Sankcje administracyjne (vide: art. 83 RODO) grożą przede wszystkim administratorom i podmiotom przetwarzającym, a także wykładając systemowo art. 83 RODO - subprocessorom, podmiotom certyfikującym i podmiotom monitorującym przestrzeganie kodeksów postępowania. Kara w typie podstawowym wynosi do 10 milionów euro, a w przypadku przedsiębiorstwa lub grupy przedsiębiorstw o łącznym światowym obrocie przekraczającym 500 milionów euro – do 2% całkowitego światowego obrotu z poprzedniego roku. Kara w typie obostrzonym wynosi do 20 milionów euro, a w przypadku przedsiębiorstwa lub grupy przedsiębiorstw o łącznym światowym obrocie przekraczającym 500 milionów euro do 4% całkowitego światowego obrotu z poprzedniego roku.

Kara administracyjna w typie obostrzonym odnosi się do następujących przypadków:

• Naruszenia podstawowych zasad przetwarzania w tym warunków udzielenia zgody (art. 5, 6, 7 i 9 RODO),
• Naruszenia praw osób, których dane dotyczą, tj. w szczególności art. 12-22 RODO,
• Naruszenia zasad eksportu danych – przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
• Nieprzestrzegania wyjątków od ochrony danych wprowadzonych przez państwa członkowskie,
• Naruszenia nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 RODO lub utrudnianie kontroli.

Natomiast kara administracyjna w typie podstawowym może grozić za pozostałe naruszenia przepisów RODO, np. za naruszenie obowiązków bezpieczeństwa, przetwarzanie danych niezidentyfikowanych lub niepowołanie inspektora ochrony danych. Ustalenie wysokości kary administracyjnej spoczywa na organie nadzoru.

Do dnia wejścia w życie przepisów RODO, odpowiedzialność cywilnoprawna za naruszenie ochrony danych osobowych opierała się na przepisach prawa materialnego zawartych w Kodeksie cywilnym, w szczególności art. 23 i 24, a także przepisie mającym charakter procesowy - art. 448. Aktualnie art. 82 RODO stanowi samodzielną podstawę dochodzenia roszczeń odszkodowawczych, opartych na zasadzie zawinienia. Nadto na podstawie art. 79 RODO, podmiot danych może żądać od administratora (współadministratora), podmiotu przetwarzającego lub obu tych podmiotów łącznie określonego działania lub zaniechania. Sprawy wszczęte na podstawie art. 79 i 82 mają charakter cywilny, w związku z czym właściwe do ich rozpoznania bez względu na wartość przedmiotu sporu będą właściwe wydziały cywilne sądów powszechnych, zaś sądem I instancji zgodnie z ustawą o ochronie danych osobowych z 10 maja 2018 r. będzie sąd okręgowy. Postępowanie cywilne jest niezależne od postępowania administracyjnego, tzn. podmiot danych może dochodzić swoich praw bezpośrednio od administratora (współadministratora) lub podmiotu przetwarzającego bez względu na ewentualną decyzję administracyjną wydaną przez Prezesa Urzędu Ochrony Danych Osobowych. Niemniej ustawodawca w art. 94 ust. 1 ustawy o ochronie danych osobowych zobowiązał sąd do informowania organu nadzoru o wszczęciu i prawomocnym zakończeniu postępowania cywilnego, zapewniając przy tym stosowną komunikację między organami administracji publicznej a organami wymiaru sprawiedliwości.

Wobec zwiększenia dolegliwości sankcji administracyjnych i odpowiedzialności  cywilnoprawnej, ustawodawca zdecydował się uszczuplić katalog sankcji karnych wynikających z przetwarzania danych osobowych. Zatem aktualnie odpowiedzialność karną może ponieść osoba, która nie została dopuszczona do przetwarzania danych osobowych albo nie jest uprawniona do ich przetwarzania. Wobec osoby, która popełniła wyżej opisany czyn może zostać orzeczona grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat dwóch. Natomiast w przypadku, gdy znamieniem czynu objęto tzw. dane szczególnie chronione górna granica kary pozbawienia wolności została obostrzona do lat 3. Warto również przypomnieć o treści art. 46 Kodeksu karnego, który pozwala pokrzywdzonemu przestępstwem na dochodzenie roszczeń o charakterze cywilnoprawnym bezpośrednio od sprawcy w procesie karnym. Sąd karny w przypadku wniosku pokrzywdzonego jest zobowiązany zastosować przepisy prawa cywilnego i orzec obowiązek naprawienia szkody w całości lub w części lub zadośćuczynienia za doznaną krzywdę.

W nawiązaniu do przepisów dawnej ustawy o ochronie danych osobowych, utrzymano odpowiedzialność karną udaremniającego lub utrudniającego kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych.

Warto również przypomnieć, iż odpowiedzialność karna jest odpowiedzialnością zindywidualizowaną, odnoszącą się wyłącznie do osób fizycznych, to oznacza, że w przeciwieństwie do odpowiedzialności administracyjnej i cywilnoprawnej, odpowiedzialności karnej nie można przypisać podmiotowi zbiorowemu (np. osobie prawnej, czy też podmiotowi nieposiadającemu osobowości prawnej). Innymi słowy odpowiedzialności karnej będą podlegali m.in. członkowie zarządów, pracownicy lub pozostałe osoby, którym można przypisać winę w rozumieniu prawa karnego (także nieumyślną).

Odpowiedzialność dyscyplinarna wiąże się przede wszystkim z możliwością zastosowania pełnego katalogu sankcji dyscyplinarnych przewidzianych przez przepisy prawa pracy, łącznie z rozwiązaniem umowy o pracę bez wypowiedzenia z winy pracownika (art. 52 Kodeksu pracy), np. z powodu ciężkiego naruszenia przez pracownika podstawowych obowiązków pracowniczych. Istotną rolę w przypadku możliwości przypisania pracownikom odpowiedzialności dyscyplinarnej pełni dokumentacja wewnętrzna danego pracodawcy, taka jak m.in. Regulamin pracy, Polityka bezpieczeństwa danych osobowych, czy też Instrukcja zarządzania systemem informatycznym, bowiem możliwość nałożenia sankcji na pracownika powinna zostać poprzedzona ustaleniem zakresu jego obowiązków lub obowiązujących w zakładzie pracy zakazów. Katalog obowiązków pracownika w kontekście obowiązywania przepisów RODO jest niezwykle ważny, zwłaszcza w tych obszarach, w których RODO pozostawia administratorowi swobodę rozwiązań służących utrzymaniu wysokiego poziomu ochrony danych osobowych w danej organizacji. Można byłoby bowiem napotkać istotne trudności, np. w przypadku konieczności udowodnienia zasadności rozwiązania umowy o pracę bez wypowiedzenia z winy pracownika z powodu naruszenia zasad zabezpieczenia danych osobowych, podczas gdy te zasady nie zostały przez pracodawcę w żadnym miejscu sprecyzowane.

Wejście w życie przepisów RODO przyniosło również szerokie spektrum rozwiązań w przypadku kształtowania przez strony odpowiedzialności kontraktowej. W praktyce zawierania umów powierzenia przetwarzania w oparciu o art. 28 RODO administratorzy zmierzają bowiem do przyjęcia odpowiedzialności podmiotów przetwarzających zbliżonej do odpowiedzialności na zasadzie ryzyka, podczas gdy ci drudzy woleli by jednak ponosić odpowiedzialność wyłącznie na zasadach ogólnych, stosownie do stopnia zawinienia. Spore kontrowersje budzą również kwestie wzajemnych porozumień między współadministratorami, gdzie odpowiedzialność za naruszenie przepisów ochrony danych osobowych jest umownie cedowana wyłącznie na jednego z nich.

Odpowiedzialność z tytułu naruszenia przepisów o ochronie danych osobowych może realizować się na różnych płaszczyznach, zaś przypisanie odpowiedzialności na gruncie przepisów prawa z jednej dziedziny nie wyklucza poniesienia odpowiedzialności na podstawie innych norm prawnych. W przypadku postępowania administracyjnego i postępowania cywilnego, ustawodawca zdecydował się na niespotykane dotąd rozwiązanie umożliwiające Prezesowi Urzędu Ochrony Danych Osobowych wszczęcie kontroli, nawet w tych sprawach, w których podmiot danych – powód będący dysponentem postępowania cywilnego, nie posiada wymiernego interesu ekonomicznego w nałożeniu administracyjnej kary pieniężnej na dany podmiot. Z drugiej zaś strony na podstawie art. 11 Kodeksu postępowania cywilnego, ustalenia wydanego w postępowaniu karnym prawomocnego wyroku skazującego co do popełnienia przestępstwa wiążą sąd w postępowaniu cywilnym. Natomiast zgodnie z art. 52 § 1 pkt 2 Kodeksu pracy popełnienie przez pracownika w czasie trwania umowy o pracę przestępstwa, które uniemożliwia dalsze zatrudnianie go na zajmowanym stanowisku, jeżeli przestępstwo jest oczywiste lub zostało stwierdzone prawomocnym wyrokiem może prowadzić do rozwiązania przez pracodawcę umowy o pracę bez wypowiedzenia z winy pracownika. Nadto, organizacje mają prawo samodzielnie kształtować własne regulacje dotyczące odpowiedzialności za naruszenie ochrony danych osobowych.  

Aktualnie trudno jest jednoznacznie przesądzić, który z rodzajów odpowiedzialności stanie się wiodący do egzekwowania praw podmiotów danych wynikających z przepisów o ochronie danych osobowych, wszak jednym z głównych celów wejścia w życie przepisów RODO było zapewnienie wysokiego i spójnego stopnia ochrony osób fizycznych, a nie samoistne nakładanie sankcji za jego nieprzestrzeganie.

Konrad Wysocki, adwokat