25. maja 2018 roku zaczną być stosowane przepisy rozporządzenia UE o ochronie danych osobowych, którego celem jest ujednolicenie przepisów prawa ochrony danych osobowych we wszystkich państwach członkowskich Unii Europejskiej. Rozporządzenie w wielu miejscach przewiduje bardzo istotne zmiany w stosunku do obecnie obowiązującej w naszym kraju ustawie o ochronie danych osobowych. Jednym z najważniejszym obszarów objętych zmianami jest proces nakładania kar w przypadku nieprzestrzegania przepisów.
Obecnie obowiązująca w Polsce ustawa o ochronie danych osobowych zawiera przepisy karne, które sankcjonują określone czyny administratorów danych osobowych. Do dwóch lat pozbawienia wolności grozi osobie przetwarzającej dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniona. Dwa lata w więzieniu może spędzić również osoba, która inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, natomiast karą do roku pozbawienia wolności zagrożony jest czyn polegający na niezgłoszeniu do rejestracji zbioru danych jeżeli administratora danych takiemu obowiązkowi podlega. Każdy z powyższych przykładów zawiera ponadto minimalną sankcję w postaci kary grzywny.
Aby administrator danych (lub jego pracownik) mógł zostać pociągnięty do odpowiedzialności konieczne jest przeprowadzenia pełnego procesu karnego. Niewiele osób zdaje sobie z tego sprawę, ale Generalny Inspektor Ochrony Danych Osobowych (GIODO) nie ma możliwości nałożenia kary za nieprzestrzeganie przepisów ustawy o ochronie danych osobowych. W przypadku, gdy w toku kontroli pojawi się uzasadnione podejrzenie popełnienia przestępstwa GIODO składa stosowne zawiadomienie do organów ścigania, a następnie prokurator decyduje o tym czy wnieść do sądu akt oskarżenia. Dopiero sąd po przeprowadzenia procesu może skazać administratora danych na karę przewidzianą w ustawie.
Powyższa procedura jest długotrwała i wielu administratorów danych nie ocenia możliwości nałożenia kary jako realnej. W konsekwencji GIODO często ogranicza się do skorzystania z uprawnień, które ustawa wprost mu przyznaje, np. nakazania administratorowi danych usunięcia uchybień, uzupełnienia dokumentacji lub zastosowania dodatkowych środków zabezpieczających zgromadzone dane osobowe. W przypadku, gdy administrator danych nie zastosuje się do tego rodzaju decyzji GIODO może nałożyć karę administracyjną (do 200 tyś. zł.), która nie jest jednak związana nieprzestrzeganiem przepisów ustawy, a z niezastosowaniem się przez administratora danych do wydanej decyzji.
Od 25. maja 2018 roku procedura nakładania kar ulegnie diametralnej zmianie w dwóch aspektach. Po pierwsze, znacząco wzrośnie wysokość kar pieniężnych i osiągnie maksymalny pułap na poziomie 20 milionów euro albo 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (w zależności od tego, która z kwot będzie wyższa). Oczywiście GIODO nie będzie miał pełnej dowolności w sposobie określania wysokości kary w konkretnym przypadku i będzie obowiązany uwzględnić m.in. charakter, wagę i czas trwania naruszenia, umyślny lub nieumyślny jego charakter, działania podjęte przez administratora w celu zminimalizowania szkody oraz stopień współpracy z organem nadzorczym w celu usunięcia naruszenia.
Drugim aspektem zmiany jest tryb nakładania kar. Żmudny proces karny zostanie zastąpiony trybem administracyjnym co oznacza, iż GIODO będzie miał możliwość nałożenia kary pieniężnej bezpośrednio po stwierdzeniu złamania przepisów, bez konieczności uruchamiania długotrwałej procedury sądowej.
Powyższe zmiany mają na celu z jednej strony skutecznie odstraszać administratorów danych osobowych od naruszania przepisów poprzez radykalny wzrost wysokości kar pieniężnych, natomiast z drugiej strony – poprzez zastosowanie trybu administracyjnego – spowodować, aby ryzyko nałożenia kary było realne, a czas potrzebny do jej nałożenia względnie krótki.
Autor: Michał Rogoziński