Jakie kryteria zadecydują o obniżeniu kary finansowej

Jednym z uprawnień nowego organu nadzorczego wynikającym z ogólnego rozporządzenia o ochronie danych będzie możliwość nakładania kar finansowych. Grupa Robocza Art. 29 przedstawiła wskazówki, które będą brane pod uwagę przy ustalaniu wysokości kar i ich nakładaniu. Dowiedz się, jakie czynniki pomogą obniżyć karę finansową.
Grupa Robocza Art. 29 na początku października 2017 roku przyjęła wytyczne w sprawie stosowania i ustalania wysokości administracyjnych kar finansowych. Wskazuje w nich m.in., jakie czynniki będą bezpośrednio wpływały na to, jaka wysokość kary administracyjnej będzie mogła zostać nałożona, wśród nich wymienia m.in.:

Liczbę osób, których dotyczy naruszenie

Przy miarkowaniu kary administracyjnej należy brać pod uwagę liczbę osób, których dotyczy naruszenie, bez względu na to, czy jest to naruszenie pojedyncze czy też jest to wystąpienie kilku różnych naruszeń.

Cel przetwarzania danych

Organ nadzorczy powinien badać cel przetwarzania danych osobowych w kontekście art. 83 ust. 2 RODO. Chodzi o to, aby organ nadzoru sprawdzał, w jakim stopniu w danym przypadku przetwarzanie danych osobowych jest uzasadnione i celowe.

Rozmiar szkody

Jeżeli w wyniku przetwarzania danych osobowych dochodzi do naruszenia praw lub wolności osób, co zgodnie z motywem 75 RODO prowadzi do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, organ nadzorczy powinien brać pod uwagę rozmiar tej szkody przy wyborze środka naprawczego.

Czas trwania naruszenia

 
Czas trwania naruszenia może być różnie rozpatrywany w zależności od celowego działania administratora lub od braku podjęcia środków zaradczych albo od braku wprowadzenia adekwatnych środków technicznych i organizacyjnych.

Umyślny lub nieumyślny charakter

Grupa Robocza Art. 29 wskazuje, że nieumyślność będzie cechowała naruszenie, do którego doszło bez intencji administratora lub podmiotu przetwarzającego dane. Naruszenie umyślne z kolei cechuje administratora lub podmiot przetwarzający wiedzą i świadomością faktu wystąpienia takiego naruszenia. Można przyjąć, że mniej prawdopodobne będzie nałożenie kary administracyjnej przy wystąpieniu naruszenia o charakterze nieumyślnym.

Działania podjęte w celu zminimalizowania szkody

Działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, są bardzo ważnym aspektem przy miarkowaniu wysokości kary administracyjnej nakładanej przez organ nadzorczy. Chodzi tu o środki organizacyjne i techniczne, które administrator lub podmiot przetwarzający wprowadził po to, aby zmniejszyć skutki powstałego naruszenia.

Wdrożenie środków organizacyjnych i technicznych

Stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 RODO powinien odnosić się przede wszystkim do tego, czy:
  • zostały wdrożone środki techniczne przez administratora lub podmiot przetwarzający,
  • środki te są faktycznie stosowane (przestrzegane),
  • zrealizowane są postulaty ochrony danych w fazie projektowania oraz domyślnej ochrony danych na wszystkich szczeblach organizacyjnych,
  • stosuje się odpowiednie dla danej organizacji procedury, polityki, dobre praktyki czy też kodeksy postępowania.

Wcześniejsze naruszenia

Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego – na podstawie tego kryterium organ nadzoru powinien ocenić, czy administrator lub podmiot przetwarzający popełnili naruszenie dotychczas, jak i czy kolejne naruszenie jest tej samej kategorii.

Współpraca z organem nadzorczym

Zarówno współpraca z organem nadzorczym, jak i jej stopień mają daleko idące znaczenie w kwestii nałożenia kary administracyjnej oraz jej wysokości. W zakres tej współpracy wchodzi przykładowo umożliwienie czy „ułatwienie” organowi nadzorczemu przeprowadzenia właściwej kontroli, związanej z naruszeniem.

Kategorie danych, których naruszenie dotyczy

Grupa Robocza Art. 29 wskazuje, że w tym przypadku należy zwrócić uwagę na to, czy naruszenie dotyczyło przetwarzania szczególnej kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Czy dane przetwarzane prowadziły do pośredniego, czy bezpośredniego zidentyfikowania osoby fizycznej albo czy dane były szyfrowane.



dr Paweł Biały

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji »
W jaki sposób zawiadomić o wyznaczeniu IOD

W jaki sposób zawiadomić o wyznaczeniu IOD »
Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie?

Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie? »
Array ( [docId] => 49999 )

Array ( [docId] => 49999 )
Array ( [docId] => 49999 )