Prawo i podatki, ,

Odpowiedzialność prawna i możliwe sankcje z tytułu naruszenia przepisów RODO

Zespół prawny

A.M. Jesiołowscy-Finanse sp. z o.o.

Wprowadzenie

            Przestrzeganie przepisów dotyczących ochrony danych osobowych powinno być priorytetem wszystkich organizacji, będących administratorami lub podmiotami przetwarzającymi. Uchybienie przepisom RODO może powodować niezwykle negatywne konsekwencje finansowe, mające trojaki, niezależny od siebie charakter. Odpowiedzialność administratora lub podmiotu przetwarzającego może być bowiem egzekwowana po pierwsze na gruncie postępowania cywilnego – wszczętego powództwem osoby uprawnionej, posiadającej roszczenie z tytułu naruszenia ochrony swoich danych osobowych, po drugie na gruncie administracyjnych kar pieniężnych – nakładanych w drodze decyzji przez Prezesa UODO, wreszcie po trzecie – w postępowaniu karnym wszczynanym przez oskarżyciela publicznego.

Odpowiedzialność cywilna

            Zgodnie z art. 77 RODO osobom, których dane dotyczą zagwarantowane zostało prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu. W ramach tego uprawnienia przysługują: prawo do żądania zaniechania naruszenia danych osobowych przez administratora lub podmiot przetwarzający oraz – co bardziej istotne z ekonomicznego punktu widzenia organizacji – prawo do żądania odszkodowania.

            Jeśli chodzi odpowiedzialność odszkodowawczą, precyzuje ją art. 82 RODO. Stosownie do jego ust. 1, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Różny jest jednak zakres tej odpowiedzialności – jak wynika z ust. 2, każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie (w pełnym zakresie), natomiast podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

            Fakt naruszenia danych obciąża powoda, zgodnie z zasadą ciężaru dowodu z art. 6 Kodeksu cywilnego („Ciężar udowodnienia faktu spoczywa na osobie, która z faktu tego wywodzi skutki prawne.”). Jednakże oprócz wykazania, że doszło do naruszenia RODO, strona powodowa winna również wykazać winę strony pozwanej. Stosownie bowiem do art. 82 ust. 3 RODO, administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

            Co więcej, jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania (art. 83 ust. 4 RODO). Odpowiedzialność solidarna oznacza, że to powód decyduje, który z podmiotów, względem których posiada roszczenie, będzie odpowiadał w postępowaniu sądowym, a następnie – w przypadku zasądzenia kwoty odszkodowania – wypłaci je w całości. Jednakże wówczas takiemu podmiotowi będzie przysługiwało roszczenie regresowe względem pozostałych podmiotów uczestniczących w danym przetwarzaniu danych. Jak bowiem wynika z art. 83 ust. 5 RODO, administrator lub podmiot przetwarzający, który zgodnie z ust. 4 zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność, zgodnie z warunkami określonymi w ust. 2.

            Na koniec warto wspomnieć, iż ewentualne postępowanie cywilne będzie się zasadniczo toczyć przed sądem właściwym ze względu na siedzibę pozwanego (administratora lub podmiotu przetwarzającego). W przypadku gdy powód i pozwany mają siedziby w różnych krajach, sytuacja może wyjątkowo ulec modyfikacji. Wynika to z art. 79 ust. 2 RODO, który stanowi: „Postępowanie przeciwko administratorowi lub podmiotowi przetwarzającemu wszczyna się przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną. Ewentualnie postępowanie takie może zostać wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu, chyba że administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne.”.

Odpowiedzialność administracyjna

            Dużo szerszym zagadnieniem jest problematyka odpowiedzialności administracyjnej, która oparta jest o system administracyjnych kar pieniężnych nakładanych przez Prezesa Urzędu Ochrony Danych Osobowych w drodze decyzji administracyjnej. Postępowanie takie może zostać wszczęte zarówno z urzędu, jak i w efekcie skargi osoby, której dane zostały naruszone, złożonej do Prezesa UODO (który jest w Polsce organem nadzorczym w zakresie przestrzegania przepisów RODO). Jak stanowi art. 77 ust. 1 RODO, bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.

            Po wszczęciu postępowania organ nadzoru musi dokonać ustaleń w zakresie stanu faktycznego, zestawić je z obowiązującym stanem prawnym i na podstawie takiej subsumcji wydać decyzję administracyjną. W przypadku podjęcia decyzji o nałożeniu kary nie może jednak ustalać jej dowolnie – stosownie do art. 83 ust. 1 RODO administracyjna kara pieniężna musi łącznie spełniać 3 kryteria:

1) musi być skuteczna,

2) musi być proporcjonalna, oraz

3) musi być odstraszająca.

Brak spełnienia któregokolwiek z nich może być przesłanką do uchylenia decyzji organu, zaskarżonej przez administratora lub podmiot przetwarzający. Będzie to miało istotne znaczenie zwłaszcza, jeśli wysokość kary mogłaby spowodować de facto zakończenie działalności gospodarczej przez przedsiębiorstwo. A biorąc pod uwagę to, jaką kwotę do zapłaty ma prawo wymierzyć Prezes UODO (o czym w dalszej części), śmiało można stwierdzić, iż nieprawidłowa decyzja organu nadzoru może realnie doprowadzić do likwidacji przedsiębiorstwa.

            Przede wszystkim jednak trzeba zaznaczyć, że Prezes UODO w ramach swoich kompetencji nie musi za każdym razem uciekać się do sankcji administracyjnych. Wręcz przeciwnie, powinny być one traktowane jako środek ostateczny (ultima ratio), stosowany w przypadku poważnych naruszeń i braku znajomości podstawowych przepisów RODO. W przypadku mniej istotnych naruszeń, organ nadzoru dysponuje uprawnieniami naprawczymi, których katalog zawarty jest w art. 58 ust. 2 lit. a)-h) oraz j) RODO. Jak wskazuje powyższy przepis:

„Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:

  1. wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;
  2. udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;
  3. nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;
  4. nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;
  5. nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
  6. wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
  7. nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
  8. cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;
  9. zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy;
  10. nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.”.

Jak zatem można zauważyć, Prezes UODO dysponuje mechanizmami pozwalającymi na usunięcie skutków naruszeń danych osobowych bez konieczności finansowego obciążania danej organizacji. Niestety, jak wynika z art. 58 ust. 2 lit. i) RODO, administracyjne kary pieniężne mogą być nakładane zamiast powyższych środków naprawczych, jak i łącznie z nimi, zaś ocena w tym zakresie należy już do organu nadzoru.

            Nie oznacza to jednak, iż Prezes UODO podejmuje rozstrzygnięcie w sposób dowolny. Wedle art. 83 ust. 2 zdanie drugie RODO, decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:

  1. charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
  2. umyślny lub nieumyślny charakter naruszenia;
  3. działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  4. stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;
  5. wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
  6. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  7. kategorie danych osobowych, których dotyczyło naruszenie;
  8. sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
  9. jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
  10. stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz
  11. wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Oczywiście, pomimo istnienia powyższych kryteriów, nadal mamy do czynienia z zasadą swobody decyzji (która w odróżnieniu od dowolności – jak przyjmuje się w nauce prawa administracyjnego – posiada pewne granice swobodnego uznania). Jednakże zaistnienie pewnych okoliczności z powyższego katalogu (np. nieumyślne naruszenie RODO, niska waga naruszenia czy uczynienie tego po raz pierwszy) mogą stanowić okoliczności prowadzące do obniżenia wysokości kary.

            Analizując kwoty, jakie mogą być nałożone, trzeba stwierdzić, że przepisy RODO nadają organowi nadzoru mocne narzędzie. Wydając decyzję o nałożeniu kary pieniężnej Prezes UODO może bowiem nałożyć na przedsiębiorstwo kwotę nawet 20 000 000 euro (słownie: 20 milionów euro). Oczywiście takie kwoty nie będą wchodziły w grę w przypadku jednoosobowej działalności gospodarczej, czy sektora MŚP – są skierowane raczej do dużych korporacji, których naruszenia dużych zbiorów danych mogą spowodować dużo poważniejsze skutki. Aktualna przy tym jest zasada o konieczności spełnienia przez konkretną, indywidualną decyzję o nałożeniu kary 3 kryteriów – skuteczności, proporcjonalności i odstraszania.

            Wracając jednak do samych kwot, prawodawca unijny pogrupował je w dwie kategorie – naruszenia podlegające karze do 10 000 000 euro lub 2% całkowitego rocznego obrotu z poprzedniego roku przedsiębiorstwa oraz naruszenia podlegające karze do 20 000 000 euro lub 4% całkowitego rocznego obrotu z poprzedniego roku przedsiębiorstwa.

            Zgodnie z art. 83 ust. 4 RODO naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:

  1. obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43;
  2. obowiązków podmiotu certyfikującego, o których mowa w art. 42 oraz 43;
  3. obowiązków podmiotu monitorującego, o których mowa w art. 41 ust. 4;

            Z kolei stosownie do art. 83 ust. 5 RODO, naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:

  1. podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9;
  2. praw osób, których dane dotyczą, o których mowa w art. 12-22;
  3. przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44-49;
  4. wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX;
  5. nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1.

Przedstawiony podział nie ma aż tak doniosłego znaczenia, bowiem jak wskazuje praktyka najczęściej dochodzi do naruszania wielu przepisów RODO jednocześnie w ramach danego przetwarzania. Jak zaś wynika z art. 83 ust. 3 RODO, w takiej sytuacji górną granicę odpowiedzialności administracyjnej będzie stanowić kwota, którą można nałożyć za najpoważniejsze naruszenie. Zgodnie z przywoływanym przepisem, jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie. Zatem jeśli dojdzie do wielu naruszeń, z których wszystkie będą się mieściły w katalogu z art. 83 ust. 4  RODO, to górna granica odpowiedzialności pozostanie na poziomie 10 000 000 euro bądź 2% całkowitego obrotu za rok poprzedni. Jeśli jednak przynajmniej jedno naruszenie będzie związane z katalogiem z art. 83 ust. 5 RODO, wówczas górna granica odpowiedzialności za całość naruszeń przy przetwarzaniu obejmie wyższy pułap – 20 000 000 euro bądź 4% całkowitego obrotu za rok poprzedni.

            Szczegóły dotyczące wymierzania administracyjnych kar pieniężnych określone są w prawie krajowym – kwestie te (jak i większość spraw, które przepisy RODO regulują zbyt ogólnie) określa ustawa z dnia 10 maja 2018 roku – o ochronie danych osobowych (Dz. U. z 2019 roku, poz. 1781), przywoływana dalej jako „u.o.d.o.”. Przepis art. 103 u.o.d.o. wyjaśnia przykładowo, jak należy przeliczać kwoty wyrażone w euro, na polskie złote: „Równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.”.

            Wartym podkreślenia jest fakt, że zgodnie z art. 7 ust. 2 u.o.d.o., postępowanie przed Prezesem UODO jest postępowaniem jednoinstancyjnym, w związku z czym od wydanej decyzji nie służy odwołanie (gdyż brak jest organu wyższego stopnia nad Prezesem UODO) oraz – co w tym przypadku jest szczególnie istotne – także wniosek o ponowne rozpatrzenie sprawy (który jest instytucją stosowaną zasadniczo w przypadku organów nie posiadających organów wyższego stopnia). Podmiot, który został ukarany administracyjną karą pieniężną może więc zaskarżyć decyzję jedynie w ramach postępowania sądowoadministracyjnego, wnosząc w terminie 30 dni od dnia jej doręczenia skargę do wojewódzkiego sądu administracyjnego (którego wyrok może następnie zaskarżyć skargą kasacyjną do Naczelnego Sądu Administracyjnego).

            Na koniec należy podkreślić, iż zgodnie z art. 105 ust. 1 u.o.d.o., administracyjną karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Stosownie do ust. 2, Prezes Urzędu może, na wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty, ze względu na ważny interes wnioskodawcy (który należy uzasadnić we wniosku). Jednakże w takim przypadku, podmiot ukarany musi liczyć się z zapłatą dodatkowych odsetek, liczonych w przypadku odroczenia – w stosunku rocznym, zaś w przypadku rozłożenia na raty – odrębnie dla każdej z rat. Oprócz tego, Prezes UODO jest także władny, na umotywowany wniosek podmiotu ukaranego, udzielić ulgi w wykonaniu administracyjnej kary pieniężnej (art. 105 ust. 9 u.o.d.o.).

Odpowiedzialność karna

            Oprócz odpowiedzialności administracyjnej i cywilnej, za naruszenie danych osobowych można odpowiadać także w ramach postępowania karnego. Przepisy RODO nie zawierają co prawda w tym zakresie szerszego pola do analizy. Jedyną relewantną normą jest art. 84 RODO, będący przepisem odsyłającym do prawa krajowego. Zgodnie z jego ust. 1, państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Ponadto, sankcje te muszą być skuteczne, proporcjonalne i odstraszające.

 Ustawa o ochronie danych osobowych penalizuje dwa typy przestępstw:

  1. nielegalne przetwarzanie danych osobowych (art. 107 u.o.d.o.)
    oraz
  2. udaremnianie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych lub niedostarczenie Prezesowi UODO danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej (art. 108 u.o.d.o.).

            Jak stanowi pierwszy z powyższych przepisów, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Art. 107 ust. 2 u.o.d.o. zawiera z kolei postać kwalifikowaną tego występku. Stanowi on, iż jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

            Natomiast zgodnie z art. 108 ust. 1 u.o.d.o., kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Stosownie do ust. 2 niniejszego artykułu, tej samej karze podlega kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.

Podsumowanie

            Za naruszenie przepisów o ochronie danych osobowych można odpowiadać zarówno w postępowaniu administracyjnym, jak również cywilnym i karnym. Postępowanie administracyjne prowadzone przez Prezesa UODO jest podstawowym rodzajem odpowiedzialności z tytułu nieprzestrzegania RODO i może prowadzić do nałożenia wysokich kar pieniężnych. Odpowiedzialność cywilna i karna stanowią sankcje uzupełniające, jednak – co raz jeszcze trzeba podkreślić – niezależne od sankcji administracyjnej. Za jedno naruszenie można więc płacić nawet potrójną cenę – karę administracyjną nałożoną przez organ nadzoru, odszkodowanie zasądzone przez sąd cywilny oraz karę grzywny, ograniczenia lub pozbawienia wolności wydaną wyrokiem sądu karnego. Warto zatem znać zasady przetwarzania danych osobowych, aby do takich sytuacji w ogóle nie doszło, gdyż może to nas wiele kosztować.

Opracowanie własne