Czy kary za GDPR - można ubezpieczyć?
W porównaniu ze swoim prawnym poprzednikiem, GDPR zawiera bardziej rygorystyczne mechanizmy sankcji. Mają one na celu zapewnienie faktycznego przestrzegania przepisów GDPR. Artykuł 83 GDPR zawiera jedną możliwą sankcję: Grzywnę. Ale kiedy pojawia się ta straszna grzywna i czy można się przed nią ubezpieczyć?
Art. 83 GDPR
Grzywna na podstawie art. 83 GDPR może zostać nałożona na administratorów i podmioty przetwarzające. Zgodnie z art. 83 V GDPR górna granica wynosi 20 mln euro lub 4 % światowego rocznego obrotu danego przedsiębiorstwa lub grupy (w zależności od tego, która kwota jest wyższa). W przypadku mniej poważnych naruszeń, takich jak czyste braki organizacyjne, górny limit jest obniżony do 10 mln euro lub 2 % światowego rocznego obrotu (art. 83 IV GDPR). Roczny obrót ustala się na podstawie obrotu w poprzednim roku.
Ostateczna wysokość kary zależy od wielu kryteriów oceny, takich jak rodzaj, waga i czas trwania naruszenia, zamiar lub zaniedbanie, wcześniejsze naruszenia itp. Szczegółowo reguluje to art. 83 I i II GDPR.
Przypadki, w których nałożono grzywny, pokazują, że właściwe organy nadzorcze (art. 58 II lit. i GDPR) rzeczywiście wyczerpują te ramy, jeżeli grzywny są rzeczywiście nakładane. Z drugiej strony organ nadzorczy może również odstąpić od nałożenia grzywny i w razie potrzeby nałożyć inne środki.
Często można nawet zapobiegać karom z wyprzedzeniem i zmniejszać je w przypadku naruszenia poprzez spełnienie wymogów ochrony danych, np. poprzez wyznaczenie inspektora ochrony danych; zasadniczo im lepiej spełnia się wymogi ochrony danych, tym niższa jest ostatecznie kara.
Dopóki pracownik nie działa na własną odpowiedzialność i we własnym interesie, jego naruszenie jest przypisywane przedsiębiorstwu. Jeżeli przedsiębiorstwo dopuści się naruszenia ukaranego grzywną przez zleconego przez siebie lub podobnego usługodawcę, może ono dochodzić od niego odszkodowania.
Ubezpieczenia
Co do zasady można ubezpieczyć się od kar GDPR (o ile jest to możliwe w świetle obowiązującego prawa). Grzywny poniesione we własnej firmie są pokrywane przez większość polis ubezpieczeniowych od odpowiedzialności cywilnej. Jeśli grzywna zostanie poniesiona w innej firmie, w której własna firma wykonywała usługi, w których doszło do naruszenia GDPR, ta druga firma może dochodzić tego jako odszkodowania od firmy świadczącej usługi (prawo regresu). Takie zdarzenia są również pokrywane przez większość polis ubezpieczenia odpowiedzialności cywilnej od strat pieniężnych.
Kluczowe jest, aby przy zawieraniu ubezpieczenia zwrócić uwagę na maksymalną sumę ubezpieczenia. W tym celu należy najpierw rozważyć roczny obrót własnej firmy, aby sprawdzić, jaka będzie maksymalna kwota zgodnie z przepisami art. 83 GDPR. Nie należy zapominać, że możliwa jest również sytuacja, w której grzywnę, którą musi zapłacić własny zakład ubezpieczeń, ponosi firma, dla której świadczy on własne usługi. W takim przypadku wysokość grzywny jest uzależniona od obrotu "firmy klienta". Przy zawieraniu ubezpieczenia OC należy więc wziąć pod uwagę, jak wysokie będą obroty firm, dla których firma będzie pracować. Może się również okazać, że w trakcie kariery firmy konieczne będzie kilkukrotne dostosowanie ubezpieczenia OC.
W indywidualnych przypadkach należy zawsze zasięgnąć porady eksperta w celu dokonania oceny.