Rodo – czyli 20 milionów euro kary za złe pouczenie dotyczące danych osobowych.
Dnia 25 maja 2018 r. wejdzie w życie rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Akt ten będzie stosowany bezpośrednio, bez konieczności jej implementowania przez polską ustawę. Wprowadzono w ten sposób wiele zmian dotyczących ochrony danych osobowych, m.in. rozszerzając obowiązki informacyjne, zaostrzając wymagania dotyczące wewnętrznych aktów prawnych danego podmiotu, zwiększając liczbę i rodzaj dokumentacji, jaką obowiązany jest posiadać przedsiębiorca oraz wprowadzając nowe organy i środki zaskarżenia (zmiany opisano szerzej w artykule „RODO – czyli więcej obowiązków w zakresie ochrony danych osobowych”).
Normy, które uległy najdalej idącym zmianom dotyczą uprawnień organów i sankcji za nieprzestrzeganie ustanawianych przepisów. Od maja 2018 r. organ nadzorczy (będzie nim najprawdopodobniej Generalny Inspektor Ochrony Danych Osobowych, zwany dalej „GIODO”) będzie mógł żądać dostarczenia wszelkich informacji niezbędnych do realizacji swoich zadań, prowadzić postępowania w formie audytów ochrony danych, uzyskać samodzielny dostęp do danych osobowych, oraz żądać udostępnienia wszystkich pomieszczeń administratora danych (przedsiębiorcy), do komputerów, serwerów i dysków.
W przypadku stwierdzenia naruszenia organ będzie mógł ograniczyć się do wydania ostrzeżenia, upomnienia, nakazania spełnienia określonego żądania osoby, której dane osobowe są przekazane, nakazania dostosowania operacji przetwarzania danych do przepisów RODO, czy sprostowania lub usunięcia danych. Konsekwencją o średnim natężeniu jest nałożenie zawieszenia przepływu danych lub czasowego albo nawet całkowitego ograniczenia przetwarzania danych. Ta sankcja może doprowadzić już do czasowego bądź trwałego paraliżu działalności przedsiębiorstwa. Co jednak najgroźniejsze, wraz z wejściem w życie RODO, przedsiębiorcom grozi kara finansowa do 20.000.000,00 €, a jeżeli kwota ta jest mniejsza niż 4% przychodu przedsiębiorstwa – do 4% całkowitego światowego obrotu. Sankcja ta przewidziana jest za przeważającą część obowiązków, w tym m.in. za niewłaściwe poinformowanie osoby, która przekazuje przedsiębiorcy dane osobowe. Dla zastosowanie kary wystarczające jest zatem przykładowo nieokreślenie celu albo podstawy prawnej przetwarzania danych, okresu przez jaki dane będą przetwarzane, informacji o możliwości sprostowania, usunięcia lub ograniczenia danych osobowych albo o przysługiwaniu skargi do organu nadzorczego czy nawet za niewskazanie danych kontaktowych przedsiębiorcy. Natomiast za naruszenia zaliczone przez RODO do mniej istotnych, przewidziano karę w wysokości zaledwie… 10.000.000,00 € (a jeżeli kwota ta jest mniejsza niż 2% przychodu przedsiębiorstwa – do 2% całkowitego światowego obrotu). Co gorsza, ustawodawca europejski nie różnicuje kwotowo kary od wielkości przedsiębiorstwa, co oznacza, że nawet niewielki, zatrudniający kilka osób przedsiębiorca może zostać ukarany obowiązkiem zapłaty 20.000.000,00 €. Jedyną możliwością pozostaje zatem dostosowanie posiadanej dokumentacji dotyczącej danych osobowych do nowych przepisów i rzetelne przestrzeganie nałożonych obowiązków.