Opinię taką ekspertka wygłosiła podczas Konwentu Ochrony Danych i Informacji 2017, który odbył się 17 listopada 2017 r. w Łódzkiej Specjalnej Strefie Ekonomicznej.
Jednym z partnerów konferencji było wydawnictwo Wolters Kluwer Polska.

Jedną z najczęściej poruszanych kwestii, a na pewno budzącą największe emocje w kontekście nowych przepisów o ochronie danych osobowych, które zaczną obowiązywać na mocy RODO już od 25 maja 2018 r. jest kwestia kar i sankcji przewidzianych rozporządzeniem.
Choć na rzeczywisty sposób naliczania i egzekwowania kar musimy zaczekać do wejścia w życie przepisów, już dziś na podstawie treści RODO możliwe jest określenie jak ten proces może wyglądać. Możliwe jest również przygotowanie się do obrony przed sankcjami.
W ręce organu nadzoru oddane zostaną dwie grupy narzędzi dyscyplinujących z których następca GIODO będzie mógł korzystać. Pierwsza z nich to uprawnienia naprawcze (art. 58 RODO), druga grupa to administracyjne kary pieniężne (art. 83 RODO). Oba narzędzia mogą być stosowane łącznie.

Czytaj: RODO zmieni wiele ustaw dot. administracji publicznej>>

Uprawnienia naprawcze
Mogłoby się wydawać, że uprawnienia naprawcze to narzędzia, których dotkliwość zastosowania jest dla administratora mniej uciążliwa, niż kara pieniężna. Mogą one jednak być dużo bardziej dotkliwe, niż kary finansowe. To, czego najbardziej powinniśmy się obawiać, to czasowe lub całkowite pozbawienie administratora prawa do przetwarzania danych osobowych. Co więcej, uprawnienia naprawcze będą przybierały rygor decyzji natychmiastowej wykonalności. W przeciwieństwie do kary pieniężnej, nawet złożenie skargi do sądu administracyjnego nie wstrzymuje wykonania tej decyzji.
- Tak jest przynajmniej dziś, na etapie projektu nowej ustawy o ochronie danych osobowych. Wiele wskazuje na to, że dalej tak będzie – mówiła dr Joanna Łuczak – ekspert z zakresu danych osobowych z Uniwersytetu Łódzkiego.
Najmniej dotkliwą formą kary, przewidzianą nowymi przepisami, jest upomnienie. Ze względu na przesłanki decydujące o zastosowaniu tej sankcji, wydawać się może, że skala upomnień będzie niewielka. Te przesłanki to zaprzestanie naruszenia i znikoma waga naruszenia. - Nawet nie niska, ona ma być znikoma czyli prawie niezauważalna – tłumaczyła dr Łuczak. 

Czytaj: RODO w 10 krokach - poradnik dla przedsiębiorców>>

Administracyjne kary finansowe
Drugą kategorią środków karnych są kary pieniężne, których wysokość może przyprawiać o zawrót głowy. Te podlegają dwustopniowej gradacji. Pierwsza to kara za naruszenie obowiązków administratora i podmiotu przetwarzającego wynikających z RODO. W tym przypadku wysokość kary nie ma dolnego limitu, a sięgać może 10 milionów euro lub 2 % wartości całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wyższą karą, bo do 20 milionów euro lub 4 % wartości przychodu, karane będą m.in. rażące naruszenia.Można się bronić
Według dr Joanny Łuczak, administratorzy danych powinni być świadomi swoich praw już dziś i nie powinni się bać z nich skorzystać. Z nowych przepisów wynika bowiem szereg uprawnień, które mogą nieco poprawić sytuację administratora w przypadku wykrycia nieprawidłowości. Wśród nich wymienia się:
- możliwość zastrzeżenia tajemnicą przedsiębiorstwa udostępnionych organowi nadzorczemu dokumentów – tak, aby ograniczyć uprawnienia poszkodowanej strony, która zgodnie z przepisami ma praktycznie nieskrępowany dostęp do materiału dowodowego. Na wniosek administratora o pozostawienie określonych informacji stanowiących tajemnicę przedsiębiorstwa tajnymi, wgląd w kompletny materiał zgromadzony podczas kontroli będzie miał tylko prezes nowego urzędu
- prawo do wyłączenia z postępowania osoby kontrolującej w przypadku pojawienia się wątpliwości co do bezstronności postępowania - znów na wniosek administratora. Po złożeniu takiego wniosku kontroler, o którego wyłączenie wnioskujemy, może dokonać wyłącznie czynności nie cierpiących zwłoki
- 7- dniowy okres na podpisanie protokołu pokontrolnego lub wniesienie do niego zastrzeżeń - zawsze warto decyzje na ten temat podejmować po dokładnej analizie lub konsultacjach, w tym czasie możemy również wprowadzić czynności zaradcze
- skarga do sądu administracyjnego na nałożoną karą pieniężną - blokujemy w ten sposób konieczność opłacenia kary do momentu uprawomocnienia wyroku
- RODO bardzo wyraźnie mówi o tym, że kary mają być: odstraszające, proporcjonalne i adekwatne – ich wysokość ma działać prewencyjnie na administratorów. Warto tu skupić się na proporcjonalności kary, a subiektywną opinię proporcjonalności oddać w ręce sądu administracyjnego.
W dwóch ostatnich przypadkach, już po uprawomocnieniu wyroku sądu administracyjnego, mamy nadal dwa narzędzia, po które możemy spróbować sięgnąć. Odroczenie płatności  i umożliwienie rozłożenia jej na raty. Co prawda musimy liczyć się z koniecznością opłacenia odsetek (w roku 2017 wynoszą one 4%), warto jednak zastanowić się, czy takie rozwiązanie nie będzie korzystniejsze.

Czytaj: Dr Lubasz: RODO to nowa filozofia ochrony danych osobowych>>

Okoliczności łagodzące
W art. 83 RODO prawodawca wskazał również przesłanki, na podstawie których organ ma miarkować wysokość kar pieniężnych. Doktor Łuczak dzieli je na 3 kategorie. Przesłanki, które dotyczą działań administratora przed wystąpieniem naruszenia, po jego wystąpieniu i takie, na które administrator nie do końca może mieć wpływ, szczególnie jeśli naruszenie miało charakter nieumyślny.
Przed:
- środki techniczne i organizacyjne wdrożone przez administratora
- ewentualne wcześniejsze naruszenia reguł ochrony danych
- stosowanie zatwierdzonych kodeksów postępowania
- korzystanie z mechanizmu certyfikacji
- czy administrator dostosował się do zaleceń organu, jeśli do naruszenia doszło w przeszłości
Po:
- czy administrator dążył do minimalizacji szkód związanych z naruszeniem
- czy dokonano powiadomienia urzędu w ciągu ustawowych 72 godzin oraz czy powiadomiono osobę, której dane dotyczą
- jak w toku kontroli wyglądała współpraca z organem nadzorczym
- czy osiągnięto korzyści w związku z naruszeniem danych
Bez wpływu:
- nieumyślny charakter zdarzenia
 
Sebastian Konderak