Zawsze jak wchodzi jakaś nowa regulacja, to pojawiają się też chętne podmioty do naciągania na tym, że nie została wprowadzona. Wtedy najchętniej straszą sankcjami z niej pochodzącymi, dziś nieco o nich.
Tak było przy poprzednich zmianach w danych osobowych, tak było przy dużej nowelizacji kwestii sprzedaży przez internet – tak na pewno będzie i teraz. Tylko bliżej powiedzmy stycznia przyszłego roku.
Na czym to polega?
W Twojej skrzynce mailowej pojawią się mądrze wyglądające i naszpikowane przepisami wiadomości – których treść sprowadza się do „nie doniesiemy na ciebie jak zapłacisz”. Albo „przeszkol się i zapłać X złotych, bo kara za niewiedzę to XXXXXXXX złotych”. O tych karach pomówimy tutaj. Mam nadzieję trochę Cię uspokoić, bo oni zawsze wyciągają z kontekstu „najstraszniejsze”.
Ale najpierw – obowiązki
Jeśli nie czytałeś poprzednich części – są tutaj i tutaj.
Trzeba będzie samemu zawiadamiać o naruszeniu – to co było dotąd faktycznie było trochę dziwne, że się z mediów GIODO dowiadywał o jakichś wyciekach danych z firm, a powiedzmy banki zaprzeczały. Ma się maks 72 godziny albo trzeba się będzie dodatkowo tłumaczyć, co tak długo.
Ale co wtedy może GIODO? Przede wszystkim, w pierwszej kolejności nie chodzi przecież o karanie, tylko techniczne zatrzymanie afery. Czyli może „wydawać ostrzeżenia”, „nakazywać czynności”, wprowadzać ograniczenia przetwarzania czy cofnąć certyfikację. Jak widać do więzienia się raczej nie idzie, ewentualnie kara pieniężna.
Wysokość kar
I tutaj też pewnie nasłuchasz się o do 20 000 000 euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego… spokojnie. Rozróżnijmy kilka rzeczy. Po pierwsze ewentualna kara pieniężna nie musi być konieczna, tzn mogą starczyć wymienione wcześniej nakazania czynności czy wydawanie ostrzeżeń.
Poza tym – wysokości kar będą uzależnione od rodzaju naruszeń i od ukaranego podmiotu, np. czy jest przedsiębiorcą czy nie. Nie ma żadnego taryfikatora, ale trudno spodziewać się takiej samej kary powiedzmy za wyciek danych klientów jednooosobowej firmy hydraulicznej i międzynarodowej sieci komórkowej. A to do tego drugiego wypadku kary są swoją wysokością dostosowane, ponieważ przy naruszeniu kilku przepisów RODO nie można sumować kar i musi „zapaść” ta najwyższa.
Lepiej na pewno potraktowani zostaną też ci, którzy wcześniej współpracowali i wdrożyli co trzeba, zrobili wpadkę nieumyślnie, nie mieli wcześniej naruszeń, teraz naruszyli dane niedużej grupy osób, sami się przyznali… No musisz przyznać, sporo „ulg”. Stąd też zresztą polecam wcześniejsze dogranie się do RODO – będzie dodatkowym argumentem obronnym w razie co.
I wcale tak niełatwo karę zarobić. Dostaje się je za naruszenie zasad przetwarzania czy wynikających z certyfikatów, przede wszystkim wynikające z art 25-29 rozporządzenia –zainteresowanych odsyłam do oryginalnego tekstu. Same sankcje są w art 83. Są też naruszenia praw osób „przetwarzanych”, ale to najpierw w kolejnej części omówmy, jakie właściwie prawa te osoby mają.
Będzie się działo! 🙂
RODO jak rodeo część 1 – jakie obowiązki znikają
RODO jak rodeo część 2 – jakie obowiązki są nowe
