Masz pytania?
608 320 901
533 210 986

Aktualności

Co ma wpływ na nałożenie administracyjnej kary pieniężnej przez Prezesa Urzędu Ochrony Danych Osobowych?

Prezes UODO, chociaż kojarzony jest najbardziej z możliwością nałożenia administracyjnej kary pieniężnej, ma również inne zadania, na których jak sam twierdzi skupia się bardziej niż na karaniu. 

ZADANIA URZĘDU OCHRONY DANYCH OSOBOWYCH:

- dba, by wykorzystywanie danych osobowych odbywało się zgodnie z zasadami przetwarzania danych;

- zabiega o właściwe rozwiązania prawne i podejmuje działania mające na celu podnoszenie świadomości w zakresie ochrony danych osobowych;

- upowszechnia w społeczeństwie wiedzę o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem danych;

- upowszechnia wśród administratorów i podmiotów przetwarzających wiedzę o spoczywających na nich obowiązkach związanych z przetwarzaniem danych osobowych.

- monitoruje i egzekwuje przestrzeganie przepisów o ochronie danych osobowych oraz rozpatruje skargi wniesione przez osoby, których dane dotyczą

- wydaje wytyczne i interpretuje postanowienia ogólnego rozporządzenia o ochronie danych (RODO) i innych przepisów o ochronie danych osobowych.

CO KIEDY DOJDZIE DO NARUSZENIA OCHRONY DANYCH OSOBOWYCH?

W przypadku naruszenia Prezes UODO reaguje zasadnie do indywidualnej sytuacji. Kara jest ostatecznością i jak wynika z dotychczasowych decyzji Prezesa UODO nakładana jest w przypadku lekceważenia przepisów o ochronie danych osobowych oraz braku zastosowania się do wytycznych Urzędu. Niestety lekceważenie przepisów o ochronie danych osobowych oraz opieszałość Administrator co do wprowadzania wymaganych regulacji  my sami obserwujemy na co dzień.

Uprawnienia naprawcze Prezesa UODO są określone w art. 58 ust. 2 RODO. Na ich podstawie Prezes UODO może np.:

- wydawać ostrzeżenia dotyczące możliwości naruszenia RODO,

- udzielać upomnień w przypadku naruszenia RODO,

- nakazać administratorowi lub podmiotowi przetwarzającemu spełnienie żądania osoby, której dane dotyczą,

- wprowadzić czasowe lub całkowite ograniczenia przetwarzania, w tym zakazu przetwarzania,

- nałożyć, oprócz lub zamiast pozostałych środków naprawczych, administracyjną karę pieniężną.

DECYZJA O KARZE JEST ZAWSZE PODEJMOWANA INDYWIDUALNIE 

Podjęcie decyzji o rodzaju sankcji związanej z konkretnym naruszeniem poprzedza prowadzone postępowania. W toku, którego analizuje się całe zajście, jak i okoliczności mu towarzyszące. Każda sprawa jest rozpatrywana indywidualnie.

Jak pisze UODO: "Kary pieniężne mają być nie tylko skuteczne i odstraszające, ale i proporcjonalne. Dlatego przy ich wymierzaniu Prezes UODO musi brać pod uwagę aż 11 różnych czynników."

Istotne będą więc m.in. :

- charakter, waga i czas trwania naruszenia;

- umyślny lub nieumyślny charakter naruszenia;

- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

- stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;

- wszelkie stosowne wcześniejsze naruszenia, zatem czy to było pierwsze naruszenie czy kolejne;

- stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
kategorie danych osobowych, których dotyczyło naruszenie; 

- sposób, w jaki Prezes UODO dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (np. czy sam zgłosił „wyciek danych”). 

WYSOKOŚĆ KARY

Wyżej przytoczone wytyczne, mają wpływ nie tylko na, to czy kara zostanie nałożona, czy też nie, ale także na jej ewentualną wysokość.  

Przepisy przewidują górne limity wysokości kar. Prezes UODO nakłada karę pieniężną za naruszenie w wysokości:

- do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) za np.: nieprawidłowości w zakresie powierzenia przetwarzania danych; niewłaściwe prowadzenie rejestru czynności przetwarzania lub jego brak; czy niezgłoszenie naruszenia ochrony danych lub niezawiadomienie o naruszeniu osoby, której dane dotyczą;

- do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, np. za przetwarzanie danych osobowych niezgodnych z zasadami RODO, niedotrzymanie warunku wyrażenia zgody na przetwarzanie danych, niedotrzymanie warunków przetwarzania szczególnych kategorii danych osobowych (tj. np. danych o stanie zdrowia, wyznaniu, orientacji seksualnej), niedopełnienie obowiązku informacyjnego, czy prawa do sprostowania;

- do 100 000 złotych na jednostki sektora finansów publicznych, instytuty badawcze, czy Narodowy Bank Polski;

- do 10 000 złotych na państwowe i samorządowe instytucje kultury. 

Środki z administracyjnych kar pieniężnych zasilają budżet państwa.

Czas na wpłatę to 14 dni  od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Prezes UODO na wniosek podmiotu ukaranego może rozłożyć spłatę na raty lub opóźnić termin spłaty.

 

Źródło: https://uodo.gov.pl/pl/138/1244