji.
Wysokość kar za łamanie rozporządzenia
Jak wysokie kary trzeba będzie zapłacić za łamanie rozporządzenia RODO? Otóż przewiduje ono następujące kary dla przedsiębiorców:
1.do 2 proc. całkowitego rocznego obrotu przedsiębiorcy z poprzedniego roku obrotowego,
2.do 4 proc. całkowitego rocznego obrotu przedsiębiorcy z poprzedniego roku obrotowego.
To oznacza, że przewidywane kary są bardzo wysokie. Trzeba więc dbać, aby nie zostały naruszone zasady przetwarzania danych osobowych, aby respektowane było prawo osób fizycznych do uzyskania informacji, do dostępu do danych, itp.
Na wprowadzenie RODO część przedsiębiorców zareagowało obawą, czy zdołają wywiązać się z zadań nałożonych przez nową regulację. Trzeba jednak wziąć pod uwagę fakt, że w kwestii zobowiązań rozporządzenie Unii Europejskiej nie wnosi niczego nowego, a biznes był także przed RODO zobowiązany do przestrzegania przepisów o danych osobowych i w dużej mierze traktował to zadanie bardzo poważnie.
Najazd niby-pomocnych naciągaczy
Na strachu firm, obawiających się zobowiązań wynikających z wprowadzenia RODO inne firmy chcą robić biznes. Robią to oferując specjalne szkolenia i twierdząc, że bez nich przedsiębiorca nie zrozumie wymogów stawianych przez nowe przepisy. Inni spryciarze wciskają przedsiębiorcom kasy pancerne, podobno zgodnie z nowymi wymogami, co nie jest prawdą. Podobnie nie ma znaczenia rozsyłanie przez firmy listów do swoich klientów, a praktycznie każdy użytkownik skrzynki mailowej dostał na ten temat sporą korespondencję.
Prawdziwym powodem do obaw jest fakt, że wraz z wprowadzeniem RODO zasadniczo zmieniają się procedury, do których stosowania jest zobowiązany biznes. Niestety, nie określono precyzyjnie, co przedsiębiorca powinien zrobić, żeby sprostać nowym wymogom. Przepis (konkretnie art. 33) mówi dość enigmatycznie o tym, że „administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne” aby zapobiec ryzyku nieodpowiedniego chronienia i wykorzystywania danych osobowych. Kontroler sprawdzający przestrzeganie Ustawy o ochronie danych osobowych może sprawdzać firmę pod tym kątem nawet 30 dni. Unijne rozporządzenie RODO zostało stworzone w dobrym celu, ale w Polsce może stać się niebezpiecznym środkiem opresyjnym ze strony kontrolujących organów państwa.
Upewnić się zamiast martwić
RODO jest z założenia elastyczne, ale ta cecha nie sprzyja pewności przedsiębiorców, że postępują legalnie. Nie są też pewni, wobec pojawiających się pogłosek o nielegalności praktyk, które do tej pory były dopuszczalne, jak szeroko roztacza się zakaz działań związanych z danymi osobowymi. Pewności firm nie sprzyjają liczne mity, które pojawiły się równolegle z wprowadzeniem RODO. Z pewnością można np. trzymać w biurku wizytówki klientów, nie naruszając stosownych przepisów o chronieniu danych osobowych. Fora internetowe nie są dobrym źródłem informacji. Przeciwnie, najczęściej w sprawie RODO dezinformują. Przedsiębiorcy mogą rozwiać swoje wątpliwości wchodząc na stronę Ministerstwa Cyfryzacji lub Polskiej Agencji Rozwoju, a także korzystając z infolinii Urzędu Ochrony Danych Osobowych. Infolinia UODO (606-950-000) jest czynna w dni robocze od: 10:00-13:00.