Jak prezes UODO nakłada administracyjne kary pieniężne?

UODO, czyli Urząd Ochrony Danych Osobowych to organ nadzorczy zajmujący się ochroną danych osobowych. W praktyce jego prezes egzekwuje stosowanie postanowień unijnego rozporządzenia RODO oraz prowadzi związane z nimi postępowania. Jednym z jego uprawnień jest nakładanie kar administracyjnych. Jaka jest ich wysokość i komu grożą takie sankcje? 

Jak prezes UODO nakłada administracyjne kary pieniężne?

Alicja Skibińska

11 marca 2020

Kim właściwie jest prezes UODO i jakie ma kompetencje?

Prezes UODO jest niezależnym organem, którego zadaniem jest stanie na straży prawa do prywatności oraz ochrony danych osobowych, co w praktyce oznacza, iż jest przede wszystkim organem nadzorczym ogólnego rozporządzenia o ochronie danych, czyli RODO. Jest to osoba, która monitoruje oraz egzekwuje respektowanie przepisów chroniących dane osobowe oraz zasad przetwarzania owych danych, popularyzuje wiedzę na temat prawa obowiązującego w tym zakresie, ryzyku oraz możliwych zabezpieczeniach, informuje administratorów oraz podmioty przetwarzające o ciążących na nich obowiązkach, interpretuje postanowienia RODO, wydaje odnoszące się do nich wytyczne oraz rozpatruje skargi związane z niedostateczną ochroną tego typu informacji. Każda osoba, która sądzi, że jej dane osobowe są przechowywane lub przetwarzane niezgodnie z prawem, ma prawo zgłosić to podejrzenie prezesowi UODO. Wszystkie sprawy badane są indywidualnie, zaś ewentualne kary zależą od kilku różnych czynników.

Procedura nakładania kary

Sankcje za złamanie RODO oraz innych regulacji chroniących prywatność obywateli i ich dane osobowe są nakładane w drodze decyzji administracyjnej. Każda sprawa rozpatrywana jest oddzielnie, z uwzględnieniem okoliczności popełnionego czynu. Reakcja prezesa UODO powinna być odpowiednia do wagi naruszenia. Należy również pamiętać, iż sankcja nie musi być finansowa – organ dysponuje także wieloma innymi uprawnieniami naprawczymi przewidzianymi w RODO.

Oczywiście od decyzji prezesa UODO można się odwołać do sądu administracyjnego. W przypadku zasądzenia kary pieniężnej ukarany musi uregulować ją w ciągu 14 dni od momentu uprawomocnienia się orzeczenia. Istnieje jednak możliwość złożenia wniosku o odroczenie spłaty lub rozłożenie całej kwoty na raty. Należy przy tym pamiętać, iż od dnia upływu terminu płatności naliczane są wówczas odsetki.

Czy ubezpieczenie od RODO uchroni od kary?Czy ubezpieczenie od RODO uchroni od kary? Alicja Skibińska

Od czego zależy i jaka może być wysokość kary?

Prezes UODO dysponuje kilkoma uprawnieniami naprawczymi, czyli sankcjami, które może nałożyć na podmioty nieprzestrzegające zasad ochrony danych osobowych. W zależności od przewinienia organ może:

  • wydać ostrzeżenie,

  • udzielić upomnienia,

  • nakazać spełnienie żądań osoby, której dotyczą dane,

  • zdecydować o czasowym lub całkowitym ograniczeniu przetwarzania danych przez określony podmiot, a także zakazaniu ich przetwarzania,

  • nałożyć administracyjną karę pieniężną (oprócz lub zamiast pozostałych środków).

Sankcje muszą być skuteczne i odstraszające, ale jednocześnie również proporcjonalne do popełnionego wykroczenia. Z tego powodu prezes UODO podejmuje swoją decyzję w oparciu o następujące czynniki:

  • umyślny lub nieumyślny charakter czynu,

  • czas trwania, charakter i waga naruszenia,

  • wcześniejsze naruszenia (innymi słowy: czy dany podmiot dopuszczał się w przeszłości podobnych czynów, czy może jest to pierwszy taki incydent),

  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego oraz wdrożone środki techniczne i organizacyjne,

  • współpraca z prezesem UODO skierowana na usunięcie naruszenia i złagodzenie jego potencjalnych negatywnych konsekwencji,

  • kategorie danych osobowych, których dotyczyło naruszenie,

  • sposób, w jaki organ dowiedział się o czynie (a więc czy administrator lub podmiot przetwarzający sami go zgłosili).

RODO określa maksymalne wysokości kar – oznacza to, że sankcje mogą być nawet znacznie mniejsze, jednak nie mogą przekroczyć tych górnych granic. Są to naprawdę imponujące kwoty:

  • do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa (z poprzedniego roku obrotowego). Zastosowanie ma zawsze kwota wyższa. Taka kara grozi np. za nieprawidłowości w zakresie powierzenia przetwarzania danych, niewłaściwe prowadzenie rejestru czynności przetwarzania danych lub jego całkowity brak, a także niezgłoszenie naruszenia ochrony tych informacji i niezawiadomienie o nim osoby, której one dotyczą,

  • do 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa. Sankcja w tej wysokości może zostać nałożona m.in. za przetwarzanie danych osobowych niezgodnych z postanowieniami RODO, niedotrzymanie warunku wyrażenia zgody na przetwarzanie danych lub niedopełnienie obowiązku informacyjnego,

  • do 100 000 złotych na jednostki sektora finansów publicznych, instytuty badawcze lub Narodowy Bank Polski,

  • do 10 000 na państwowe i samorządowe instytucje kultury.

Jeśli kary nakładane są w innej walucie, oblicza się je w oparciu o średni kurs euro (według Narodowego Banku Polskiego) w dniu 28 stycznia każdego roku. Data ta nie jest przypadkowa – to właśnie wtedy obchodzimy Dzień Ochrony Danych Osobowych. Środki pozyskane z takich kar zasilają budżet państwa (a nie UODO).

 

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!