Przejdź do treści

Jak Prezes UODO nakłada administracyjne kary pieniężne?

  • przez
Urząd Ochrony Danych Osobowych na swojej stronie opublikował artykuł na temat postępowania w trakcie nakładania kary przez Prezesa Urzędu Ochrony Danych Osobowych.
 
Poniżej treść artykułu:
 
Każda osoba fizyczna ma prawo do ochrony danych osobowych jej dotyczących. Na straży tego prawa stoi organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).

Status i kompetencje Prezesa UODO

Prezes UODO to niezależny organ, który stoi na straży gwarantowanych w Konstytucji RP oraz prawie UE praw podstawowych: prawa do ochrony danych osobowych i prawa do prywatności. Dba, by wykorzystywanie danych osobowych odbywało się zgodnie z zasadami przetwarzania danych. Zabiega też o właściwe rozwiązania prawne i podejmuje działania mające na celu podnoszenie świadomości w zakresie ochrony danych osobowych, w szczególności upowszechnia w społeczeństwie wiedzę o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem danych, jak również upowszechnia wśród administratorów i podmiotów przetwarzających wiedzę o spoczywających na nich obowiązkach związanych z przetwarzaniem danych osobowych.

Prezes UODO monitoruje i egzekwuje przestrzeganie przepisów o ochronie danych osobowych oraz rozpatruje skargi wniesione przez osoby, których dane dotyczą.

Prezes UODO jest jedynym organem umocowanym prawnie do wydawania wytycznych i interpretowania postanowień ogólnego rozporządzenia o ochronie danych (RODO) i innych przepisów o ochronie danych osobowych.

Nie tylko kara pieniężna. Sankcje w razie naruszenia przepisów o ochronie danych osobowych

Kiedy dochodzi do naruszenia przepisów o ochronie danych osobowych, Prezes UODO reaguje odpowiednio do wagi konkretnego naruszenia, korzystając z licznych uprawnień, jakie mu przysługują na podstawie RODO.

Uprawnienia naprawcze Prezesa UODO są określone w art. 58 ust. 2 RODO. Na ich podstawie Prezes UODO może np.:

  • wydawać ostrzeżenia dotyczące możliwości naruszenia RODO,
  • udzielać upomnień w przypadku naruszenia RODO,
  • nakazać administratorowi lub podmiotowi przetwarzającemu spełnienie żądania osoby, której dane dotyczą,
  • wprowadzić czasowe lub całkowite ograniczenia przetwarzania, w tym zakazu przetwarzania
  • nałożyć, oprócz lub zamiast pozostałych środków naprawczych, administracyjną karę pieniężną

Nałożenie administracyjnej kary pieniężnej lub wydanie ostrzeżenia nie wpływa na możliwość zastosowania przez Prezesa UODO innych uprawnień, czy też sankcji.

Kara jest zawsze zindywidualizowana 

Prezes UODO może nałożyć administracyjną karę pieniężną w zależności od oceny okoliczności konkretnej sprawy.

Każda sytuacja jest badana przez organ nadzorczy indywidualnie. Prezes UODO, wydając decyzję w konkretnej sprawie, analizuje stan faktyczny i prawny na dzień jej wydania. Nawet w przypadku dwóch podobnych zdarzeń, w jednym może zostać nałożona administracyjna kara finansowa, a w drugim nie. Przesądzić bowiem o tym mogą specyficzne okoliczności związane z tymi sprawami.

Kary pieniężne mają być nie tylko skuteczne i odstraszające, ale i proporcjonalne. Dlatego przy ich wymierzaniu Prezes UODO musi brać pod uwagę aż 11 różnych czynników.

Istotne będą więc m.in. :

  • charakter, waga i czas trwania naruszenia;
  • umyślny lub nieumyślny charakter naruszenia;
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;
  • wszelkie stosowne wcześniejsze naruszenia, zatem czy to było pierwsze naruszenie czy kolejne;
  • stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  • kategorie danych osobowych, których dotyczyło naruszenie;
  • sposób, w jaki Prezes UODO dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (np. czy sam zgłosił „wyciek danych”).

Wysokość kary

Prezes UODO bierze pod uwagę ww. czynniki zarówno wtedy, gdy decyduje o zasadności nałożenia administracyjnej kary pieniężnej, jak i wtedy, gdy określa jej wysokość. Przepisy przewidują górne limity wysokości kar. Prezes UODO nakłada karę pieniężną za naruszenie w wysokości:

  • do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) za np.: nieprawidłowości w zakresie powierzenia przetwarzania danych; niewłaściwe prowadzenie rejestru czynności przetwarzania lub jego brak; czy niezgłoszenie naruszenia ochrony danych lub niezawiadomienie o naruszeniu osoby, której dane dotyczą;
  • do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, np. za przetwarzanie danych osobowych niezgodnych z zasadami RODO, niedotrzymanie warunku wyrażenia zgody na przetwarzanie danych, niedotrzymanie warunków przetwarzania szczególnych kategorii danych osobowych (tj. np. danych o stanie zdrowia, wyznaniu, orientacji seksualnej), niedopełnienie obowiązku informacyjnego, czy prawa do sprostowania;
  • do 100 000 złotych na jednostki sektora finansów publicznych, instytuty badawcze, czy Narodowy Bank Polski;
  • do 10 000 złotych na państwowe i samorządowe instytucje kultury

Równowartość wyrażonych w euro kwot administracyjnych kar pieniężnych oblicza się według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, kiedy obchodzony jest Dzień Ochrony Danych Osobowych.

Środki z administracyjnej kary pieniężnej stanowią dochód budżetu państwa. Nie zasilają one  samego Urzędu.

Administracyjną karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Na wniosek podmiotu ukaranego Prezes UODO może odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty jeżeli przemawia za tym ważny interes wnioskodawcy.

Więcej informacji w sprawie zasad nakładania administracyjnych kar pieniężnych zawierają Wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679, które zostały przyjęte przez Grupę Roboczą art. 29 ds. ochrony danych 3 października 2017 r., a następnie zostały potwierdzone przez Europejską Radę Ochrony Danych. Wytyczne dostępne pod linkiem: https://uodo.gov.pl/pl/10/13

Dodaj komentarz

Skip to content