Czy naruszenie przepisów odnoszących się do IOD może skutkować administracyjnymi karami pieniężnymi?

Czy naruszenie przepisów odnoszących się do inspektora ochrony danych może skutkować administracyjnymi karami pieniężnymi nakładanymi na administratora danych lub podmiot przetwarzający?

Stosownie do art. 83 ust. 4 lit. a RODO, naruszenia przepisów bezpośrednio odnoszących się do IOD (art. 37–39 RODO) podlegają administracyjnej karze pieniężnej do 10 mln euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Karami administracyjnymi obwarowane są zatem zarówno poszczególne obowiązki administratorów danych i podmiotów przetwarzających dotyczące wyznaczania IOD i zapewnienia mu określonych warunków wykonywania funkcji, jak i wykonywanie zadań przez IOD. Jednocześnie, należy mieć na uwadze, iż organ nadzorczy nakłada kary pieniężne zgodnie z art. 83 ust. 1 RODO, tak aby były one skuteczne, proporcjonalne i odstraszające. Organ decydując czy nałożyć karę pieniężną oraz w jakiej powinna być ona wysokości bierze pod uwagę - w każdym indywidualnym przypadku - następujące kryteria:

• charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
• umyślny lub nieumyślny charakter naruszenia;
• działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
• stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 RODO;
• wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
• stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
• kategorie danych osobowych, których dotyczyło naruszenie;
• sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
• jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 RODO - przestrzeganie tych środków;
• stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO; oraz
• wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Grupa Robocza art. 29 w swoich wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (WP 253), podkreśliła indywidualny charakter kary i branie pod uwagę przez organ nadzorczy w każdym przypadku z osobna kryteriów z art. 83 ust. 2 lit. a-k RODO: „(…) w świetle motywu 148 RODO organ nadzorczy jest odpowiedzialny za wybór najodpowiedniejszego środka (najodpowiedniejszych środków).”

2019-01-07