Kara za naruszenie RODO

Kara za naruszenie RODO

Przepisy Rozporządzenia 2016/679 (RODO) wprowadziły możliwość nakładania administracyjnych kar pieniężnych przez państwowe organy nadzorcze - poskutkowało to znacznym wzrostem zainteresowania ze strony przedsiębiorców materią ochrony danych osobowych.

KTO NAKŁADA KARĘ ZA NIEPRZESTRZEGANIE RODO?

Polskim organem uprawnionym do nakładania kar na podmioty uchylające się od przestrzegania przepisów RODO oraz regulacji krajowych w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (UODO).

MAKSYMALNA KARA RODO

Na mocy przepisów RODO rozróżnia się dwa przedziały administracyjnych kar pieniężnych, które prezes UODO może nałożyć na przedsiębiorstwo na mocy decyzji administracyjnej:                      

  • do 10 000 000 € lub do 2 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (kara mniejsza);
  • do 20 000 000 € lub do 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (kara większa).

JAK WYSOKA KARA RODO DLA SEKTORA PUBLICZNEGO?

Ustawa o ochronie danych osobowych zawęża wysokość możliwej do nałożenia kary pieniężnej:

  • do 100 tys. zł w stosunku do jednostek sektora finansów publicznych (z wyłączeniem państwowych i samorządowych instytucji kultury), instytutów badawczych oraz Narodowego Banku Polskiego;
  • do 10 tys. zł na państwowe i samorządowe instytucje kultury.

Warto wiedzieć: Prezes UODO może nałożyć administracyjną karę pieniężną zamiast lub oprócz innych przysługujących mu środków naprawczych.

OD CZEGO ZALEŻY WYSOKOŚĆ KARY ZA NIEPRZESTRZEGANIE ZASAD OCHRONY DANYCH?

Wysokość kary uzależniona jest od rodzaju naruszenia. Organ nadzorczy może nałożyć na podmiot karę większą w przypadku, jeżeli ten narusza:

  • podstawowe zasady przetwarzania danych osobowych;
  • prawa osób, których dane są przetwarzane;
  • zasady przekazywania danych do państw znajdujących się poza obszarem Unii Europejskiej lub Europejskiego Obszaru Gospodarczego;
  • obowiązki wynikające z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX RODO (przepisów dotyczących szczególnej sytuacji związanej z przetwarzaniem);
  • nakazu ograniczenia lub zawieszenia przetwarzania danych lub utrudniania organowi nadzorczemu przeprowadzenie czynności kontrolnych.

Kara mniejsza może zostać nałożona na podmiot za naruszenie wszelkich innych przepisów Rozporządzenia 2016/679. Należy jednak zaznaczyć, że za każde naruszenie kwalifikujące się na karę większą może zostać nałożona kara mniejsza. Natomiast w przypadku, gdy organ nadzorczy uzna, iż doszło do poważnego naruszenia zasad wynikających z RODO może nałożyć na jednostkę karę większą za każde naruszenie obowiązujących przepisów.

Prezes UODO każdy przypadek naruszenia rozpatruje indywidualnie zwracając m.in. uwagę na takie czynniki jak umyślny lub nieumyślnych charakter danego działania, charakter, wagę i czas trwania naruszenia, liczbę osób poszkodowanych oraz rozmiar poniesionej przez te jednostki szkody, stopień odpowiedzialności administratora czy też poziom współpracy z organem nadzorczym w celu usunięcia naruszenia oraz jego negatywnych skutków.

Warto wiedzieć: Jedną z surowszych kar pieniężnych jest sankcja w wysokości 183 mln funtów, nałożona przez brytyjski organ nadzorczy na linie lotnicze British Airways, które padły atakiem cyberprzestępców. Na skutek tego zdarzenia doszło do wyłudzenia danych osobowych około 500 tys. klientów przedsiębiorstwa. W przypadku Polski jedną z najsurowszych kar jest kara wymierzona przez Prezesa Urzędu Danych Osobowych na kwotę 660 000 tys. euro. Sankcja ta została nałożona na Morele.net sp. z o.o., której zostało zarzucone stosowanie nieadekwatnych do istniejącego ryzyka środków technicznych i organizacyjnych w kwestii bezpieczeństwa przetwarzania danych osobowych.

INNE SANKCJE RODO

Pomimo, iż sankcje wprowadzone na mocy przepisów RODO kojarzą się głównie z wysokimi karami pieniężnymi, nie są to jedyne środki dyscyplinujące, jakimi dysponuje Prezes UODO. Obowiązujące przepisy przyznają państwowym organom nadzorczym szereg uprawnień za pomocą, których mogą one wpływać na przedsiębiorców naruszających obowiązujące regulacje w zakresie ochrony danych osobowych takich jak np:

  • udzielanie upomnień;
  • wprowadzenie zakazu przetwarzania danych osobowych;
  • ograniczenia (całkowitego lub czasowego) przetwarzania danych osobowych;
  • nakazanie zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych.

Zakładam, że jesteś tu po to, bo szukasz informacji na konkretny temat. Jeśli powyższy post nie rozwiązał Twojego problemu, zachęcam Cię do konsultacji online.

Ostatnie posty

Dane wrażliwe (art. 9 RODO)
Dane wrażliwe (art. 9 RODO)

Czym są dane wrażliwe? Czy danymi wrażliwymi są wszystkie dane osobowe czy tylko wybrana część?

Rejestr czynności przetwarzania
Rejestr czynności przetwarzania

RODO nakłada na administratorów danych osobowych szereg obowiązków. Jednym z nich jest prowadzenie rejestru czynności przetwarzania. Czym zatem jest ten rejestr i w jakim celu należy go prowadzić?

Analiza ryzyka
Analiza ryzyka

Jednym z obowiązków Administratora, który nakładają na niego przepisy RODO jest wykonanie oceny skutków dla ochrony danych osobowych. W artykule kilka ważnych informacji dla osób dokonujących słynnego DPiA.