UODO przypomina o zasadach wymiaru kar za naruszenia ochrony danych

Środki, jakie może zastosować Prezes UODO, to nie tylko kary finansowe. Jak wskazano, organ nadzoru może także stosować rozwiązania naprawcze przewidziane w art. 58 ust. 2 RODO, w szczególności:

• wydawać ostrzeżenia dotyczące możliwości naruszenia RODO,
• udzielać upomnień w przypadku naruszenia RODO,
• nakazać administratorowi lub podmiotowi przetwarzającemu spełnienie żądania osoby, której dane dotyczą,
• wprowadzić czasowe lub całkowite ograniczenia przetwarzania, w tym zakazu przetwarzania.

Środki te mogą być stosowane zamiast albo obok kary pieniężnej.

Decydując w sprawie wymierzenia kary administracyjnej, Prezes UODO, analizuje stan faktyczny i prawny danej sprawy według stanu na dzień wydania decyzji. Przy wymiarze kary uwzględniane jest wiele kryteriów a w szczególności:

• charakter, waga i czas trwania naruszenia;
• umyślny lub nieumyślny charakter naruszenia;
• działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
• stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;
• wszelkie stosowne wcześniejsze naruszenia, zatem czy to było pierwsze naruszenie czy kolejne;
• stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
• kategorie danych osobowych, których dotyczyło naruszenie;
• sposób, w jaki Prezes UODO dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (np. czy sam zgłosił „wyciek danych”).

Niezależnie od powyższego, kary administracyjne podlegają limitom. Prezes UODO nakłada karę pieniężną za naruszenie w wysokości:

• do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) za np.: nieprawidłowości w zakresie powierzenia przetwarzania danych; niewłaściwe prowadzenie rejestru czynności przetwarzania lub jego brak; czy niezgłoszenie naruszenia ochrony danych lub niezawiadomienie o naruszeniu osoby, której dane dotyczą;
• do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, np. za przetwarzanie danych osobowych niezgodnych z zasadami RODO, niedotrzymanie warunku wyrażenia zgody na przetwarzanie danych, niedotrzymanie warunków przetwarzania szczególnych kategorii danych osobowych (tj. np. danych o stanie zdrowia, wyznaniu, orientacji seksualnej), niedopełnienie obowiązku informacyjnego, czy prawa do sprostowania;
• do 100 000 złotych na jednostki sektora finansów publicznych, instytuty badawcze, czy Narodowy Bank Polski;
• do 10 000 złotych na państwowe i samorządowe instytucje kultury

Równowartość wyrażonych w euro kwot administracyjnych kar pieniężnych oblicza się według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, kiedy obchodzony jest Dzień Ochrony Danych Osobowych.

Kara pieniężna musi być zapłacona w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie bądź od dnia uprawomocnienia się wyroku tego sądu.

Zobacz także:

Wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679, które zostały przyjęte przez Grupę Roboczą art. 29 ds. ochrony danych 3 października 2017 r.