Jedną z najważniejszych konsekwencji rewolucji jaka nastąpiła w ochronie danych osobowych w maju 2018 roku jest znaczące zwiększenie wysokości kar pieniężnych, jakimi zagrożone jest naruszenie zasad przetwarzania danych osobowych. Oczywiście podstawowym celem RODO i przyjętej w Polsce – w związku z koniecznością jego implementacji – ustawy o ochronie danych osobowych, jest znaczące podniesienie standardów ich przetwarzania. W tym kontekście istotne są zwłaszcza nowego rodzaju uprawnienia przyznane każdemu, kogo dane dotyczą. Z tego względu – co z resztą wprost stwierdził sam prawodawca unijny – możliwość otrzymania wysokiej kary pieniężnej za naruszenie zasady przetwarzania danych ma za zadanie przede wszystkim motywować ich administratorów do wypełniania nałożonych na nich obowiązków. Biorąc zaś pod uwagę, że administrator może zostać zobowiązany do zapłaty kary w wysokości nawet 20 mln euro lub 4% wartości światowego obrotu przedsiębiorcy przetwarzającego dane, zagrożenie jest naprawdę bardzo poważne. Same zasady wymierzania kar za naruszenie RODO zostały ściśle określone w unijnym rozporządzeniu, do którego w dużej mierze odsyła obowiązująca w Polsce ustawa o ochronie danych.

 

Przepisy unijne uzależniają wysokość kary od takich czynników jak waga naruszenia, jego umyślny lub nieumyślny charakter, stopień odpowiedzialności administratora danych, wcześniejsze przypadki naruszania zasad ochrony danych osobowych, czy osiągnięcie w związku z ich przekroczeniem korzyści finansowych. W przypadku niedopełnienia takich obowiązków, jak prowadzenie rejestru czynności przetwarzania danych, wdrożenie środków technicznych gwarantujących bezpieczeństwo przetwarzania, czy poinformowanie organu nadzorczego o naruszeniu danych, kara może wynieść aż 10 mln euro lub 2% całkowitego światowego obrotu przedsiębiorstwa przetwarzającego dane. Wskazany powyżej maksymalny wymiar kary za złamanie RODO grozi administratorowi, który np. nie wypełni ciążących na nim obowiązków informacyjnych, uniemożliwi osobie, której dane dotyczą dostępu do nich, czy nie zrealizuje prawa osoby do „bycia zapomnianym”. Warto zaznaczyć, że w polskich realiach kary o dużo niższym wymiarze nakłada się na podmioty publiczne. Przykładowo jednostką sektora finansów publicznych, instytutom badawczym, czy Narodowemu Bankowi Polskiemu za naruszenia zasad przetwarzania danych grozi kara w wymiarze do 100 000 złotych.