25 maja 2018 r. we wszystkich państwach członkowskich UE wejdzie w życie Ogólne rozporządzenie o ochronie danych („RODO” / „Rozporządzenie”). RODO ma zapewnić jednolite postępowanie z danymi osobowymi w Europie, doprowadzić do istotnej harmonizacji wymogów i standardów w zakresie ochrony danych osobowych w całej UE. Kluczowe znaczenie dla zapewnienia funkcjonowania zharmonizowanego systemu ochrony danych osobowych ma konsekwentne egzekwowanie zasad, między innymi poprzez nakładanie administracyjnych kar pieniężnych przez organy nadzorcze. Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, powołana na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. („Grupa Robocza 29″/ „GR 29″), wydała wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679.
Kluczowe zasady dla organow nadzorczych
Zgodnie z tekstem Rozporządzenia o ochronie danych oraz wytycznymi Grupy Roboczej 29, gdy zostanie stwierdzone naruszenie RODO, właściwy organ nadzorczy obowiązany będzie do reakcji na takie naruszenie przez zastosowanie najbardziej odpowiedniego środka naprawczego. W fazie wybierania środka naprawczego organy nadzorcze powinny zastosować się do kilku kluczowych zasad. Jedna z nich wskazuje na to, że naruszenie rozporządzenia powinno prowadzić do nałożenia „równoważnych kar”.
Przez pojęcie „równoważności”, zgodnie z motywem 10 RODO, należy rozumieć zapewnienie przez wszystkie państwa członkowskie równorzędnego stopnia stosowania przepisów Rozporządzenia. Wspomniana równorzędność ma zasadnicze znaczenie dla określenia zakresu obowiązków organów nadzorczych w celu zapewnienia spójności w korzystaniu z uprawnień naprawczych, w tym kar (administracyjnych). Należy przy tym pamiętać, że samo Rozporządzenie, ani wytyczne Grupy Roboczej 29 nie zawierają katalogu kar przypisanych do danego przewinienia. Rozporządzenie posługuje się wyłącznie maksymalnymi pułapami, dostosowanie wysokości kary do przewinienia pozostawiono organom nadzoru.
Indywidualnie w każdym przypadku
Kolejnymi równie ważnymi zasadami mającymi znaczenie przy nakładaniu administracyjnych kar pieniężnych przez organ nadzorczy jest charakter środka naprawczego, który zgodnie z art. 83 ust. 1 powinien być „skuteczny, proporcjonalny i odstraszający”, a także zgodnie z art. 83 ust. 2 dokonywanie oceny powinno być rozpatrywane indywidualnie w każdym przypadku. Organ nadzorczy, dokonując oceny, co w danym przypadku jest skuteczne, proporcjonalne i odstraszające, będzie musiał mieć na uwadze cel wybranego środka naprawczego, którym jest przywrócenie zgodności z przepisami lub ukaranie za bezprawne zachowanie. Najprawdopodobniej dopiero praktyka i wykładnia orzecznicza wykształci jednoznaczne albo dokładniejsze znaczenie niedookreślonych pojęć.
Organ nadzorczy jest odpowiedzialny za wybór najodpowiedniejszego środka. Wybór musi uwzględniać wszystkie środki naprawcze, w tym nałożenie odpowiedniej administracyjnej kary pieniężnej, czy to towarzyszącej środkowi naprawczemu na mocy art. 58 ust. 2, czy też występującej samodzielnie. Indywidualny przypadek należy rozpatrywać w kategoriach proporcjonalności i skuteczności, nie zapominając o odstraszającym charakterze zastosowanego środka. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna mogłaby stanowić dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Jednakże, zgodnie ze stanowiskiem Grupy Roboczej 29 „celem nie jest tu traktowanie kar pieniężnych jako ostateczności albo powstrzymanie się od ich stosowania”, a jedynie zwrócenie uwagi na to, że organy nadzorcze powinny bardzo dokładnie rozpoznać i zbadać dane naruszenie, po to by uniemożliwić podważenie skuteczności ich działania.
Ostatnia z zasad polega na aktywnym udziale i wymianie informacji między organami nadzorczymi. Chodzi tu przede wszystkim o współpracę pomiędzy organami a także między organami a Komisją Europejską. ?
Zasada ta jest wynikiem tego, że nakładanie kar pieniężnych jest dla niektórych państw członkowskich nowością w dziedzinie ochrony danych osobowych. W związku z czym współpraca ta powinna polegać w głównej mierze na wymianie doświadczeń oraz praktyk w zakresie nakładania kar pieniężnych, tak aby dać wyraz zasadzie równoważności kar.
Jakie kryteria
W art. 83 ust. 2 znajduje się katalog kryteriów oceny, które mają być stosowane przez organy nadzorcze przy nakładaniu administracyjnych kar pieniężnych.
Grupa Robocza 29 w wydanych wytycznych podjęła próbę wyjaśnienia tych kryteriów, wskazując między innymi na wskazówki dotyczące sposobu interpretacji poszczególnych okoliczności faktycznych danej sprawy w świetle kryteriów określonych w RODO:
Charakter, waga i czas trwania
W Rozporządzeniu wskazuje się, że naruszenie niektórych przepisów może być poważniejsze niż naruszenie pozostałych , między innymi przez ustanowienie dwóch różnych maksymalnych wysokości administracyjnej kary pieniężnej, tj. 10 mln oraz 20 mln euro. Organy nadzorcze oceniając okoliczności faktyczne sprawy w świetle ogólnych kryteriów określonych w art. 83 ust. 2, mają możliwość podjęcia decyzji, w której wskażą, że w konkretnym przypadku istnieje większa lub mniejsza potrzeba reagowania za pomocą środka naprawczego w formie kary pieniężnej – bierze się w tym zakresie pod uwagę charakter naruszenia. Na przykład, gdy dany przypadek nie stanowi poważnego zagrożenia dla praw osób, których dane dotyczą oraz nie wpływa na istotę danego obowiązku. Rozporządzenie w motywie 148 posługuje się wobec takich przypadków pojęciem „niewielkie naruszenie”, co pozwala karę pieniężną zastąpić upomnieniem. Podobnie, motyw 148 stwarza taką samą możliwość zastąpienia kary pieniężnej upomnieniem w przypadku, gdy administratorem danych jest osoba fizyczna, a grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie.
O wadze naruszenia stanowić będzie z kolei „zakres, cel danego przetwarzania, liczba poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody” w kontekście charakteru naruszenia. Organy nadzorcze będą miały za zadanie ustalić zarówno, czy mają do czynienia z pojedynczym zdarzeniem, czy powtarzającymi się sytuacjami, czy cel przetwarzania został określony i był uzasadniony, a także czy osoba, której dane dotyczą poniosła szkodę i ewentualnie jaki jest jej rozmiar, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną”.
Czas trwania naruszenia według Grupy Roboczej 29 powinno określać się w kontekście tego, czy naruszający podjął odpowiednie środki zapobiegawcze, czy naruszenie było celowe, a także czy zostały wprowadzone wymagane środki techniczne i organizacyjne mające zapobiegać naruszeniom.
Umyślny lub nieumyślny charakter
W interpretacji Grupy Roboczej 29 przez pojęcie „umyślnie” należy rozumieć sytuację, w której sprawca chce czyn popełnić, wykazuje pewną wolę i celowość działania, a także świadomość, że w związku z pewnym działaniem może dojść do popełnienia czynu zabronionego. Nieumyślność oznacza natomiast, że czyn popełniony został wskutek niezachowania ostrożności lub bez zamiaru spowodowania naruszenia.
Według wytycznych, okolicznościami wskazującymi na umyślne naruszenia mogą być niezgodne z prawem przetwarzanie wyraźnie zatwierdzone przez ścisłe kierownictwo administratora lub – wbrew opinii inspektora ochrony danych lub wbrew istniejącym zasadom – na przykład uzyskiwanie i przetwarzanie danych o pracownikach u konkurenta z zamiarem zdyskredytowania tego konkurenta na rynku.
Z kolei okolicznościami wskazującymi na zaniedbanie może być nieprzeczytanie i nieprzestrzeganie istniejących zasad, błąd ludzki, niesprawdzenie danych osobowych w opublikowanych źródłach, niedokonanie aktualizacji technicznych w odpowiednim czasie, nieprzyjęcie zasad w przeciwieństwie do ich niestosowania.
Ile było współpracy
W przypadku dopuszczenia się naruszenia przez administratora lub podmiot przetwarzający, wpływ na złagodzenie administracyjnej kary pieniężnej może mieć współpraca z organem nadzorczym, a także podjęte stosowne działania w celu zminimalizowania skutków naruszenia, przede wszystkim wszelkie możliwe starania celem ograniczenia skutków naruszenia dla danej osoby. Organ nadzorczy uwzględni taką odpowiedzialną postawę (bądź jej brak) podczas dokonywania wyboru środka naprawczego oraz przy ustalaniu wysokości kary pieniężnej mającej zastosowanie w danej sytuacji. Ważnym elementem jest także sposób w jaki organ nadzorczy dowiedział się o naruszeniu. Dopełnienie obowiązku zawiadomienia organu nadzorczego o dopuszczeniu się naruszenia nie może być wprawdzie interpretowane jako czynnik łagodzący, jednak niezawiadomienie organu nadzorczego może grozić zastosowaniem poważniejszej sankcji, która mogłaby być zastosowana, gdyby naruszający wykonał swój obowiązek.
Stopień odpowiedzialności
Ważna jest także rozliczalność administratora lub podmiotu przetwarzającego w stosunku do zastosowanych przez te podmioty wymaganych środków technicznych i organizacyjnych. Według wytycznych GR 29, organ nadzorczy sprawdzi czy podmiot, który naruszył przepisy Rozporządzenia wcześniej:
– „wdrożył środki techniczne zgodne z zasadą uwzględniania ochrony danych w fazie projektowania (privacy by design) lub z zasadą domyślnej ochrony danych (privacy by default), (art. 25)”,
– „wdrożył środki organizacyjne, które zapewniają skuteczność zasady uwzględniania ochrony danych w fazie projektowania i zasady domyślnej ochrony danych (art. 25) na wszystkich poziomach organizacji”,
– „czy administrator / podmiot przetwarzający zapewnił odpowiedni poziom bezpieczeństwa (art. 32)” ,
– „czy na odpowiednim poziomie zarządzania w organizacji są znane i stosowane właściwe procedury/polityki ochrony danych (art. 24)”.
Wszelkie istotne wcześniejsze naruszenia
Organ nadzorczy powinien ocenić czy dany podmiot kiedykolwiek dopuścił się już tego naruszenia, a także czy naruszenie przebiegało w ten sam sposób. Stosowanie tego kryterium przez organ nadzorczy ma na celu, tak samo jak inne kryteria dobranie odpowiednio środka naprawczego, z uwzględnieniem wszystkich pozostałych kryteriów. Kryterium zastosowanego wcześniej środka ma na celu jedynie przypomnienie organom nadzorczym, by stosowały środki, które same uprzednio wydały wobec tego samego administratora lub podmiotu przetwarzającego „w tej samej sprawie”.
Jaka kategoria
Grupa Robocza 29 wskazuje również na kilka kluczowych pytań, które organ nadzorczy może zadać, w celu uzyskania odpowiedzi, mogącej pomóc mu przy wyborze „najodpowiedniejszego środka”. Wśród pytań wyszczególnionych przez GR 29 znajdują się takie, które dotyczą tego, czy naruszenie danych dotyczy tzw. „szczególnych kategorii danych”, czyli danych osobowych wrażliwych, a także, czy dane można „bezpośrednio lub pośrednio zidentyfikować, oraz jak szybko naruszenie spowodowałoby szkodę/dyskomfort danej osoby”.
Kodeksy postępowania
Stosowanie zatwierdzonych kodeksów przez daną społeczność, w pewnych wypadkach może zastąpić zastosowanie przez organ nadzoru odpowiednich środków. Jeżeli zgodnie z kodeksem zostaną podjęte odpowiednie działania przeciwko członkowi danej grupy stosującemu się do zapisów kodeksu, a takie działania będą wystarczająco skuteczne, proporcjonalne lub odstraszające, to organ nadzorczy może zaniechać nałożenia kary na podmiot naruszający. Należy przy tym podkreślić, że uprawnienia organu monitorującego pozostają „bez uszczerbku dla zadań i uprawnień właściwego organu nadzorczego”. Oznacza to, że organ nadzorczy nie ma obowiązku uwzględnienia wcześniej nałożonych kar zgodnych z kodeksem postępowania.
Obciążające lub łagodzące czynniki
Grupa Robocza 29 podkreśla charakter otwarty kryterium obciążającego lub łagodzącego. Wskazuje się jednak, że informacja o osiągnięciu korzyści z tytułu naruszenia przepisów Rozporządzenia przez administratora/ podmiot przetwarzający może stanowić wyraźną przesłankę do zastosowania kary pieniężnej. ?
Zdaniem autora
Artur Piechocki, radca prawny w kancelarii APLaw
Organy nadzorcze będą miały za zadanie przywrócić zgodność za pomocą wszystkich dostępnych im środków naprawczych. Dzięki wytycznym Grupy Roboczej 29, organy nadzorcze będą mogły lepiej stosować przepisy Rozporządzenia. Jednak Grupa Robocza 29 już na wstępie wyraźnie zaznacza, że „wytyczne nie są ani wyczerpujące, ani nie zawierają wyjaśnień co do różnic występujących między systemami prawa administracyjnego, cywilnego i karnego, jeżeli chodzi o nakładanie kar administracyjnych w ogólności”. ?