W związku z wejściem w życie przepisów Rozporządzenia, GIODO będzie posiadał uprawnienie do nakładania administracyjnych kar pieniężnych, w wysokości zależnej od danego naruszenia. Kary mają być w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku. Ustalając ich wysokość, bierze się pod uwagę m.in.:
1. charakter, wagę i czas trwania naruszenia;
2. umyślny lub nieumyślny charakter naruszenia;
3. działania podjęte przez administratora lub podmiot przetwarzający;
4. stopień odpowiedzialności administratora lub podmiotu przetwarzającego;
5. wcześniejsze naruszenia; oraz
6. kategorie danych osobowych, dotyczyło naruszenie.
Jeżeli administrator lub podmiot przetwarzający dane osobowe narusza w ramach tych samych lub powiązanych czynności kilka przepisów Rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze naruszenie.
Wysokość kary administracyjnej zależy od tego, jakie naruszenie zostało popełnione.
Rozporządzenie dzieli naruszenia na dwie kategorie. Pierwsza dotyczy podstawowych zasad przetwarzania danych. Naruszenia tych przepisów zagrożone są administracyjną karą pieniężną w wysokości do 20 000 000 euro a w przypadku przedsiębiorstwa w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Drugą kategorią są naruszenia obowiązków administratora i podmiotu przetwarzającego dane osobowe, które zostały wymienione w katalogu zamkniętym w art. 83 ust. 4 Rozporządzenia. Naruszenia te zagrożone są administracyjną karą pieniężną w wysokości do 10 000 000 euro a w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wysokości kar zostały obniżone dla podmiotów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 roku o finansach publicznych – do wysokości 100 000 złotych.
Równowartość powyżej wskazanych kwot, które zostały wyrażone w euro, będzie obliczana w polskich złotych według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku.
Warto również wspomnieć, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia Rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego dane osobowe odszkodowanie za poniesioną szkodę. Odszkodowania tego może domagać się na drodze sądowej.
Biorąc pod uwagę wysokość grożących kar, podmioty przetwarzające dane osobowe powinny już teraz zainteresować się wdrożeniem nowych rozwiązań gwarantujących przestrzeganie przepisów Rozporządzenia.