Kary administracyjne w świetle RODO

Roz­po­rzą­dze­nie Par­la­men­tu Euro­pej­skie­go i Rady (UE) 2016/679 (dalej: „RODO”) nakła­da na admi­ni­stra­to­rów oraz pod­mio­ty prze­twa­rza­ją­ce dane oso­bo­we w ich imie­niu sze­reg nowych obo­wiąz­ków. W przy­pad­ku nie­na­le­ży­te­go wyko­ny­wa­nia przez nie ww. obo­wiąz­ków bądź dopro­wa­dze­nia do naru­sze­nia danych oso­bo­wych przez nie prze­twa­rza­nych muszą one mieć świa­do­mość ponie­sie­nia kon­se­kwen­cji na grun­cie prze­pi­sów RODO.

Konsekwencje naruszenia przepisów RODO

Zgod­nie z RODO w przy­pad­ku naru­sze­nia jego prze­pi­sów admi­ni­stra­tor musi mieć świa­do­mość, że:

  1. każ­da z osób, któ­re dane prze­twa­rza może wnieść skar­gę do orga­nu nadzorczego;
  2. może zostać zaini­cjo­wa­ne postę­po­wa­nie przed sądem powszech­nym prze­ciw­ko niemu;
  3. może zostać na nie­go nało­żo­na admi­ni­stra­cyj­na kara pieniężna.

Skarga do organu nadzorczego

Każ­da oso­ba fizycz­na uzy­ska­ła upraw­nie­nie do wnie­sie­nia skar­gi do orga­nu nad­zor­cze­go, gdy jej zda­niem dane oso­bo­we jej doty­czą­ce prze­twa­rza­ne przez pod­miot naru­sza RODO.

Wnie­sie­nie skar­gi przez oso­bę fizycz­ną może nastą­pić do orga­nu nad­zor­cze­go, gdzie:

  1. posia­da miej­sce swo­je­go zwy­kłe­go pobytu;
  2. posia­da swo­je miej­sce pracy;
  3. gdzie doszło do naruszenia.

Postępowanie sądowe

Każ­da oso­ba fizycz­na jest upraw­nio­na do wsz­czę­cia postę­po­wa­nia przed sądem, jeże­li w jej opi­nii pra­wa przy­słu­gu­ją­ce jej w opar­ciu o prze­pi­sy RODO zosta­ły naruszone.

Postę­po­wa­nie sądo­we wsz­czy­na­ne jest przed sądem wła­ści­wym według sie­dzi­by jed­nost­ki orga­ni­za­cyj­nej, z dzia­łal­no­ścią któ­rej naru­sze­nie praw oso­by nastąpiło.

Postę­po­wa­nie może zostać wsz­czę­te rów­nież przed sąd, w któ­rym oso­ba fizycz­na ma miej­sce zwy­kłe­go poby­tu, chy­ba że pod­miot prze­ciw­ko któ­re­mu postę­po­wa­nie zosta­ło wsz­czę­te jest orga­nem publicz­nym wyko­nu­ją­cym swe upraw­nie­nia publiczne.

Prawo do odszkodowania 

Oso­ba fizycz­na, któ­ra ponio­sła szko­dę bądź krzyw­dę w wyni­ku naru­sze­nia prze­pi­sów RODO jest upraw­nio­na do żąda­nia odszko­do­wa­nia za ponie­sio­ną szkodę. 

Odszko­do­wa­nie to moż­na żądać zarów­no od admi­ni­stra­to­ra, jak rów­nież od pod­mio­tu przetwarzającego.

Pod­miot nie będzie jed­nak pono­sił odpo­wie­dzial­no­ści, jeże­li udo­wod­ni, iż nie pono­si winy za zda­rze­nie, któ­re dopro­wa­dzi­ło do powsta­nia szko­dy (krzyw­dy).

W przy­pad­ku wie­lo­ści pod­mio­tów uczest­ni­czą­cych w prze­twa­rza­niu danych oso­bo­wych, pono­szą oni odpo­wie­dzial­ność solidarną.

Administracyjne kary pieniężne

W przy­pad­ku naru­sze­nia przez admi­ni­stra­to­ra bądź pod­miot prze­twa­rza­ją­cy prze­pi­sów RODO, organ nad­zo­ru jest upraw­nio­ny do nało­że­nia na nie­go admi­ni­stra­cyj­nej kary pieniężnej. 

Z zało­żeń roz­po­rzą­dze­nia wyni­ka, iż kary te win­ny być sku­tecz­ne, pro­por­cjo­nal­ne i odstra­sza­ją­ce. Przy ich nakła­da­niu organ bie­rze pod uwa­gę m. in.:

  1. cha­rak­ter naruszenia;
  2. czas trwa­nia naruszenia;
  3. wagę naru­sze­nia;
  4. zakres i cel przetwarzania;
  5. licz­bę poszko­do­wa­nych osób;
  6. roz­miar ponie­sio­nej szkody;
  7. umyśl­ność bądź nie­umyśl­ność działania;
  8. dzia­ła­nia pod­ję­te przez pod­miot celem zmi­ni­ma­li­zo­wa­nia szkody;
  9. sto­pień odpo­wie­dzial­no­ści pod­mio­tu za powsta­nie naruszenia;
  10. wcze­śniej­sze naru­sze­nia ze stro­ny podmiotu;
  11. współ­pra­cę z organem;
  12. kate­go­rię danych osobowych;
  13. spo­sób dowie­dze­nia się orga­nu o naru­sze­niu (np. zawiadomienie).

Wysokość administracyjnych kar pieniężnych

Organ może nało­żyć karę do 10.000.000 Euro, zaś w przy­pad­ku przed­się­bior­stwa do 2% jego cał­ko­wi­te­go rocz­ne­go świa­to­we­go obro­tu z poprzed­nie­go roku, jeże­li jest kwo­tą wyż­szą, jeże­li naru­sze­nie dotyczy:

  1. art. 8 doty­czą­ce­go wyra­że­nia zgo­dy przez dziec­ko (np. odbiór zgo­dy od dziec­ka nie speł­nia­ją­ce­go wymo­gu wie­ku, np. od 10 ‑lat­ka);
  2. art. 11 doty­czą­ce­go bra­ku moż­li­wo­ści ziden­ty­fi­ko­wa­nia osoby;
  • naru­sze­nia obo­wiąz­ków pod­mio­tu certyfikującego;
  • naru­sze­nia obo­wiąz­ków pod­mio­tu monitorującego.

Organ może nało­żyć admi­ni­stra­cyj­ną karę pie­nięż­ną do 20.000.000 EUR bądź do 4 % wyso­ko­ści cał­ko­wi­te­go świa­to­we­go obro­tu przed­się­bior­stwa za poprzed­ni rok obro­to­wy (sto­su­je się kwo­tę wyż­szą), gdy naru­sze­nie dotyczy:

  1. pod­sta­wo­wych zasad prze­twa­rza­nia, a w tym w zakre­sie uzy­ska­nia zgo­dy na przetwarzanie;
  2. naru­sze­nia praw osób, któ­rych danych doty­czą (np. w zakre­sie obo­wiąz­ku informacyjnego);
  3. prze­ka­zy­wa­nia danych do pań­stwa trze­cie­go lub do orga­ni­za­cji międzynarodowej;
  4. wyni­ka­ją­cych z pra­wa krajowego;
  5. nie­prze­strze­ga­nia naka­zu ogra­ni­cze­nia prze­twa­rza­nia lub zaka­zu prze­pły­wu danych.

Pol­ski usta­wo­daw­ca, dzia­ła­jąc na mocy upo­waż­nie­nia wpro­wa­dzo­ne­go w RODO, zmniej­szył kary admi­ni­stra­cyj­ne, jakie mogą być nało­żo­ne na pod­miot publicz­ny do kwo­ty 100 000 zło­tych, zaś w zakre­sie pań­stwo­wych i samo­rzą­do­wych insty­tu­cji kul­tu­ry kary te zosta­ły obni­żo­ne do 10.000,00 złotych.

Podsumowanie

W przy­pad­ku nie­na­le­ży­te­go wyko­ny­wa­nia przez admi­ni­stra­to­rów bądź pod­mio­ty prze­twa­rza­ją­ce obo­wiąz­ków nało­żo­nych na nie prze­pi­sa­mi RODO muszą one mieć świa­do­mość ponie­sie­nia wyso­kich kon­se­kwen­cji mate­rial­nych swe­go dzia­ła­nia (postę­po­wań zarów­no admi­ni­stra­cyj­nych, jak rów­nież sądowych).

Powrót do spe­cja­li­za­cji — Szko­le­nie RODO

Masz pyta­nia lub wątpliwości?

Zadzwoń

+48 22 489 52 65

Ocena 

Śred­nia oce­na: 5 / 5. Licz­ba gło­sów: 1