Wiadomości
Jak Prezes UODO nakłada administracyjne kary pieniężne?
14 lutego 2020
Każda osoba fizyczna ma prawo do ochrony danych osobowych jej dotyczących. Na straży tego
prawa stoi organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych.
Prezes UODO może nałożyć administracyjną karę pieniężną w zależności od oceny okoliczności konkretnej sprawy.
SANKCJE W RAZIE NARUSZENIA PRZEPISÓW
O OCHRONIE DANYCH OSOBOWYCH
Prezes UODO m.in. monitoruje i egzekwuje przestrzeganie
przepisów o ochronie danych osobowych
oraz rozpatruje skargi wniesione przez osoby, których
dane dotyczą.
Kiedy dochodzi do naruszenia przepisów o ochronie
danych osobowych, Prezes UODO reaguje odpowiednio
do wagi konkretnego naruszenia. Uprawnienia
naprawcze Prezesa UODO są określone w art. 58
ust. 2 ogólnego rozporządzenia o ochronie danych
(RODO). Na ich podstawie Prezes UODO może np.:
» wydawać ostrzeżenia dotyczące możliwości naruszenia
RODO,
» udzielać upomnień w przypadku naruszenia
RODO,
» nakazać administratorowi lub podmiotowi przetwarzającemu
spełnienie żądania osoby, której
dane dotyczą,
» wprowadzić czasowe lub całkowite ograniczenia
przetwarzania, w tym zakazu przetwarzania
» nałożyć, oprócz lub zamiast pozostałych środków
naprawczych, administracyjną karę pieniężną.
Nałożenie administracyjnej kary pieniężnej lub wydanie
ostrzeżenia nie wpływa na możliwość zastosowania
przez Prezesa UODO innych uprawnień bądź sankcji.
KARA JEST ZAWSZE ZINDYWIDUALIZOWANA
Każda sytuacja jest badana przez organ nadzorczy
indywidualnie. Prezes UODO, wydając decyzję w konkretnej
sprawie, analizuje stan faktyczny i prawny
na dzień jej wydania. Nawet w przypadku dwóch
podobnych zdarzeń, w jednym może zostać nałożona
administracyjna kara finansowa, a w drugim nie. Przesądzić
bowiem o tym mogą specyficzne okoliczności
związane z tymi sprawami.
Kary pieniężne mają być nie tylko skuteczne i odstraszające,
ale i proporcjonalne. Dlatego przy ich
wymierzaniu Prezes UODO musi brać pod uwagę
aż 11 różnych czynników. Istotne będą więc m.in. :
» charakter, waga i czas trwania naruszenia;
» umyślny lub nieumyślny charakter naruszenia;
» działania podjęte przez administratora lub
podmiot przetwarzający w celu zminimalizowania
szkody poniesionej przez osoby, których
dane dotyczą;
» stopień odpowiedzialności administratora
lub podmiotu przetwarzającego z uwzględnieniem
wdrożonych środków technicznych
i organizacyjnych;
» wszelkie stosowne wcześniejsze naruszenia,
zatem czy to było pierwsze naruszenie czy kolejne;
» stopień współpracy z Prezesem UODO w celu
usunięcia naruszenia oraz złagodzenia jego
ewentualnych negatywnych skutków;
» kategorie danych osobowych, których dotyczyło
naruszenie;
» sposób, w jaki Prezes UODO dowiedział się
o naruszeniu, w szczególności, czy i w jakim zakresie
administrator lub podmiot przetwarzający
zgłosili naruszenie (np. czy sam zgłosił „wyciek
danych”).
WYSOKOŚĆ KARY
Prezes UODO bierze pod uwagę ww. czynniki zarówno
wtedy, gdy decyduje o zasadności nałożenia
administracyjnej kary pieniężnej, jak i wtedy, gdy
określa jej wysokość. Przepisy przewidują górne
limity wysokości kar. Prezes UODO nakłada karę
pieniężną za naruszenie w wysokości:
» do 10 000 000 euro lub do 2% całkowitego
rocznego światowego obrotu przedsiębiorstwa
z poprzedniego roku obrotowego (zastosowanie
ma kwota wyższa) za np.: nieprawidłowości
w zakresie powierzenia przetwarzania danych;
niewłaściwe prowadzenie rejestru czynności
przetwarzania lub jego brak; czy niezgłoszenie
naruszenia ochrony danych lub niezawiadomienie
o naruszeniu osoby, której dane dotyczą;
» do 20 000 000 euro, a w przypadku przedsiębiorstwa
– w wysokości do 4% jego całkowitego
rocznego światowego obrotu z poprzedniego
roku obrotowego, np. za przetwarzanie
danych osobowych niezgodnych z zasadami
RODO, niedotrzymanie warunku wyrażenia zgody
na przetwarzanie danych, niedotrzymanie
warunków przetwarzania szczególnych kategorii
danych osobowych (tj. np. danych o stanie zdrowia,
wyznaniu, orientacji seksualnej), niedopełnienie
obowiązku informacyjnego, czy prawa do
sprostowania;
» do 100 000 złotych na jednostki sektora finansów
publicznych, instytuty badawcze, czy
Narodowy Bank Polski;
» do 10 000 złotych na państwowe i samorządowe
instytucje kultury
Równowartość wyrażonych w euro kwot administracyjnych
kar pieniężnych oblicza się według średniego
kursu euro ogłaszanego przez Narodowy Bank Polski
w tabeli kursów na dzień 28 stycznia każdego
roku, kiedy obchodzony jest Dzień Ochrony Danych
Osobowych.
Środki z administracyjnej kary pieniężnej stanowią
dochód budżetu państwa. Nie zasilają one samego
Urzędu.
Administracyjną karę pieniężną uiszcza się w terminie
14 dni od dnia upływu terminu na wniesienie
skargi do Wojewódzkiego Sądu Administracyjnego
w Warszawie albo od dnia uprawomocnienia się
orzeczenia sądu administracyjnego. Na wniosek
podmiotu ukaranego Prezes UODO może odroczyć
termin uiszczenia administracyjnej kary pieniężnej
albo rozłożyć ją na raty jeżeli przemawia za tym
ważny interes wnioskodawcy.
Więcej informacji w sprawie zasad nakładania administracyjnych
kar pieniężnych zawierają Wytyczne w sprawie
stosowania i ustalania administracyjnych kar pieniężnych
do celów rozporządzenia nr 2016/679, które zostały
przyjęte przez Grupę Roboczą art. 29 ds. ochrony danych
3 października 2017 r., a następnie zostały potwierdzone
przez Europejską Radę Ochrony Danych.
prawa stoi organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych.
Prezes UODO może nałożyć administracyjną karę pieniężną w zależności od oceny okoliczności konkretnej sprawy.
SANKCJE W RAZIE NARUSZENIA PRZEPISÓW
O OCHRONIE DANYCH OSOBOWYCH
Prezes UODO m.in. monitoruje i egzekwuje przestrzeganie
przepisów o ochronie danych osobowych
oraz rozpatruje skargi wniesione przez osoby, których
dane dotyczą.
Kiedy dochodzi do naruszenia przepisów o ochronie
danych osobowych, Prezes UODO reaguje odpowiednio
do wagi konkretnego naruszenia. Uprawnienia
naprawcze Prezesa UODO są określone w art. 58
ust. 2 ogólnego rozporządzenia o ochronie danych
(RODO). Na ich podstawie Prezes UODO może np.:
» wydawać ostrzeżenia dotyczące możliwości naruszenia
RODO,
» udzielać upomnień w przypadku naruszenia
RODO,
» nakazać administratorowi lub podmiotowi przetwarzającemu
spełnienie żądania osoby, której
dane dotyczą,
» wprowadzić czasowe lub całkowite ograniczenia
przetwarzania, w tym zakazu przetwarzania
» nałożyć, oprócz lub zamiast pozostałych środków
naprawczych, administracyjną karę pieniężną.
Nałożenie administracyjnej kary pieniężnej lub wydanie
ostrzeżenia nie wpływa na możliwość zastosowania
przez Prezesa UODO innych uprawnień bądź sankcji.
KARA JEST ZAWSZE ZINDYWIDUALIZOWANA
Każda sytuacja jest badana przez organ nadzorczy
indywidualnie. Prezes UODO, wydając decyzję w konkretnej
sprawie, analizuje stan faktyczny i prawny
na dzień jej wydania. Nawet w przypadku dwóch
podobnych zdarzeń, w jednym może zostać nałożona
administracyjna kara finansowa, a w drugim nie. Przesądzić
bowiem o tym mogą specyficzne okoliczności
związane z tymi sprawami.
Kary pieniężne mają być nie tylko skuteczne i odstraszające,
ale i proporcjonalne. Dlatego przy ich
wymierzaniu Prezes UODO musi brać pod uwagę
aż 11 różnych czynników. Istotne będą więc m.in. :
» charakter, waga i czas trwania naruszenia;
» umyślny lub nieumyślny charakter naruszenia;
» działania podjęte przez administratora lub
podmiot przetwarzający w celu zminimalizowania
szkody poniesionej przez osoby, których
dane dotyczą;
» stopień odpowiedzialności administratora
lub podmiotu przetwarzającego z uwzględnieniem
wdrożonych środków technicznych
i organizacyjnych;
» wszelkie stosowne wcześniejsze naruszenia,
zatem czy to było pierwsze naruszenie czy kolejne;
» stopień współpracy z Prezesem UODO w celu
usunięcia naruszenia oraz złagodzenia jego
ewentualnych negatywnych skutków;
» kategorie danych osobowych, których dotyczyło
naruszenie;
» sposób, w jaki Prezes UODO dowiedział się
o naruszeniu, w szczególności, czy i w jakim zakresie
administrator lub podmiot przetwarzający
zgłosili naruszenie (np. czy sam zgłosił „wyciek
danych”).
WYSOKOŚĆ KARY
Prezes UODO bierze pod uwagę ww. czynniki zarówno
wtedy, gdy decyduje o zasadności nałożenia
administracyjnej kary pieniężnej, jak i wtedy, gdy
określa jej wysokość. Przepisy przewidują górne
limity wysokości kar. Prezes UODO nakłada karę
pieniężną za naruszenie w wysokości:
» do 10 000 000 euro lub do 2% całkowitego
rocznego światowego obrotu przedsiębiorstwa
z poprzedniego roku obrotowego (zastosowanie
ma kwota wyższa) za np.: nieprawidłowości
w zakresie powierzenia przetwarzania danych;
niewłaściwe prowadzenie rejestru czynności
przetwarzania lub jego brak; czy niezgłoszenie
naruszenia ochrony danych lub niezawiadomienie
o naruszeniu osoby, której dane dotyczą;
» do 20 000 000 euro, a w przypadku przedsiębiorstwa
– w wysokości do 4% jego całkowitego
rocznego światowego obrotu z poprzedniego
roku obrotowego, np. za przetwarzanie
danych osobowych niezgodnych z zasadami
RODO, niedotrzymanie warunku wyrażenia zgody
na przetwarzanie danych, niedotrzymanie
warunków przetwarzania szczególnych kategorii
danych osobowych (tj. np. danych o stanie zdrowia,
wyznaniu, orientacji seksualnej), niedopełnienie
obowiązku informacyjnego, czy prawa do
sprostowania;
» do 100 000 złotych na jednostki sektora finansów
publicznych, instytuty badawcze, czy
Narodowy Bank Polski;
» do 10 000 złotych na państwowe i samorządowe
instytucje kultury
Równowartość wyrażonych w euro kwot administracyjnych
kar pieniężnych oblicza się według średniego
kursu euro ogłaszanego przez Narodowy Bank Polski
w tabeli kursów na dzień 28 stycznia każdego
roku, kiedy obchodzony jest Dzień Ochrony Danych
Osobowych.
Środki z administracyjnej kary pieniężnej stanowią
dochód budżetu państwa. Nie zasilają one samego
Urzędu.
Administracyjną karę pieniężną uiszcza się w terminie
14 dni od dnia upływu terminu na wniesienie
skargi do Wojewódzkiego Sądu Administracyjnego
w Warszawie albo od dnia uprawomocnienia się
orzeczenia sądu administracyjnego. Na wniosek
podmiotu ukaranego Prezes UODO może odroczyć
termin uiszczenia administracyjnej kary pieniężnej
albo rozłożyć ją na raty jeżeli przemawia za tym
ważny interes wnioskodawcy.
Więcej informacji w sprawie zasad nakładania administracyjnych
kar pieniężnych zawierają Wytyczne w sprawie
stosowania i ustalania administracyjnych kar pieniężnych
do celów rozporządzenia nr 2016/679, które zostały
przyjęte przez Grupę Roboczą art. 29 ds. ochrony danych
3 października 2017 r., a następnie zostały potwierdzone
przez Europejską Radę Ochrony Danych.
