Kary za naruszenie RODO

Doradztwo prawne

Kary za naruszenie RODO

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych, reguluje sposób przetwarzania danych osobowych w Unii Europejskiej. Wprowadza zasady, które obowiązują zarówno firmy, jak i instytucje publiczne. Każdy podmiot przetwarzający dane musi przestrzegać określonych wymogów. Złamanie tych zasad może prowadzić do poważnych konsekwencji, jakimi są kary za naruszenie RODO.

Jakie kary grożą za naruszenie RODO?

Kary za naruszenie RODO są bardzo wysokie. Administracyjne kary pieniężne wynoszą do 10 lub nawet 20 mln euro. W przypadku przedsiębiorstwa – do 2 lub 4% całkowitego rocznego globalnego obrotu z poprzedniego roku. Wysokość maksymalnej kary zależy od tego, które przepisy zostaną naruszone. Wyższe kary za naruszenie RODO grożą m.in. za:

  • naruszenie podstawowych zasad przetwarzania, w tym warunków zgody (art. 5, 6, 7 oraz 9 RODO). Przykładowo – nieprzestrzeganie zasady minimalizacji danych czy zasady ograniczonego celu i ograniczonego przechowywania);
  • naruszenie praw osób, których dane dotyczą (art. 12–22 RODO), np. odmowa dostępu do danych osobie uprawnionej;
  • przekazywanie danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej niezgodnie z przepisami (art. 44–49 RODO). Przykładem może być współpraca z kontrahentem spoza Europejskiego Obszaru Gospodarczego bez zapewnienia odpowiednich zabezpieczeń i bez spełnienia warunku, że w państwie kontrahenta obowiązują egzekwowalne prawa osób, których dane dotyczą oraz istnieją skuteczne środki ochrony prawnej.

Trzeba mieć na uwadze, że organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych (UODO) wymierzając administracyjne kary pieniężne, dba o to, by były one w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.

kary za naruszenie RODO, ochrona danych osobowych, Kancelaria Wrocław

Co jest brane pod uwagę przy wyliczeniu kary za naruszenie RODO?

Ustalając wysokość kary za naruszenie RODO, Prezes Urzędu Ochrony Danych Osobowych w każdym indywidualnym przypadku zwraca uwagę na:

  • charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą oraz rozmiaru poniesionej przez nie szkody,
  • umyślny lub nieumyślny charakter naruszenia,
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych,
  • stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
  • kategorie danych osobowych, których dotyczyło naruszenie,
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, szczególnie, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
  • przestrzeganie zastosowanych już wcześniej w tej sprawie środków wobec administratora lub podmiotu przetwarzającego (jeżeli dotyczy),
  • stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji,
  • inne obciążające lub łagodzące czynniki dotyczące sprawy, np. osiągnięte korzyści finansowe lub uniknięte straty w związku z naruszeniem RODO.

Wysokość kary za naruszenie RODO dla jednostek sektora finansów publicznych, instytutów badawczych oraz dla NBP została ograniczona ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych do 100 000 zł.

Działania organu nadzorczego

W 2023 r. Prezes UODO nałożył na 31 podmiotów administracyjne kary pieniężne w łącznej wysokości 1 230 331,28 zł. Spośród 31 ukaranych podmiotów: 

  • 10 z nich należało do sektora finansów publicznych, 
  • 15 to spółki prawa handlowego, 
  • 3 to osoby fizyczne prowadzące działalność gospodarczą,
  • 3 dotyczyły wspólnoty mieszkaniowej, spółdzielni mieszkaniowej oraz organu samorządu zawodowego.

Co mogą zrobić administratorzy danych, gdy już doszło do incydentu?

W przypadku wystąpienia naruszenia ochrony danych najlepszym rozwiązaniem jest posiadanie przez administratora danych przygotowanej procedury postępowania. Powinna ona określać sposób zachowania pracowników w momencie stwierdzenia incydentu bezpieczeństwa lub podejrzenia jego wystąpienia. Należy ustalić okoliczności zdarzenia, przyczyny i skutki oraz ocenić poziom wystąpienia ryzyka dla praw i wolności osób, których dane dotyczą. W zależności od dokonanej oceny należy zawiadomić Prezesa UODO o naruszeniu. Niekiedy konieczne będzie także zawiadomienie osób, których dane dotyczyły.

Zgłoszenie incydentu naruszenia ochrony danych

Jeśli naruszenie kwalifikuje się do zgłoszenia do organu nadzoru, należy pamiętać o zachowaniu terminu: administrator danych ma 72 h od stwierdzenia incydentu. Termin ten biegnie także w dni ustawowo wolne od pracy. W przypadku opóźnienia należy podać przyczyny niedotrzymania terminu. Tak jak zostało wspomniane wyżej, sposób działania administratora jest brany pod uwagę przy ustalaniu wysokości kary za naruszenie RODO.

Jeśli nie wiesz, jak postępować w przypadku incydentu RODO możesz skorzystać ze wsparcia Kancelarii Adwokatów i Radców Prawnych Halaś i Wspólnicy. Mamy ogromne doświadczenie w dokumentowaniu incydentów oraz w prowadzeniu korespondencji z organem nadzoru. Oferujemy również szkolenia z zakresu ochrony danych osobowych.

kary za naruszenie RODO, ochrona danych osobowych, Kancelaria Wrocław

Kary za naruszenie RODO – wsparcie kancelarii prawnej

W przypadku naruszenia przepisów o ochronie danych osobowych, Prezes UODO reaguje odpowiednio do wagi konkretnego naruszenia. Pieniężne kary za naruszenie RODO to jedno z wielu narzędzi, które Prezes UODO ma do dyspozycji – upomnienia, ostrzeżenia, nakazy. Każda z nałożonych kar zależy od oceny okoliczności konkretnej sprawy, która jest badana indywidualnie. Od decyzji administracyjnej Prezesa UODO zależy skarga do sądu administracyjnego. Sądem pierwszej instancji jest Wojewódzki Sąd Administracyjny w Warszawie, a sądem drugiej instancji – Naczelny Sąd Administracyjny.

Warto skorzystać ze wsparcia profesjonalnej kancelarii prawnej, która jak najlepiej zabezpieczy interesy przedsiębiorcy. Jeśli szukasz pomocy w zakresie ochrony danych osobowych, skontaktuj się z Kancelarią Halaś i Wspólnicy.

Autorka: Natalia Krzesaj, Redakcja: Marta Buks

Nasze

Usługi

Group 202

Szkolenia

Szkolenia

AML – przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu RODO – ochrona danych osobowych
Sprawdź

Dla klienta indywidualnego

Dla klienta indywidualnego

Pomagamy w zakresie prawa cywilnego, karnego, pracy. Umowy, kontrakty. Spadki.
Sprawdź
kancelaria porady onlin

Porady Online

Porady Online

Świadczymy specjalistyczne usługi doradztwa prawnego online dla klientów indywidualnych oraz podmiotów gospodarczych.
Sprawdź
ico_biznes

Prawo spółek

Prawo Spółek

Rejestracja spółki, Due diligence spółki, Umowa, Statut spółki, Organizacja i przeprowadzenie zgromadzenia i inne
Sprawdź
Group 209

Przekształcenia spółek

Przekształcenia spółek

Przekształcenia spółek, fuzje i przejęcia. Przygotowanie i przeprowadzenie nabycia, sprzedaży, przekształceniu, dzieleniu i łączeniu spółek.
Sprawdź
Group 210

Prawo rynku
kapitałowego

Prawo rynku
kapitałowego

Obowiązki informacyjne oraz notyfikacyjne spółek. Obsługa relacji inwestorskich
Sprawdź
Group 224

Prawo ochrony
konkurencji

Prawo ochrony
konkurencji

Identyfikujemy możliwe ryzyka. Doradztwo w prawne w zakresie: naruszanie tajemnicy przedsiębiorstwa, naruszanie zakazu konkurencji.
Sprawdź
Group 205

RODO

RODO

Wdrożenia RODO, Szkolenia, Audyty prawne, Wsparcie obsługi naruszeń ochrony danych osobowych Doradztwo i reprezentacja podczas kontroli UODO.
Sprawdź

Prawo cywilne

Prawo cywilne

Doradztwo w zakresie Prawa zobowiązań oraz prawa spadkowego. Zastępstwo procesowe. Negocjacje umów i kontraktów. Umowy inwestycyjne.
Sprawdź
Group 222

Prawo karne

Prawo karne

Zapewniamy obronę swoich Klientów w postępowaniach karnych i karno-skarbowych na każdym etapie postępowania.
Sprawdź
Group 224

Prawo pracy

Prawo pracy

Bieżące doradztwo dla działów HR i kadry menedżerskiej. Restrukturyzacja zatrudnienia (w tym zwolnienia indywidualne oraz grupowe). Zbiorowe prawo pracy.
Sprawdź

Obsługa branży
marketingowej

Obsługa branży
marketingowej

Przygotowywanie umów. Opracowywanie regulaminów promocji, konkursów, polityk prywatności i zgód na telemarketing.
Sprawdź

No products in the cart.