Julia Wawrzyńczak

Julia Wawrzyńczak
Aplikant

Administracyjne kary pieniężne nakładane przez Prezesa UODO

Dodano: styczeń 20, 2021 Kategoria: Ogólne rozporządzenie o ochronie danych osobowych (RODO) Autor: Julia Wawrzyńczak

Sankcja za naruszenie RODO

Z chwilą wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: RODO) do katalogu sankcji za naruszenie ochrony danych osobowych zostały wprowadzone administracyjne kary pieniężne. Kary te nakładane są przez niezależny organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO). Od początku obowiązywania przepisów RODO dot. kar pieniężnych, wywoływały one społeczne poruszenie, w szczególności z uwagi na ich maksymalną wysokość sięgającą milionów EURO (kary mogą sięgnąć nawet 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa) oraz kryteria wpływające na ich zróżnicowanie w zależności od rodzaju naruszeń.

Zgodnie z art. 83 RODO, administracyjne kary pieniężne nakładane są, zależnie od okoliczności każdego indywidualnego przypadku, zawsze jednak powinny być skuteczne, proporcjonalne i odstraszające. Przy dokonywaniu oceny co do zasadności i wysokości kary, Prezes UODO powinien wziąć pod uwagę aż 11 różnych czynników, m.in. charakter, wagę i czas trwania naruszenia, umyślny lub nieumyślny charakter naruszenia, stopień odpowiedzialności administratora lub podmiotu przetwarzającego, stopień współpracy z Prezesem UODO oraz kategorie danych osobowych, których dotyczyło naruszenie. Nie bez znaczenia jest też to czy administrator bądź podmiot przetwarzający podjął działania w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą oraz sposób, w jaki Prezes UODO dowiedział się o naruszeniu.

Dotkliwe kary w praktyce

Od dnia obowiązywania przepisów RODO tj. od 25 maja 2018 r., polski organ nadzorczy nałożył jedynie kilkanaście kar pieniężnych na podmioty, które w związku z prowadzoną działalnością gospodarczą przetwarzały dane osobowe. Jednak to nie liczba nałożonych kar, a ich wysokość wzbudza najwięcej emocji. Przykładem może być pierwsza kara nałożona po 10 miesiącach od wejścia w życie RODO za naruszenie zasad przetwarzania danych osobowych, która wyniosła 943 tysiące złotych. Powyższą karę Prezes UODO wymierzył globalnemu dostawcy informacji gospodarczych i biznesowych – spółce Bisnode Polska sp. z o.o. za niepoinformowanie blisko 6,6 miliona osób o przetwarzaniu ich danych osobowych. Spółka gromadziła dane osobowe osób fizycznych pobierane z takich rejestrów publicznych jak KRS lub CEIDG. Pomimo tego, że zgromadziła dane ponad 6 milionów osób, obowiązek informacyjny spełniła jedynie wobec 90 tysięcy osób, których adres e-mail posiadała w bazie. W ocenie Prezesa UODO naruszenie miało charakter umyślny, z racji tego, że spółka mogła spełnić obowiązek informacyjny względem osób, których dane przetwarza i miała świadomość istnienia takiego obowiązku. Na wysokość wymierzonej kary wpłynąć miał także fakt, iż Spółka nie podjęła żadnych działań, które zmierzałyby do usunięcia naruszenia. Co ciekawe, Spółka nie zgadzając się z decyzją Prezesa UODO podnosiła, iż prawidłowość przetwarzania danych przez Spółkę kontrolowana była w dwóch innych krajach i nie dopatrzono się żadnych uchybień.

Kolejny przykład surowo wymierzonej kary można znaleźć także w jednej z najnowszych decyzji Prezesa UODO z dnia 3 grudnia 2020 r., w której to nałożona na spółkę Virgin Mobile Polska Sp. z o.o. kara pieniężna wynosiła 1,9 mln zł. Prezes UODO uznał, że Spółka dopuściła się naruszenia zasad poufności danych i rozliczalności, m.in. poprzez brak wdrożenia odpowiednich środków technicznych i organizacyjnych, które zapewniałyby bezpieczeństwo przetwarzanych danych. Zdaniem Prezesa UODO Spółka nie dopełniła obowiązku przeprowadzania regularnych i kompleksowych testów weryfikujących skuteczność stosowanych zabezpieczeń. Brak weryfikacji odpowiednich parametrów doprowadziła do pozyskania danych osobowych przez osobę nieuprawnioną. Biorąc pod uwagę rodzaj ujawnionych danych osobowych, a także skalę i wagę naruszenia, Prezes UODO uznał, że naruszenie miało charakter poważny i spowodowało wysokie ryzyko negatywnych skutków ochrony prawnej dla dużej liczby osób, tj. ryzyko kradzieży tożsamości.

 

Pozostałe kary pieniężne nałożone w drodze decyzji przez Prezesa UODO za naruszenie przepisów RODO także stanowią niemałe sumy pieniężne, m.in.:

  • Morele.net sp. z o.o. – 2 830 410 zł,
  • ID Finance Poland Sp. z o.o. w likwidacji – 1 069 850,00 zł
  • ClickQuickNow Sp. z o.o. – 201 559,50 zł,
  • Główny Geodeta Kraju – 100 000 zł,
  • TUiR WARTA S.A. – 85 588 zł,
  • Dolnośląski Związek Piłki Nożnej – 55 750,50 zł,
  • Szkoła Główna Gospodarstwa Wiejskiego w Warszawie – 50 000 zł,
  • Burmistrz Aleksandrowa Kujawskiego – 40 000 zł,
  • Szkoła Podstawowa nr 2 w Gdańsku – 20 000,00 zł,
  • Vis Consulting Sp. z o.o. w likwidacji – 20 000,00 zł,
  • East Power sp. z o.o. – 15 000 zł.

Wnioski

Analizując wydane przez Prezesa UODO decyzje nakładające kary pieniężne należy uznać, iż najczęściej naruszanymi przepisami RODO były te dotyczące zasad zgodności z prawem, rzetelności, przejrzystości, integralności i poufności, a także współpracy z organem nadzorczym w toku kontroli. Powtarzającym się błędem popełnianym przez administratorów było także niespełnienie obowiązku informacyjnego wobec podmiotów danych czy niewdrożenie odpowiednich środków technicznych i organizacyjnych.

Wniosek, jaki można wyciągnąć z błędów popełnionych przez ukarane finansowo podmioty to przede wszystkim – nie należy bagatelizować obowiązków spoczywających na administratorach i podmiotach przetwarzających na gruncie RODO, a jeżeli mimo wszystko dojdzie do naruszenia ochrony danych osobowych należy postawić na dobrą współpracę z Prezesem UODO i podjąć wszelkie środki mające na celu usunięcie skutków naruszenia.

Post Views: 5 465

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Julia Wawrzyńczak

Julia Wawrzyńczak
Aplikant

2024 © portalodo.com Wszelkie prawa są chronione

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.