Rzeczpospolita: Nałożenie pierwszej kary za naruszenie przepisów o ochronie danych osobowych wywołało ogromną sensację. Tym bardziej, że kara wyniosła 1 mln zł. Krążą plotki, że w powietrzu wiszą kolejne wysokie kary. Kiedy należy się ich spodziewać?
Edyta Bielak-Jomaa: Nie mogę wykluczyć, że kolejne kary zostaną w najbliższym czasie nałożone. Trudno jednak teraz przewidzieć kiedy zostaną nałożone i w jakiej wysokości. Chcę zwrócić jednak uwagę na to, że w odróżnieniu od innych unijnych urzędów ochrony danych osobowych nie kontrolujemy masowo np. małych firm i nie nakładamy licznych kar. W pierwszym roku funkcjonowania RODO skupiliśmy się raczej na edukacji i sprawach, w których naruszenia mają poważny charakter.
Czy to oznacza, że pod lupą urzędu znajdują się obecnie wyłącznie duże firmy?
Nie chodzi w tym o wielkość kontrolowanych podmiotów, a raczej o charakter naruszeń. Niewykluczone wtedy, że kara za poważne naruszenie przepisów zostanie nałożona na mały lub średni podmiot.
W jaki sposób urząd wylicza kary.
W tym zakresie mają zastosowanie jednolite dla wszystkich organów ochrony danych osobowych w UE zasady obliczania kar. Bierzemy przy tym pod uwagę np. stopień winy po stronie administratora danych osobowych, czy liczbę osób, których naruszenie przepisów o ochronie danych osobowych dotyczy.
Milion złotych pierwszej kary nałożonej przez urząd za naruszenie przepisów o ochronie danych osobowych to bardzo dużo pieniędzy. Czy kondycja finansowa spółki ma znaczenie dla wymiaru kary?
Sposób obliczania kary jest oparty na obiektywnych kryteriach związanych z charakterem naruszenia przepisów RODO. Przy czym co do zasady kondycja finansowa podmiotu, który dopuścił się takiego naruszenia nie wpływa na stwierdzenie zasadności nałożenia kary, jak i na jej wysokość. Bierzemy jednak pod uwagę roczne obroty takiego podmiotu, ale tylko ze względu na limit kary, która nie może w zależności od stwierdzonego naruszenia przekraczać 2 lub 4 proc. tej kwoty. W świetle motywu 150 preambuły RODO jedynie jeżeli kara jest nakładana na osobę niebędącą przedsiębiorstwem, ustalając jej wysokość bierze się pod uwagę ogólny poziom dochodów w danym państwie członkowskim oraz sytuację ekonomiczną tej osoby. Na marginesie dodam, że aby zapewnić w pełni obiektywne podejście w nakładaniu tych kar w urzędzie ochrony danych osobowych powstał specjalny komitet opiniujący ich zasadność i wysokość..
Iloma sprawami do tej pory zajmował się ten komitet?
Jak na razie tylko jedną.
Ile toczy się postępowań wyjaśniających w urzędzie?
Od 25 maja 2018 r., kiedy zaczęły obowiązywać nowe unijne regulacje w tym zakresie do urzędu wpłynęło ponad 5 tysięcy skarg i zawiadomień. Każde z nich wymaga wyjaśnienia, przeprowadzenia postepowania i zbadania czy doszło do naruszeń.
Czy wyklarował się już katalog naruszeń, za które przedsiębiorcy mogą zostać ukarani?
Obowiązki, których naruszenie może skutkować nałożeniem kary zostały określone w art. 83 RODO. W praktyce poza naruszeniami obowiązku informowania o przetwarzaniu danych osobowych, może to dotyczyć naruszenia zasady celowości, braku podstaw prawnych przetwarzania danych, czy naruszenia ich bezpieczeństwa.
- rozmawiał Mateusz Rzemek
