Nie zabezpieczasz odpowiednio dokumentów z danymi wrażliwymi? Sprawdź, jaką odpowiedzialność przewiduje RODO

Od 25 maja 2018 r. w całej Unii Europejskiej stosowane będzie ogólne rozporządzenie o ochronie danych (RODO). W treści motywu 10 RODO znajduje się zapis, zgodnie z którym państwa członkowskie mogą doprecyzować przepisy rozporządzenia, w tym również „w odniesieniu do przetwarzania szczególnych kategorii danych osobowych (zwanych dalej „danymi wrażliwymi”). W tym zakresie RODO nie wyklucza możliwości określenia w prawie państwa członkowskiego okoliczności dotyczących konkretnych sytuacji związanych z przetwarzaniem danych, w tym dookreślenia warunków, które decydują o zgodności przetwarzania z prawem”.

Zgodnie z art. 9 RODO za dane wrażliwe uznać można m.in.:

• dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych,
• dane genetyczne, dane biometryczne służące do jednoznacznego zidentyfikowania osoby fizycznej lub
• dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

W kwestii zabezpieczania dokumentów zawierających dane osobowe na gruncie RODO należy odwołać się m.in. do artykułu 24, 32 oraz 35 tego aktu, ponieważ niosą one za sobą pewne zmiany w stosunku do regulacji zawartych w ustawie o ochronie danych osobowych. Zgodnie z art. 24 RODO do obowiązków administratora należy wdrożenie odpowiednich środków technicznych i organizacyjnych z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Aby wykazać przestrzeganie tego obowiązku, administrator może stosować zatwierdzone kodeksy postępowania, o których mowa w art. 40 RODO oraz zatwierdzone mechanizmy certyfikacji (art. 42 RODO).

Odnosząc się do jednocześnie do regulacji zawartej w art. 32 RODO, należy wskazać, że administrator i podmiot przetwarzający, wdrażając odpowiednie środki techniczne i organizacyjne, powinni, bazując na oszacowanym ryzyku oraz uwzględniając zarówno stan wiedzy technicznej, jak i koszt wdrożenia, zdecydować o adekwatnych zabezpieczeniach. Przy ocenie omawianego ryzyka uwzględnia się w szczególności ryzyko związane z przetwarzaniem danych osobowych. Ogólne rozporządzenie o ochronie danych w tym miejscu wskazuje wyłącznie przykładowe, możliwe do zastosowania środki, a to, na jakie zdecydują się administrator i podmiot przetwarzający, pozostawia już do ich indywidualnej decyzji.

Pod kątem zabezpieczenia dokumentów zawierających dane wrażliwe kluczowa jest również regulacja zawarta w art. 35 RODO. Normuje ona „ocenę skutków dla ochrony danych” na planowanych operacjach przetwarzania. Dokonuje jej administrator przed rozpoczęciem przetwarzania, w przypadku gdy z dużym prawdopodobieństwem przetwarzanie to może powodować duże ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli administrator wyznaczy inspektora ochrony danych, to z nim będzie musiał konsultować tę ocenę. Jak wskazuje ustęp trzeci omawianego przepisu, ocena skutków dla ochrony danych osobowych wymagana jest w szczególności w przypadku przetwarzania na dużą skalę danych wrażliwych (art. 35 ust. 2 pkt b RODO).

Odpowiedzialność cywilna

Na mocy art. 82 ust. 1 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia tego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Odpowiedzialność cywilna, o której mowa w cytowanym przepisie, dotyczy zarówno szkody majątkowej, jak i krzywdy (szkody niemajątkowej).

Odpowiedzialność administracyjna

W kwestii odpowiedzialności administracyjnej, zgodnie z art. 58 ust. 2 RODO, każdemu organowi nadzorczemu (w Polsce – Prezes Urzędu Ochrony Danych Osobowych) będzie przysługiwać wiele uprawnień naprawczych, takich jak przykładowo:

• wydawanie ostrzeżeń,
• udzielanie upomnień,
• nieudzielenie, cofnięcie bądź nakazanie cofnięcia certyfikacji określonej w art. 42 lub 43 RODO.

Jednak do szczególnie istotnych uprawnień naprawczych należy zaliczyć:

• wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania,
• zastosowanie, oprócz lub zamiast opisanych środków, administracyjnej kary pieniężnej na mocy art. 83 RODO, zależnie od okoliczności konkretnej sprawy.

Administracyjna odpowiedzialność finansowa

Kluczową zmianą, której z całą pewnością nie wolno bagatelizować, jest wprowadzenie w obrębie odpowiedzialności administracyjnej możliwości nakładania administracyjnych kar pieniężnych. Kary te, jak wskazuje art. 83 ust. 1 RODO, powinny być w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Rozporządzenie w ustępie drugim omawianego artykułu zawiera katalog okoliczności, które organ nadzorczy powinien brać pod uwagę, decydując się na nałożenie kary finansowej i określając jej wymiar.

Zgodnie z art. 83 ust. 4 lit. a RODO za naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25–39 oraz 42 i 43 RODO, grozi administracyjna kara pieniężna w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. To nie koniec. Jak wskazuje art. 83 ust. 5 lit. a, b oraz c RODO, za naruszenia:

• przepisów dotyczących podstawowych zasad przetwarzania, o których mowa w art. 5, 6, 7 oraz 9 RODO,
• praw osób, których dane dotyczą, o których mowa w art. 12–22 RODO,
• zasad przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym mowa w art. 44–49 RODO,

możliwa wysokość kary wzrasta do maksymalnej wartości 20 mln euro, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Odpowiedzialność karna

W obrębie odpowiedzialności karnej, jak wskazuje motyw 149 RODO, „państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie rozporządzenia, w tym za naruszenie krajowych przepisów przyjętych na jego mocy i w jego granicach”. To, że RODO pozostawia uregulowanie przepisów karnych poszczególnym państwom członkowskim, wynika z różnic w obrębie zarówno polityki karania, jak i krajowych przepisów karnych w poszczególnych państwach członkowskich.