Kary za nieprzestrzeganie przepisów RODO w Polsce nakłada wyłącznie Prezes Urzędu Ochrony Danych Osobowych. Jest to jedyny organ nadzorczy uprawniony do wydawania administracyjnych decyzji w tym zakresie, obejmujących zarówno sankcje pieniężne, jak i inne środki przewidziane prawem.
Kto realnie nakłada kary za nieprzestrzeganie przepisów RODO?
W Polsce jedynym właściwym organem jest Prezes UODO działający jako krajowy organ nadzorczy. To on samodzielnie wymierza kary za nieprzestrzeganie RODO i prowadzi postępowania w sprawach naruszeń ochrony danych osobowych. Kompetencja ma charakter wyłączny i nie jest współdzielona z żadnym innym organem.
Jak wygląda podstawa prawna i forma nałożenia kary?
Kara jest nakładana w drodze decyzji administracyjnej, co zapewnia sformalizowany tryb i określone przepisami rygory. Podstawą do nałożenia sankcji jest stwierdzenie nieprzestrzegania, złamania lub naruszenia przepisów RODO, w tym wymogów dotyczących zasad przetwarzania, praw osób, bezpieczeństwa oraz rozliczalności.
Po wznowieniu postępowania administracyjnego organ nadzorczy może ponownie zastosować administracyjne kary pieniężne oraz środki przewidziane w RODO, jeżeli ustalenia sprawy to uzasadniają.
Czy od decyzji można się odwołać?
Od decyzji Prezesa UODO nie przysługuje odwołanie do organu wyższej instancji, ponieważ taki organ nie został utworzony w strukturze administracyjnej. Decyzja pozostaje zatem rozstrzygnięciem organu pierwszej instancji w administracyjnym toku instancji.
Jak przebiega postępowanie i kontakt z podmiotem?
UODO kontaktuje się z administratorem danych lub z procesorem, który przetwarza dane w imieniu administratora. Podmiot, wobec którego istnieje podejrzenie naruszenia, otrzymuje oficjalne zawiadomienie o wszczęciu postępowania w jego sprawie. Każda sprawa jest rozpatrywana indywidualnie z wnikliwą oceną okoliczności czynu, znaczenia naruszenia i zachowania podmiotu przed oraz po stwierdzeniu nieprawidłowości.
Za co nakładane są kary?
Najczęstsze przesłanki to brak wdrożonej i aktualnej dokumentacji oraz procedur ochrony danych, powierzenie danych podmiotowi dalszemu bez podstawy prawnej, przechowywanie danych dłużej niż to konieczne oraz niewyznaczenie inspektora ochrony danych w sytuacji, w której obowiązek ten istnieje.
Ile wynoszą kary i od czego zależy ich wysokość?
Wysokość sankcji zależy od kategorii podmiotu oraz ciężaru naruszenia. Dla podmiotów prywatnych za naruszenia poważne maksymalna kara sięga 20 000 000 EUR lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku, zależnie od tego, która kwota jest wyższa. Za naruszenia mniej poważne w sektorze prywatnym górny pułap wynosi 10 000 000 EUR lub 2% obrotu.
W sektorze publicznym ustawodawca przewidział odrębne limity. Jednostki sektora finansów publicznych o większej skali mogą zostać ukarane do 100 000 zł, a pozostałe jednostki tego sektora do 10 000 zł.
Przy ustalaniu wysokości kary organ analizuje kategorie danych objętych naruszeniem oraz czynniki obciążające i łagodzące. Znaczenie ma między innymi uzyskana korzyść finansowa lub uniknięta strata, a także całokształt okoliczności wpływających na społeczną szkodliwość i wagę uchybień.
Jakie środki poza karami pieniężnymi może zastosować organ?
Prezes UODO może zastosować także inne środki, jeżeli są adekwatne do charakteru naruszenia i niezbędne do przywrócenia zgodności z prawem:
- nakaz spełnienia żądania osoby, której dane dotyczą
- nakaz zawiadomienia o naruszeniu ochrony danych
- ograniczenie lub zakaz przetwarzania danych osobowych w sposób czasowy albo całkowity
- nakaz sprostowania lub usunięcia danych osobowych
Jak często i kogo ukarano w 2024 roku?
W 2024 roku opublikowano 20 decyzji nakładających administracyjne kary pieniężne. Ukarano łącznie 24 podmioty na kwotę około 14 mln zł. Najwyższa kara wyniosła 4 053 173 zł, co stanowiło 29,2% wartości wszystkich nałożonych sankcji. Podmioty prywatne otrzymały 19 kar, czyli blisko 80% wszystkich rozstrzygnięć, a wartość nałożonych na nie sankcji wyniosła 13,7 mln zł, co odpowiada 98,7% sumy wszystkich kar w tym okresie.
Dlaczego indywidualna ocena sprawy ma znaczenie?
RODO wymaga, aby sankcja była proporcjonalna i odstraszająca, a zarazem adekwatna do wagi naruszenia. Dlatego każda sprawa jest oceniana osobno z uwzględnieniem charakteru naruszenia, kategorii i zakresu danych, skali przetwarzania, skutków dla osób oraz postawy podmiotu po wykryciu nieprawidłowości. Taki tryb oceny pozwala dopasować środki do realnego ryzyka i oddziaływania naruszenia.
Co zrobić, gdy podejrzewasz naruszenie swoich danych?
Osoba, której dane są przetwarzane, ma prawo wnieść skargę do Prezesa UODO. Uprawnienie to obejmuje sytuacje, w których istnieje podejrzenie naruszenia przepisów RODO lub brak reakcji administratora na żądania wynikające z praw osoby, której dane dotyczą.
Który organ kontaktuje się z administratorem i procesorem?
Prezes Urzędu Ochrony Danych Osobowych działa przez urząd UODO, który prowadzi komunikację z administratorem danych oraz z procesorem przetwarzającym dane w jego imieniu. Podmiot podejrzewany o naruszenie otrzymuje formalne zawiadomienie o wszczęciu postępowania, co uruchamia procedurę wyjaśniającą i umożliwia złożenie stanowiska w sprawie.
Na czym polega odpowiedzialność za nieprzestrzeganie przepisów RODO?
Odpowiedzialność ma charakter administracyjny i obejmuje sankcje finansowe oraz środki naprawcze. Powstaje w razie nieprzestrzegania, złamania lub naruszenia przepisów RODO, a jej wymiar określa decyzja administracyjna Prezesa UODO. Po wznowieniu postępowania organ może ponownie zastosować kary i środki przewidziane w RODO, jeżeli wymaga tego stan sprawy.
PowszechnaSamoobrona.pl to wiodący portal edukacyjny o szeroko pojętym bezpieczeństwie. Nasz zespół ekspertów dostarcza sprawdzoną wiedzę z zakresu bezpieczeństwa osobistego, systemów zabezpieczeń, cyberbezpieczeństwa, survivalu oraz zdrowia i sprawności. Kierujemy się zasadą „Chroń siebie. Chroń bliskich. Działaj świadomie.” dostarczając praktyczne rozwiązania i rzetelne informacje dla świadomych odbiorców.