RODO wskazuje maksymalne kwoty kar jakie organy nadzoru mogą nałożyć na organizację przetwarzającą dane osobowe i dopuszczające się naruszeń.
Za przetwarzanie danych osobowych uważa się każdą operację na danych osobowych jak np. przeglądanie, przesyłanie, zbieranie, pobieranie, modyfikowanie czy też usuwanie.
W przypadku naruszenia podstawowych zasad przetwarzania danych (art. 5 RODO), takich jak zgodność z prawem, rzetelność i przejrzystość, minimalizacja danych, jak również brak oparcia przetwarzania w jednej z przesłanek wskazanych w art. 6 albo art. 9 RODO administrator podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu.
Mniejszą karą (10 000 000 EUR, przedsiębiorstwo -2% rocznego światowego obrotu) zagrożone jest naruszenie przepisów dotyczących np. wdrożenia odpowiednich środków organizacyjnych i technicznych (art. 32 RODO), czy też obowiązku przeprowadzenia oceny skutków dla ochrony danych (art. 35 RODO).
RODO wskazuje na szereg czynników, które powinny być wzięte pod uwagę w czasie ustalania wysokości kary finansowej są to m.in.:
- charakter naruszenia, jego waga i czas trwania,
- działania podjęte w celu zminimalizowania szkody,
- stopień odpowiedzialności administratora danych,
- zachowanie po naruszeniu zasad ochrony (np. stopień współpracy z organem nadzorczym),
- kategorie danych osobowych, których dotyczyło naruszenie przepisów RODO,
- inne czynniki obciążające lub łagodzące (np. osiągnięte korzyści finansowe lub uniknięcie strat).
W Polsce uprawnionym organem do nakładania kar przewidzianych w RODO jest Prezes Urzędu Ochrony Danych Osobowych. Kary nakładane są w wyniku przeprowadzonego postępowania w drodze decyzji administracyjnej.
Administracyjne kary pieniężne maja na celu odstraszanie przed nieuczciwymi praktykami przetwarzania danych osobowych. W przypadku wykrycia naruszenia RODO przez organizację organ nadzorczy może, ale nie musi nałożyć administracyjną karę pieniężną. Organ posiada szereg innych środków naprawczych, które może nałożyć na organizację, np. upomnienie czy wprowadzenie ograniczenie przetwarzania danych. Administracyjna kara pieniężna uznawana za najdotkliwszy środek, jest nakładana gdy inne środki zostaną uznane za niewystarczające.
Oprócz odpowiedzialności związanej z możliwością nałożenia administracyjnej kary pieniężnej, możliwa jest również odpowiedzialność karna (art. 107 ustawy z 10 maja 2018 r. o ochronie danych osobowych). Wspomniany przepis stanowi:
„kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.”
Odpowiedzialność karną mogą ponieść tylko osoby fizyczne, a zatem w praktyce będą to np. pracownicy czy też członkowie kadry kierowniczej bądź konkretni urzędnicy. Odpowiedzialności karnej nie może ponieść natomiast żadna organizacja jak np. spółka z ograniczoną odpowiedzialnością, fundacja czy organ władzy publicznej.
Samo RODO przewiduje również odpowiedzialność cywilną wobec podmiotów danych). Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO, ma prawo uzyskać odszkodowanie za poniesioną szkodę. Żądanie może być skierowane zarówno wobec podmiotu przetwarzającego jak i administratora. W zakresie możliwych odszkodowań przepisy nie określają ich maksymalnych kwot.
