Katalog kar za nieprawidłowe stosowanie RODO

Katalog kar za nieprawidłowe stosowanie RODO

Co jakiś czas media obiega informacja dotycząca tego, że Prezes Urzędu Ochrony Danych Osobowych nałożył kolejną karę administracyjną na administratora, który niewłaściwie stosuje przepisy RODO.

Jakiś czas temu słyszeliśmy o rekordowej karze 2,8 mln zł nałożonej na internetowy sklep Morele.net. Miało to związek z atakiem hakerskim i wyciekiem danych klientów z zeszłego roku. Administrator został ukarany za to, że nie był w stanie zapobiec atakowi.

Jednak nie tylko sektor prywatny narażony jest na sankcje za brak lub wadliwe wdrożenie przepisów RODO. Jednostki publiczne w tym samorządu terytorialnego też muszą się liczyć z karą. Jednym z przykładów jest nałożenie kary w wysokości 40 tys. na burmistrza miasta, który nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane, a także naruszył zasadę rozliczalności również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Kiedy dochodzi do naruszenia przepisów o ochronie danych osobowych, Prezes UODO reaguje odpowiednio do wagi konkretnego naruszenia, korzystając z licznych uprawnień, jakie mu przysługują na podstawie RODO.

Uprawnienia naprawcze Prezesa UODO są określone w art. 58 ust. 2 RODO. Na ich podstawie Prezes UODO może np.:

  • wydawać ostrzeżenia dotyczące możliwości naruszenia RODO,
  • udzielać upomnień w przypadku naruszenia RODO,
  • nakazać administratorowi lub podmiotowi przetwarzającemu spełnienie żądania osoby, której dane dotyczą,
  • wprowadzić czasowe lub całkowite ograniczenia przetwarzania, w tym zakazu przetwarzania
  • nałożyć, oprócz lub zamiast pozostałych środków naprawczych, administracyjną karę pieniężną.

Nałożenie administracyjnej kary pieniężnej lub wydanie ostrzeżenia nie wpływa na możliwość zastosowania przez Prezesa UODO innych uprawnień, czy też sankcji.

Kara jest zawsze zindywidualizowana 

Prezes UODO może nałożyć administracyjną karę pieniężną w zależności od oceny okoliczności konkretnej sprawy.

Istotne będą więc m.in. :

  • charakter, waga i czas trwania naruszenia;
  • umyślny lub nieumyślny charakter naruszenia;
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;
  • wszelkie stosowne wcześniejsze naruszenia, zatem czy to było pierwsze naruszenie czy kolejne;
  • stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  • kategorie danych osobowych, których dotyczyło naruszenie;
  • sposób, w jaki Prezes UODO dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (np. czy sam zgłosił „wyciek danych”).

Możliwe wysokości kar finansowych:

  • do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) za np.: nieprawidłowości w zakresie powierzenia przetwarzania danych; niewłaściwe prowadzenie rejestru czynności przetwarzania lub jego brak; czy niezgłoszenie naruszenia ochrony danych lub niezawiadomienie o naruszeniu osoby, której dane dotyczą;
  • do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, np. za przetwarzanie danych osobowych niezgodnych z zasadami RODO, niedotrzymanie warunku wyrażenia zgody na przetwarzanie danych, niedotrzymanie warunków przetwarzania szczególnych kategorii danych osobowych (tj. np. danych o stanie zdrowia, wyznaniu, orientacji seksualnej), niedopełnienie obowiązku informacyjnego, czy prawa do sprostowania;
  • do 100 000 złotych na jednostki sektora finansów publicznych, instytuty badawcze, czy Narodowy Bank Polski;
  • do 10 000 złotych na państwowe i samorządowe instytucje kultury
Łukasz Rykowski

Autor artykułu:

Radca prawny. Interesuje się w szeroko pojętej tematyce obronności i bezpieczeństwa w szczególności w obszarze obrony cywilnej oraz ochrony danych osobowych (RODO). Doświadczenie zawodowe zdobywał już od pierwszych lat studiów, odbywając praktyki zarówno w kancelariach jak i w urzędach publicznych (m.in. Zachodniopomorski Urząd Wojewódzki, Instytut Pamięci Narodowej). Zaś po zakończeniu studiów m.in. jako Inspektor do spraw obronnych w Prokuraturze Okręgowej w Szczecinie, a także pełniąc funkcję Administratora Bezpieczeństwa Informacji, w administracji publicznej, a po wejściu w życie RODO Inspektora Ochrony Danych.