Wytyczne EROD w sprawie obliczania kar administracyjnych na mocy RODO
Zgodnie z raportem przygotowanym przez kancelarię DLA Piper, kwota kar nałożonych w 2021 r. przez urzędy nadzorujące ochronę danych osobowych na terenie Unii Europejskiej przekroczyła miliard dolarów i była aż siedmiokrotnie wyższa niż rok wcześniej (https://www.dlapiper.com/pl/poland/insights/publications/2022/1/dla-piper-gdpr-fines-and-data-breach-survey-2022/). Tym większego znaczenia nabiera wykładnia przepisów RODO dotyczących naliczania kar pieniężnych jako sankcji administracyjnych (art. 83 RODO).
W związku z powyższym należy odnotować, że w dniu 12.5 br. Europejska Rada Ochrony Danych (EROD) przyjęła projekt Wytycznych w sprawie obliczania kar administracyjnych na mocy RODO. Wytyczne zawierają 5-etapową metodologię obliczania wysokości administracyjnej kary pieniężnej. Po pierwsze, organy ochrony danych muszą ustalić, czy dana sprawa dotyczy jednego lub większej liczby przypadków zachowania podlegającego sankcjonowaniu i czy doprowadziły one do jednego lub wielu naruszeń. Celem jest wyjaśnienie, czy wszystkie naruszenia lub tylko niektóre z nich mogą zostać ukarane karą pieniężną. Po drugie, organy ochrony danych muszą opierać się na punkcie wyjścia do obliczenia kary pieniężnej, dla którego EROD zapewnia zharmonizowaną metodę. Po trzecie, organy ochrony danych muszą wziąć pod uwagę czynniki obciążające lub łagodzące, które mogą zwiększyć lub zmniejszyć kwotę kary pieniężnej, w odniesieniu do których EROD zapewnia spójną interpretację. Czwartym krokiem jest określenie maksymalnych pułapów kar pieniężnych określonych w art. 83 ust. 4–6 RODO oraz zapewnienie, że kwoty te nie zostaną przekroczone. W piątym i ostatnim etapie organy ochrony danych muszą przeanalizować, czy obliczona kwota końcowa spełnia wymogi dotyczące skuteczności, odstraszającego charakteru i proporcjonalności, czy też konieczne są dalsze korekty kwoty.
Projekt Wytycznych jest obecnie przedmiotem publicznych konsultacji.
Wspólna opinia EROD i EIOD dotycząca rozporządzenia w sprawie zarządzania danymi (Data Governance Act)
W dniu 30.5.2022 r. przyjęte zostało rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2022/868 w sprawie europejskiego zarządzania danymi (Akt w sprawie zarządzania danymi). Rozporządzenie obowiązywać będzie od 24.9.2023 r. Z uwagi na charakter tego aktu prawnego (rozporządzenie), będzie ono obowiązywać bezpośrednio we wszystkich państwach Unii Europejskiej, bez potrzeby odrębnej implementacji do krajowych porządków prawnych.
Istotą Aktu o zarządzaniu danymi jest ustanowienie ram prawnych, procesów i struktur wspierających wymianę danych ( „dzielenie się danymi”).
Dotyczy to:
1) poszerzenia możliwości ponownego wykorzystywania informacji sektora publicznego przez podmioty prywatne;
2) określenia zasad świadczenia usług pośrednictwa danych pomiędzy podmiotami prywatnymi;
3) określenia reguł dobrowolnego udostępniania danych przez osoby fizyczne lub przedsiębiorstwa dla wspólnego dobra (interesu ogólnego) – tzw. altruistyczne podejście do danych.
Z uwagi na fakt, że Akt o zarządzaniu danymi stosuje się również w sytuacji, gdy przetwarzane są dane osobowe, Europejska Rada Ochrony Danych oraz Europejski Rzecznik Danych Osobowych wydali wspólną opinię EROD i EIOD dotyczącą stosowania Aktu w sprawie zarządzania danymi oraz wymogów RODO.
https://uodo.gov.pl/pl/138/1962
Pierwszy mechanizm certyfikacji zgodności przetwarzania danych osobowych z RODO zatwierdzony w państwie Unii Europejskiej
Zgodnie z art. 42 RODO, jednym z ustanowionych w rozporządzeniu mechanizmów wykazania zgodności z wymogami RODO jest certyfikacja przetwarzania danych osobowych, dokonana przez administratora lub podmiot przetwarzający. Kryteria certyfikacji określa organ nadzorczy lub Europejska Rada Ochrony Danych. Samej certyfikacji dokonuje właściwy organ nadzorczy lub podmiot certyfikujący, który przeszedł odpowiednią procedurę akredytacji. Certyfikacji administratora lub podmiotu przetwarzającego udziela się na maksymalny okres 3 lat. Certyfikację można przedłużyć na tych samych warunkach, o ile nadal spełnione są stosowne wymogi. Organy certyfikujące lub właściwy organ nadzorczy cofają certyfikację, jeżeli jej wymogi nie są spełnione lub przestały być spełniane.
Pierwszy, od czasu obowiązywania RODO, mechanizm certyfikacji w Unii Europejskiej został przyjęty w dniu 13.5.2022 r. przez luksemburski organ nadzorczy z zakresu ochrony danych (CNPD). Określony on został jako „GDPR-CARPA”. Certyfikacji mogą dokonywać podmioty akredytowane przez CNPD. Dzięki niej podmioty mające siedzibę w Luksemburgu mają obecnie możliwość wykazania, że ich działania związane z przetwarzaniem danych są zgodne z RODO.
Na marginesie należy zaznaczyć, że zgodnie z art. 15 ustawy z 10.5.2018 r. o ochronie danych osobowych (t. jedn.: Dz.U. z 2019 r. poz. 1781 ze zm.), w polskim systemie prawnym certyfikacji, o której mowa w art. 42 RODO, dokonuje Prezes Urzędu Ochrony Danych Osobowych lub podmiot certyfikujący akredytowany przez Polskie Centrum Akredytacji (art. 12 ustawy). Certyfikacji dokonuje się na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek (art. 15). Do chwili obecnej nie zostały jednak określone przez UODO warunki certyfikacji, nie jest więc możliwe uzyskanie certyfikatu zgodności z wymogami RODO.
https://cnpd.public.lu/fr/actualites/national/2022/06/adpoption-gdpr-carpa.html
Rozpoczęcie weryfikacji przez UODO przestrzegania przepisów dotyczących IOD-ów
Obowiązek wyznaczania, status oraz zadania inspektora ochrony danych (IOD) zostały określone w art. 37–39 RODO.
W drugim kwartale 2022 r. UODO ogłosił rozpoczęcie weryfikacji przestrzegania przepisów dotyczących inspektora ochrony danych (IOD). W tym celu organ kieruje do administratorów i podmiotów przetwarzających, zarówno z sektora publicznego, jak i prywatnego, szereg pytań dotyczących m.in. takich zagadnień, jak:
1) model funkcjonowania IOD-y w organizacji (pracownik/nie-pracownik, wyłączność, usytuowanie w strukturze organizacyjnej administratora);
2) regulacje wewnętrzne dotyczące funkcjonowania IOD-y;
3) kwalifikacje, na podstawie których administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza);
4) sposób, w jaki IOD-a realizuje zadania określone w RODO oraz
5) sposób, w jaki administrator umożliwia IOD-dzie realizację jego zadań.
https://uodo.gov.pl/pl/138/2336
[oprac. X. Konarski]
