Czy naruszenie przepisów odnoszących się do inspektora ochrony danych może skutkować administracyjnymi karami pieniężnymi nakładanymi na administratora danych lub podmiot przetwarzający?
Stosownie do art. 83 ust. 4 lit. a RODO, naruszenia przepisów bezpośrednio odnoszących się do IOD (art. 37–39 RODO) podlegają administracyjnej karze pieniężnej do 10 mln euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Karami administracyjnymi obwarowane są zatem zarówno poszczególne obowiązki administratorów danych i podmiotów przetwarzających dotyczące wyznaczania IOD i zapewnienia mu określonych warunków wykonywania funkcji, jak i wykonywanie zadań przez IOD. Jednocześnie, należy mieć na uwadze, iż organ nadzorczy nakłada kary pieniężne zgodnie z art. 83 ust. 1 RODO, tak aby były one skuteczne, proporcjonalne i odstraszające. Organ decydując czy nałożyć karę pieniężną oraz w jakiej powinna być ona wysokości bierze pod uwagę - w każdym indywidualnym przypadku - następujące kryteria:
- charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
- umyślny lub nieumyślny charakter naruszenia;
- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
- stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 RODO;
- wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
- kategorie danych osobowych, których dotyczyło naruszenie;
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
- jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 RODO - przestrzeganie tych środków;
- stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO; oraz
- wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
Grupa Robocza art. 29 w swoich wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (WP 253), podkreśliła indywidualny charakter kary i branie pod uwagę przez organ nadzorczy w każdym przypadku z osobna kryteriów z art. 83 ust. 2 lit. a-k RODO: „(…) w świetle motywu 148 RODO organ nadzorczy jest odpowiedzialny za wybór najodpowiedniejszego środka (najodpowiedniejszych środków).”
