RODO wskazuje w art. 83 kary pieniężne w wysokości do 20 000 000 EURO, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Kary są nakładane za naruszenie przepisów z zakresu ochrony danych oraz za nieprzestrzeganie nakazów nałożonych przez organ nadzorczy.
Kary mogą być nałożone za:
– niezgodne z prawem przetwarzanie danych;
– naruszenie praw osoby, której dane dotyczą;
– brak upoważnień do przetwarzania danych i brak albo niewłaściwe umowy o powierzenie;
– naruszenie obowiązku rejestrowania czynności przetwarzania;
– naruszenie zasad bezpieczeństwa przetwarzania;
– naruszenie obowiązków związanych ze zgłaszaniem naruszenia ochrony danych osobowych;
– brak dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, w przypadku gdy dany rodzaj przetwarzania może nieść duże zagrożenie dla praw i wolności osób fizycznych np. dla monitoringu wizyjnego, zdalnego odczytu wodomierzy radiowych;
– naruszenie obowiązków w zakresie wyznaczenia inspektora ochrony danych.
Kar jest dużo. W styczniu 2019 roku na Morele.net Sp. z o.o. Prezes UODO nałożył karę pieniężną w wysokości 2 830 410 zł za niewystarczające zabezpieczenia danych. PUODO nałożyło również karę w wysokości ponad 201 tys. zł na spółkę działającą w branży reklamowej – ClickQuickNow – za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych. Nałożono też karę 40 tys. zł na Burmistrza Aleksandrowa Kujawskiego za to, że nie zawarł on umowy powierzenia przetwarzania danych osobowych oraz za długo publikował oświadczenia majątkowe. Dolnośląski Związek Piłki Nożnej został ukarany przez Prezesa UODO za nieskuteczne próby usunięcia naruszenia polegającego na upublicznieniu zbyt szerokiego zakresu danych osobowych sędziów, którym przyznano licencje sędziowskie. W wykazie ujawniono nie tylko ich imiona i nazwiska, ale też dokładne adresy oraz numery PESEL. Dolnośląski Związek Piłki Nożnej w związku z tym musiał zapłacić 66 750 zł kary pieniężnej administracyjnej.
PUODO nałożył karę na Virgin Mobile Polska 1,9 mln zł za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych.
W branży nieruchomości zostały nałożone kary na wspólnotę mieszkaniową, firmę ochroniarską nadzorująca monitoring wizyjny oraz zarządcę nieruchomości.
Dodatkowo konfliktowy członek spółdzielni, niezadowolony właściciel, agresywny mieszkaniec, niewybrany w przetargu przedsiębiorca, może złośliwie złożyć skargę albo pozew o odszkodowanie w zakresie ochrony danych osobowych do właściwego sądu okręgowego, wydziału cywilnego.
Wielokrotnie słyszę od Zarządów Spółdzielni, że najwyżej spółdzielnia zapłaci karę ale nie będziemy ponosić kosztów wdrożenia RODO. To błędne stanowisko. Spółdzielnia zapłaci karę ale nie zwolni to jej z wykonania obowiązków z zakresu ochrony danych.
Zarząd każdej spółdzielni musi być świadomy, że to na nim ciążą obowiązki z zakresu wdrożenia. To członkowie zarządu będą odpowiadać swoim majątkiem na podstawie regresu jeżeli spółdzielnia zapłaci karę. Zgodnie z art. 58 Prawa spółdzielczego: Członek zarządu, rady oraz likwidator odpowiada wobec spółdzielni za szkodę wyrządzoną działaniem lub zaniechaniem sprzecznym z prawem lub postanowieniami statutu spółdzielni, chyba że nie ponosi winy.
To cywilnoprawna odpowiedzialność całym swoim majątkiem za wyrządzoną szkodę na zasadzie winy. Zarząd każdej spółdzielni powinien być świadomy, że odpowiada całym swoim majątkiem jeżeli udowodnione zostanie, że w skutek swojej bezczynności nie przeprowadził audytu, nie wdrożył dokumentacji i procedur, nie zabezpieczył systemu informatycznego i strony internetowej.
Ponadto w art. 107 ustawy z 10 maja 2018 r. o ochronie danych osobowych jest uregulowana odpowiedzialność karna za bezprawne przetwarzanie danych osobowych. W art. 108 tej ustawy wprowadzono odpowiedzialność karną za utrudnianie czynności kontrolnych.
Proponuję zrobić audyt i dopracować wdrożenie RODO. Może warto spać spokojnie.
Potrzebujesz obsługi prawnej, audytu, kompleksowego wdrożenia z zakresu ochrony danych osobowych, napisz: kancelaria@wocior.pl