W pierwszym wpisie z tej serii, mogliście Państwo przeczytać o tym, czego dotyczy projekt ustawy o ochronie danych osobowych,  o certyfikatach i akredytacjach,  Prezesie Urzędu Ochrony Danych Osobowych i planowanych rekomendacjach. Zachęcamy do zapoznania się z tym wpisem.

Naruszenie przepisów o ochronie danych osobowych

W rozdziale piątym projektu ustawy, projektodawca przewiduje , że do postępowania w sprawie naruszenia przepisów o ochronie danych osobowych będą miały zastosowanie przepisy Kodeksu Postępowania Administracyjnego. W razie naruszenia przepisów czy to ustawy o ochronie danych osobowych czy to rozporządzenia tzw. „ RODO” postępowanie będzie prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych.Będzie to postępowanie jednoinstancyjne, co oznacza, że od wydanej przez Prezesa Urzędu decyzji nie będzie się można odwołać do organu wyższej instancji. Będzie można złożyć wniosek o ponowne rozpatrzenie sprawy do Prezesa Urzędu. Rozstrzygnięcia wydawane przez Prezesa będą również podlegały zaskarżeniu do sądów administracyjnych.Przewiduje się, że w toku postępowania, już w przypadku uprawdopodobnienia, że występuje naruszenie przepisów o ochronie danych osobowych, Prezes Urzędu będzie mógł wydać postanowienie zobowiązujące podmiot, który przetwarza dane do ograniczenia ich przetwarzania. Takie postanowienie będzie mogło być wydane, jeżeli przetwarzanie danych będzie mogło spowodować poważne i trudne do usunięcia skutki. W postanowieniu  Prezes Urzędu będzie miał obowiązek wskazać zakres w jakim dopuszczone będzie przetwarzanie danych oraz czas ograniczenia.W razie stwierdzenia naruszenia przepisów o ochronie danych osobowych Prezes Urzędu będzie mógł m.in.

• Udzielić upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów

• Nakazać spełnienia żądania osoby, której dotyczą dane

• Nakazać dostosowania operacji przetwarzania do przepisów

• Nakazać zawiadomienie osoby zainteresowanej o naruszeniu

• Wprowadzić czasowe lub całkowite ograniczenie przetwarzania, a nawet zakazać przetwarzania danych

• Cofnąć certyfikat

• Nałożyć karę pieniężną

Postępowanie kontrolne

Projekt ustawy przewiduje również tzw. postępowanie kontrolne. Prezes Urzędu ( również przez upoważnionych pracowników) będzie miał możliwość przeprowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych. Takie kontrole prowadzone będą zgodnie z tzw. „planem kontroli” albo poza tym planem.Kontrolujący będzie miał prawo m.in. wejść do budynków i lokali kontrolowanego, przeprowadzić oględziny urządzeń, nośników czy systemów informatycznych i teleinformatycznych służących do przetwarzania danych. Kontrolujący będzie mógł zażądać wyjaśnień, kierować wezwania i przesłuchiwać świadków. Kontrolujący będzie mógł m.in. przesłuchać w charakterze świadka pracowników kontrolowanego pod groźbą odpowiedzialności karnej na składanie fałszywych zeznań.Przeprowadzający kontrolę będzie mógł korzystać z asysty Policji czy innych organów kontroli państwowej. Taka kontrola, będzie mogła być nagrywana, po uprzednim poinformowaniu kontrolowanego.Jeżeli informacje zebrane podczas kontroli wskażą na naruszenie przepisów o ochronie danych osobowych, to prezes urzędu będzie miał obowiązek wszczęcia postępowania, o którym mowa powyżej.

Odpowiedzialność cywilna za naruszenie przepisów o ochronie danych osobowych

W projekcie przewidziano również, że każda osoba, w razie naruszenia jej praw na skutek naruszenia przepisów o ochronie danych osobowych, może dochodzić swoich roszczeń na drodze cywilnoprawnej. Przede wszystkim, przed sądem cywilnym będzie można domagać się zaniechania naruszającego przepisy działania oraz usunięcia skutków naruszenia. W projekcie zaznaczono, że przepisy te nie wyłączają dochodzenia roszczeń na zasadach ogólnych. Zatem będzie również możliwe, na przykład dochodzenie odszkodowania w razie wykazania, że naruszenie przepisów o ochronie danych osobowych doprowadziło do wyrządzenia szkody.W sprawach roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych właściwe będą sądy okręgowe, nieżalenie od wartości przedmiotu sporu. Co ważne, sądy będą miały obowiązek powiadomienia Prezesa Urzędu o wniesieniu pozwu w tego typu sprawach. Podobnie, sądy będą miały również obowiązek powiadomić Prezesa Urzędu o każdym wyroku uwzględniającym powództwo.

Kary pieniężne za naruszenie przepisów o ochronie danych osobowych

Za naruszenie przepisów o ochronie danych osobowych przewiduje się również kary pieniężne. Projekt ustawy przewiduje, że będą one wymierzane przez Prezesa Urzędu, w drodze decyzji administracyjnej na podstawie i na warunkach określonych w  rozporządzeniu. RODO przewiduje, że wysokość kary pieniężnej będzie zależna m.in. od wagi dokonanego naruszenia. Kara administracyjna za niektóre naruszenia może wynieść nawet do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.Warto zwrócić uwagę na to, że kary za naruszenie przepisów o ochronie danych osobowych, będą liczone od obrotu przedsiębiorstwa, nie od jego dochodu, tak więc mogą być one bardzo wysokie i dotkliwe. Dlatego tak ważne jest zadbanie o wprowadzenie zgodnej z prawem procedury ochrony danych osobowych.

Odpowiedzialność karna

Jakkolwiek podstawowymi sankcjami za naruszenie przepisów o ochronie danych osobowych są administracyjne kary pieniężne, to nie można tracić z pola widzenia również przepisów karnych, jakie są przewidywane przez projekt ustawy.Za przetwarzanie danych osobowych wymienionych w art. 9 rozporządzenia,  bez podstawy prawnej przewidziano karę grzywny, ograniczenia wolności albo pozbawienia wolności do roku. Art. 9 rozporządzenia zawiera kategorię szczególnych danych osobowych( na przykład danych dotyczących poglądów politycznych , przekonań religijnych, danych genetycznych, biometrycznych, danych dotyczących zdrowia, seksualności etc.). Działanie takie będzie uznane za przestępstwo.Nadto przewidziano, że udaremnianie bądź utrudnianie przeprowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych będzie stanowiło wykroczenia, podlegające karze grzywny.Wpis dotyczy projektu ustawy. Na etapie procesu legislacyjnego mogą zostać do niego wprowadzone pewne zmiany. Jednak warto już dziś wiedzieć, w jakim kierunku zmierzają pracę nad nowelizacją prawa o ochronie danych osobowych tak, żeby nie zostawić wdrażanie stosownych procedur w swojej firmie na ostatnią chwilę.