Naruszenie ochrony danych osobowych spotyka się z reakcją Prezesa UODO. Organ nadzoru reaguje odpowiednio do wagi konkretnego naruszenia, korzystając z licznych uprawnień, jakie mu przysługują zgodnie z RODO.O uprawnieniach tych, a w szczególności o karach pieniężnych możemy przeczytać w najnowszym komunikacie Prezesa Urzędu.
Środki przysługujące UODO
Środki, jakie może zastosować Prezes UODO, to nie tylko kary finansowe. Jak wskazano, organ nadzoru może także stosować rozwiązania naprawcze przewidziane w art. 58 ust. 2 RODO, w szczególności:
-
wydawać ostrzeżenia dotyczące możliwości naruszenia RODO,
-
udzielać upomnień w przypadku naruszenia RODO,
-
nakazać administratorowi lub podmiotowi przetwarzającemu spełnienie żądania osoby, której dane dotyczą,
- wprowadzić czasowe lub całkowite ograniczenia przetwarzania, w tym zakazu przetwarzania.
Środki te mogą być stosowane zamiast albo obok kary pieniężnej.
Kryteria wymiaru kary
Decydując w sprawie wymierzenia kary administracyjnej, Prezes UODO, analizuje stan faktyczny i prawny danej sprawy według stanu na dzień wydania decyzji. Przy wymiarze kary uwzględniane jest wiele kryteriów a w szczególności:
-
charakter, waga i czas trwania naruszenia;
-
umyślny lub nieumyślny charakter naruszenia;
-
działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
-
stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;
- wszelkie stosowne wcześniejsze naruszenia, zatem czy to było pierwsze naruszenie czy kolejne;
-
stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
-
kategorie danych osobowych, których dotyczyło naruszenie;
-
sposób, w jaki Prezes UODO dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (np. czy sam zgłosił „wyciek danych”).
Limity kary
Niezależnie od powyższego, kary administracyjne podlegają limitom. Prezes UODO nakłada karę pieniężną za naruszenie w wysokości:
-
do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) za np.: nieprawidłowości w zakresie powierzenia przetwarzania danych; niewłaściwe prowadzenie rejestru czynności przetwarzania lub jego brak; czy niezgłoszenie naruszenia ochrony danych lub niezawiadomienie o naruszeniu osoby, której dane dotyczą;
-
do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, np. za przetwarzanie danych osobowych niezgodnych z zasadami RODO, niedotrzymanie warunku wyrażenia zgody na przetwarzanie danych, niedotrzymanie warunków przetwarzania szczególnych kategorii danych osobowych (tj. np. danych o stanie zdrowia, wyznaniu, orientacji seksualnej), niedopełnienie obowiązku informacyjnego, czy prawa do sprostowania;
-
do 100 000 złotych na jednostki sektora finansów publicznych, instytuty badawcze, czy Narodowy Bank Polski;
- do 10 000 złotych na państwowe i samorządowe instytucje kultury
Równowartość wyrażonych w euro kwot administracyjnych kar pieniężnych oblicza się według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, kiedy obchodzony jest Dzień Ochrony Danych Osobowych.
Termin zapłaty kary
Kara pieniężna musi być zapłacona w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie bądź od dnia uprawomocnienia się wyroku tego sądu.
UwagaUkarany podmiot może wnioskować o odroczenie terminu zapłaty kary bądź rozłożyć ją na raty, jeżeli przemawia za tym ważny interes wnioskodawcy.
Źródło:
- Strona internetowa Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl).