Od 25 maja 2018 r. zaczną obowiązywać przepisy europejskiego rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („Rozporządzenie”). Aktualnie obowiązująca Dyrektywa 95/46/WE zostanie zastąpiona nowym Rozporządzeniem.
Dyrektywa 95/46/WE wdrażana była w każdym kraju Unii Europejskiej w oparciu o wewnętrzne ustawodawstwo. W Polsce opracowana i przyjęta została Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Praktyka działania wewnętrznych przepisów o ochronie danych osobowych w poszczególnych krajach wykazała, iż wprawdzie większość ustaw o ochronie danych osobowych obowiązujących na terenie Unii jest do siebie zbliżonych, jednak w każdej z nich występują pewne różnice i odrębności.
Nowe Rozporządzenie będzie, co do zasady (z licznymi wyjątkami), jednolicie obowiązywać we wszystkich krajach członkowskich Unii Europejskiej. Nie jest to jednak akt prawny bezpośrednio obowiązujący, którego szereg elementów de facto trzeba implementować w prawie krajowym.
Większość podstawowych zasad dotyczących ochrony danych osobowych uregulowanych w Rozporządzeniu jest analogiczna do występujących w obecnej ustawie o ochronie danych osobowych. Istotnym novum jest jednak możliwość nakładania na podmioty przetwarzające dane osobowe administracyjnych kar pieniężnych za niezgodne z prawem przetwarzanie danych. Podkreślić należy, iż przewidziane w Rozporządzeniu kary są bardzo surowe.
Ustawodawca europejski, ustanawiając administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych, zdecydował się na ujednolicenie zasad ich nakładania przez organy nadzorcze. Wprowadzenie takich jednolitych sankcji na podmioty naruszające zasady bezpieczeństwa danych osobowych we wszystkich krajach unijnych ma na celu zharmonizowanie wymogów dotyczących ochrony danych osobowych w całej Unii Europejskiej.
Jednocześnie, jak wynika z samego sformułowania art. 83 ust. 1 Rozporządzenia, organy nadzorcze mają zapewnić, aby kary były „w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające”. Jak bowiem wynika z praktyki działania dotychczas obowiązujących przepisów prawa, ich skuteczność nie jest wielka, a stosowane sankcje nie mają charakteru prewencyjnego, czy odstraszającego. Zazwyczaj sankcje sprowadzają się do wydania przez GIODO decyzji nakazującej podmiotowi przetwarzającemu dane osobowe przywrócenie stanu zgodnego z prawem. Bardzo rzadko zdarza się, aby na podmioty naruszające przepisy o ochronie danych osobowych nakładane były kary pieniężne, bowiem jest to dopuszczalne, gdy adresat decyzji GIODO, nie zastosuje się do jej dyspozycji.
Również zawarte w aktualnie obowiązującej Ustawie o ochronie danych osobowych przepisy karne nie działają wystarczająco prewencyjnie, biorąc pod uwagę fakt, że jeśli nawet do organów ścigania kierowane są zawiadomienia o podejrzeniu popełnienia przestępstwa, takie postepowania kończą się wydaniem decyzji o umorzeniu postępowania z uwagi na niską szkodliwość społeczną czynu.
Rozporządzenie wprowadza wysokie kary pieniężne.
Za naruszenie istotnych przepisów ochrony danych osobowych przewidzianych w Rozporządzeniu podmiot przetwarzający dane osobowe może zostać ukarany grzywną w wysokości do 20 mln EUR, a w przypadku przedsiębiorstwa - do 4% całkowitego światowego obrotu z poprzedniego roku.
W sprawach mniejszej wagi, sankcje są mniejsze o połowę, tj. do 10 mln EUR lub do 2% światowego obrotu – czyli i tak ogromne.
Wprowadzenie jednolitych zasad dotyczących karania za naruszenie ochrony danych osobowych ma na celu zapewnienie jak najwyższego, jednolitego poziomu bezpieczeństwa danych osobowych na całym terytorium Unii Europejskiej, ale również uniemożliwienie unikania tzw. forum shopping, czyli przenoszenia działalności do państw, w których sankcje za naruszenie wymogów bezpieczeństwa danych będą niższe.
Nowe Rozporządzenie wprowadza zasady odpowiedzialności odszkodowawczej za naruszenie jego przepisów. Art. 82 ust. 2 Rozporządzenia stanowi, że „osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów Rozporządzenia ma prawo do uzyskania od administratora lub procesora odszkodowania za poniesioną szkodę”. Oznacza to, iż odszkodowanie za szkodę majątkową lub niemajątkową spowodowaną naruszeniem Rozporządzenia, może być dochodzone przez każdą osobę od administratora lub podmiotu przetwarzającego, gdy ten nie dopełnił obowiązków, które Rozporządzenie nakłada bezpośrednio na podmioty przetwarzające lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Administrator lub podmiot przetwarzający nie będą ponosić odpowiedzialności odszkodowawczej, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
Kancelaria zastrzega, że niniejszy artykuł zawiera jedynie ogólny zarys poruszonych w nim zagadnień. Artykuł nie stanowi porady prawnej, opinii prawnej, ani też analizy konkretnego stanu faktycznego. W razie jakichkolwiek pytań lub wątpliwości z Państwa strony, serdecznie zachęcamy do kontaktu z naszą Kancelarią.
mec. Małgorzata Głuszek-Stopczyk (na zdjęciu)
Partner, radca prawny w Kancelarii Radców Prawnych Stopczyk & Wspólnicy Sp. k. Doświadczenie zawodowe zdobywała jako prokurator Prokuratury Rejonowej oraz Dyrektor Departamentu Prawnego w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Jest założycielem Kancelarii, w ramach której świadczy usługi doradztwa prawnego od 2000 roku. Odpowiada za doradztwo prawne na rzecz Klientów Kancelarii. Ekspert w dziedzinie prawa procesowego, prawa ochrony danych osobowych oraz prawa ochrony danych informacji.