Najnowsze rozporządzenie przewiduje bardzo surowe kary za naruszenia przepisów związanych z ochroną danych osobowych. Firmy i instytucje, które nie troszczyły się dotychczas o te kwestie ze względu na małe ryzyko poniesienia dotkliwych konsekwencji, z pewnością zmuszone zostaną do zweryfikowania podejścia do przetwarzania danych osobowych.
W zakresie nakładania administracyjnych kar pieniężnych Rozporządzenie przewiduje grzywnę maksymalnie do 20 mln EUR, a w przypadku przedsiębiorstwa do 4% całkowitego światowego obrotu z poprzedniego roku za naruszenie istotnych przepisów ochrony danych osobowych przewidzianych w Rozporządzeniu, a dwukrotnie mniejsze kary (10 mln EUR lub do 2% światowego obrotu) w sprawach mniejszej wagi.
Z czego wynikać ma wysokość kary?
Każdy przypadek GIODO będzie musiał rozpatrzyć indywidualnie biorąc pod uwagę: m.in.:
- skalę naruszenia;
- umyślność działania;
- działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
- „recydywę” (czy to kolejna „wpadka”);
- kategorie danych osobowych ;
- stopień współpracy z GIODO.
Trzeba pamiętać, że „osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów Rozporządzenia ma prawo do uzyskania od administratora lub procesora odszkodowania za poniesioną szkodę” (art. 82).
Czy nadal opłacalne będzie nierespektowanie przepisów ochrony danych osobowych?
Przedsiębiorcy, którzy wcześniej mieli większy apetyt na ryzyko zostaną zmuszeni do ponownej kalkulacji ryzyka. W praktyce oznacza to, że wysokie kary zmuszą organizacje do przykładania większej wagi do respektowania przepisów ochrony danych osobowych – a co za tym idzie, do zainwestowania w bezpieczeństwo i ochronę informacji. Organizacje będą musiały zastanowić się nad przeznaczeniem większych kwot w swoich budżetach na ochronę i bezpieczeństwo informacji.