RODO, czyli Rozporządzenie o Ochronie Danych Osobowych, reguluje sposób przetwarzania danych osobowych w Unii Europejskiej. Wprowadza zasady, które obowiązują zarówno firmy, jak i instytucje publiczne. Każdy podmiot przetwarzający dane musi przestrzegać określonych wymogów. Złamanie tych zasad może prowadzić do poważnych konsekwencji, jakimi są kary za naruszenie RODO.
Jakie kary grożą za naruszenie RODO?
Kary za naruszenie RODO są bardzo wysokie. Administracyjne kary pieniężne wynoszą do 10 lub nawet 20 mln euro. W przypadku przedsiębiorstwa – do 2 lub 4% całkowitego rocznego globalnego obrotu z poprzedniego roku. Wysokość maksymalnej kary zależy od tego, które przepisy zostaną naruszone. Wyższe kary za naruszenie RODO grożą m.in. za:
- naruszenie podstawowych zasad przetwarzania, w tym warunków zgody (art. 5, 6, 7 oraz 9 RODO). Przykładowo – nieprzestrzeganie zasady minimalizacji danych czy zasady ograniczonego celu i ograniczonego przechowywania);
- naruszenie praw osób, których dane dotyczą (art. 12–22 RODO), np. odmowa dostępu do danych osobie uprawnionej;
- przekazywanie danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej niezgodnie z przepisami (art. 44–49 RODO). Przykładem może być współpraca z kontrahentem spoza Europejskiego Obszaru Gospodarczego bez zapewnienia odpowiednich zabezpieczeń i bez spełnienia warunku, że w państwie kontrahenta obowiązują egzekwowalne prawa osób, których dane dotyczą oraz istnieją skuteczne środki ochrony prawnej.
Trzeba mieć na uwadze, że organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych (UODO) wymierzając administracyjne kary pieniężne, dba o to, by były one w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.
Co jest brane pod uwagę przy wyliczeniu kary za naruszenie RODO?
Ustalając wysokość kary za naruszenie RODO, Prezes Urzędu Ochrony Danych Osobowych w każdym indywidualnym przypadku zwraca uwagę na:
- charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą oraz rozmiaru poniesionej przez nie szkody,
- umyślny lub nieumyślny charakter naruszenia,
- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
- stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych,
- stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
- kategorie danych osobowych, których dotyczyło naruszenie,
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, szczególnie, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
- przestrzeganie zastosowanych już wcześniej w tej sprawie środków wobec administratora lub podmiotu przetwarzającego (jeżeli dotyczy),
- stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji,
- inne obciążające lub łagodzące czynniki dotyczące sprawy, np. osiągnięte korzyści finansowe lub uniknięte straty w związku z naruszeniem RODO.
Wysokość kary za naruszenie RODO dla jednostek sektora finansów publicznych, instytutów badawczych oraz dla NBP została ograniczona ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych do 100 000 zł.
Działania organu nadzorczego
W 2023 r. Prezes UODO nałożył na 31 podmiotów administracyjne kary pieniężne w łącznej wysokości 1 230 331,28 zł. Spośród 31 ukaranych podmiotów:
- 10 z nich należało do sektora finansów publicznych,
- 15 to spółki prawa handlowego,
- 3 to osoby fizyczne prowadzące działalność gospodarczą,
- 3 dotyczyły wspólnoty mieszkaniowej, spółdzielni mieszkaniowej oraz organu samorządu zawodowego.
Co mogą zrobić administratorzy danych, gdy już doszło do incydentu?
W przypadku wystąpienia naruszenia ochrony danych najlepszym rozwiązaniem jest posiadanie przez administratora danych przygotowanej procedury postępowania. Powinna ona określać sposób zachowania pracowników w momencie stwierdzenia incydentu bezpieczeństwa lub podejrzenia jego wystąpienia. Należy ustalić okoliczności zdarzenia, przyczyny i skutki oraz ocenić poziom wystąpienia ryzyka dla praw i wolności osób, których dane dotyczą. W zależności od dokonanej oceny należy zawiadomić Prezesa UODO o naruszeniu. Niekiedy konieczne będzie także zawiadomienie osób, których dane dotyczyły.
Zgłoszenie incydentu naruszenia ochrony danych
Jeśli naruszenie kwalifikuje się do zgłoszenia do organu nadzoru, należy pamiętać o zachowaniu terminu: administrator danych ma 72 h od stwierdzenia incydentu. Termin ten biegnie także w dni ustawowo wolne od pracy. W przypadku opóźnienia należy podać przyczyny niedotrzymania terminu. Tak jak zostało wspomniane wyżej, sposób działania administratora jest brany pod uwagę przy ustalaniu wysokości kary za naruszenie RODO.
Jeśli nie wiesz, jak postępować w przypadku incydentu RODO możesz skorzystać ze wsparcia Kancelarii Adwokatów i Radców Prawnych Halaś i Wspólnicy. Mamy ogromne doświadczenie w dokumentowaniu incydentów oraz w prowadzeniu korespondencji z organem nadzoru. Oferujemy również szkolenia z zakresu ochrony danych osobowych.
Kary za naruszenie RODO – wsparcie kancelarii prawnej
W przypadku naruszenia przepisów o ochronie danych osobowych, Prezes UODO reaguje odpowiednio do wagi konkretnego naruszenia. Pieniężne kary za naruszenie RODO to jedno z wielu narzędzi, które Prezes UODO ma do dyspozycji – upomnienia, ostrzeżenia, nakazy. Każda z nałożonych kar zależy od oceny okoliczności konkretnej sprawy, która jest badana indywidualnie. Od decyzji administracyjnej Prezesa UODO zależy skarga do sądu administracyjnego. Sądem pierwszej instancji jest Wojewódzki Sąd Administracyjny w Warszawie, a sądem drugiej instancji – Naczelny Sąd Administracyjny.
Warto skorzystać ze wsparcia profesjonalnej kancelarii prawnej, która jak najlepiej zabezpieczy interesy przedsiębiorcy. Jeśli szukasz pomocy w zakresie ochrony danych osobowych, skontaktuj się z Kancelarią Halaś i Wspólnicy.
Autorka: Natalia Krzesaj, Redakcja: Marta Buks