kary pieniężne nakładane przez PUODO

Administracyjne kary pieniężne nakładane przez Prezesa UODO

Sankcja za naruszenie RODO

Z chwilą wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: RODO) do katalogu sankcji za naruszenie ochrony danych osobowych zostały wprowadzone administracyjne kary pieniężne. Kary te nakładane są przez niezależny organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO). Od początku obowiązywania przepisów RODO dot. kar pieniężnych, wywoływały one społeczne poruszenie, w szczególności z uwagi na ich maksymalną wysokość sięgającą milionów EURO (kary mogą sięgnąć nawet 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa) oraz kryteria wpływające na ich zróżnicowanie w zależności od rodzaju naruszeń.

Zgodnie z art. 83 RODO, administracyjne kary pieniężne nakładane są, zależnie od okoliczności każdego indywidualnego przypadku, zawsze jednak powinny być skuteczne, proporcjonalne i odstraszające. Przy dokonywaniu oceny co do zasadności i wysokości kary, Prezes UODO powinien wziąć pod uwagę aż 11 różnych czynników, m.in. charakter, wagę i czas trwania naruszenia, umyślny lub nieumyślny charakter naruszenia, stopień odpowiedzialności administratora lub podmiotu przetwarzającego, stopień współpracy z Prezesem UODO oraz kategorie danych osobowych, których dotyczyło naruszenie. Nie bez znaczenia jest też to czy administrator bądź podmiot przetwarzający podjął działania w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą oraz sposób, w jaki Prezes UODO dowiedział się o naruszeniu.

Dotkliwe kary w praktyce

Od dnia obowiązywania przepisów RODO tj. od 25 maja 2018 r., polski organ nadzorczy nałożył jedynie kilkanaście kar pieniężnych na podmioty, które w związku z prowadzoną działalnością gospodarczą przetwarzały dane osobowe. Jednak to nie liczba nałożonych kar, a ich wysokość wzbudza najwięcej emocji. Przykładem może być pierwsza kara nałożona po 10 miesiącach od wejścia w życie RODO za naruszenie zasad przetwarzania danych osobowych, która wyniosła 943 tysiące złotych. Powyższą karę Prezes UODO wymierzył globalnemu dostawcy informacji gospodarczych i biznesowych – spółce Bisnode Polska sp. z o.o. za niepoinformowanie blisko 6,6 miliona osób o przetwarzaniu ich danych osobowych. Spółka gromadziła dane osobowe osób fizycznych pobierane z takich rejestrów publicznych jak KRS lub CEIDG. Pomimo tego, że zgromadziła dane ponad 6 milionów osób, obowiązek informacyjny spełniła jedynie wobec 90 tysięcy osób, których adres e-mail posiadała w bazie. W ocenie Prezesa UODO naruszenie miało charakter umyślny, z racji tego, że spółka mogła spełnić obowiązek informacyjny względem osób, których dane przetwarza i miała świadomość istnienia takiego obowiązku. Na wysokość wymierzonej kary wpłynąć miał także fakt, iż Spółka nie podjęła żadnych działań, które zmierzałyby do usunięcia naruszenia. Co ciekawe, Spółka nie zgadzając się z decyzją Prezesa UODO podnosiła, iż prawidłowość przetwarzania danych przez Spółkę kontrolowana była w dwóch innych krajach i nie dopatrzono się żadnych uchybień.

Kolejny przykład surowo wymierzonej kary można znaleźć także w jednej z najnowszych decyzji Prezesa UODO z dnia 3 grudnia 2020 r., w której to nałożona na spółkę Virgin Mobile Polska Sp. z o.o. kara pieniężna wynosiła 1,9 mln zł. Prezes UODO uznał, że Spółka dopuściła się naruszenia zasad poufności danych i rozliczalności, m.in. poprzez brak wdrożenia odpowiednich środków technicznych i organizacyjnych, które zapewniałyby bezpieczeństwo przetwarzanych danych. Zdaniem Prezesa UODO Spółka nie dopełniła obowiązku przeprowadzania regularnych i kompleksowych testów weryfikujących skuteczność stosowanych zabezpieczeń. Brak weryfikacji odpowiednich parametrów doprowadziła do pozyskania danych osobowych przez osobę nieuprawnioną. Biorąc pod uwagę rodzaj ujawnionych danych osobowych, a także skalę i wagę naruszenia, Prezes UODO uznał, że naruszenie miało charakter poważny i spowodowało wysokie ryzyko negatywnych skutków ochrony prawnej dla dużej liczby osób, tj. ryzyko kradzieży tożsamości.

 

Pozostałe kary pieniężne nałożone w drodze decyzji przez Prezesa UODO za naruszenie przepisów RODO także stanowią niemałe sumy pieniężne, m.in.:

Wnioski

Analizując wydane przez Prezesa UODO decyzje nakładające kary pieniężne należy uznać, iż najczęściej naruszanymi przepisami RODO były te dotyczące zasad zgodności z prawem, rzetelności, przejrzystości, integralności i poufności, a także współpracy z organem nadzorczym w toku kontroli. Powtarzającym się błędem popełnianym przez administratorów było także niespełnienie obowiązku informacyjnego wobec podmiotów danych czy niewdrożenie odpowiednich środków technicznych i organizacyjnych.

Wniosek, jaki można wyciągnąć z błędów popełnionych przez ukarane finansowo podmioty to przede wszystkim – nie należy bagatelizować obowiązków spoczywających na administratorach i podmiotach przetwarzających na gruncie RODO, a jeżeli mimo wszystko dojdzie do naruszenia ochrony danych osobowych należy postawić na dobrą współpracę z Prezesem UODO i podjąć wszelkie środki mające na celu usunięcie skutków naruszenia.

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Julia Wawrzyńczak

Julia Wawrzyńczak
Aplikant
julia.wawrzynczak@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej