Mamy 11 195 opinii naszych Klientów

W serwisie

Indywidualne Porady Prawne

Masz podobny problem?
Opisz nam go i zadaj pytania.
(zadanie pytania do niczego nie zobowiązuje)

Jakie kary grożą za naruszenie przepisów RODO?

Autor: Monika Wycykał • Opublikowane: 18.02.2018

Niewiele aktów prawnych jeszcze przed ich stosowaniem zyskuje miano „legendarnych”, ale tak stało się w odniesieniu do RODO, które już od wielu miesięcy spędza sen z powiek administratorom danych osobowych. Stało się tak przede wszystkim za sprawą sankcji, jakie przewiduje rozporządzenie.

Masz podobny problem? Kliknij tutaj i zadaj pytanie.

W dotychczasowym stanie prawnym istniały przepisy na wypadek naruszeń ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz. 2016 r., poz. 922, z późn. zm. – dalej: u.o.d.o.), np.:

„Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2” – art. 49 ust. 1 u.o.d.o.;
„Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2” – art. 51 ust. 1 u.o.d.o.

Jednak w praktyce regulacje karne nie przyczyniały się do zwiększenia legalności i bezpieczeństwa ochrony danych osobowych. Administratorzy danych osobowych mieli bowiem świadomość, że postępowania karne związane z naruszeniem zasad przetwarzania danych osobowych są wszczynane niezmiernie rzadko, a jeszcze rzadziej kończą się wyrokami skazującymi. Ponadto dotychczasowy Generalny Inspektor Ochrony Danych Osobowych miał stosunkowo niewiele narzędzi prawnych, aby skutecznie wpłynąć na sposób funkcjonowania systemu ochrony danych u poszczególnych administratorów.

W związku z nieefektywnością sankcji prawodawca unijny przyjął inną koncepcję: na administratorów danych osobowych i podmioty przetwarzające, którzy nie przestrzegają RODO, od 25 maja 2018 r. będzie można nakładać kary pieniężne, nieraz w znacznej wysokości. Konieczność zapłaty kary przemawia bowiem znacznie bardziej do wyobraźni niż wizja ewentualnego wszczęcia postępowania karnego.

Przy określaniu wysokości kary pieniężnej za naruszenie przepisów RODO Prezes Urzędu Ochrony Danych Osobowych będzie musiał wziąć pod uwagę:

a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

b) umyślny lub nieumyślny charakter naruszenia;

c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 RODO i art. 32 RODO;

e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

g) kategorie danych osobowych, których dotyczyło naruszenie;

h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 RODO – przestrzeganie tych środków;

j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO; oraz

k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Jeżeli administrator lub podmiot przetwarzający naruszy umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów RODO, całkowita wysokość administracyjnej kary pieniężnej nie będzie mogła przekroczyć wysokości kary za najpoważniejsze naruszenie (art. 83 ust. 3 RODO).

W rozporządzeniu zostały wskazane 2 progi kar pieniężnych:

w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego;
w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Maksymalny wymiar kary zależy od tego, który przepis RODO został naruszony przez administratora danych osobowych lub podmiot przetwarzający.

Kary w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, grożą za naruszenie następujący przepisów:

art. 8 RODO – naruszenie warunków wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego,
art. 11 RODO – naruszenie zasad przetwarzania niewymagającego identyfikacji,
art. 25 RODO – naruszenie zasad privacy by design lub privacy by default,
art. 26 RODO – naruszenie obowiązków współadministratorów,
art. 27 RODO – naruszenie obowiązku wyznaczenia przedstawiciela w przypadku administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii Europejskiej,
art. 28 RODO – naruszenie obowiązków związanych z powierzeniem przetwarzania danych osobowych,
art. 29 RODO – naruszenie obowiązku przetwarzania z upoważnienia administratora danych osobowych lub podmiotu przetwarzającego,
art. 30 RODO – naruszenie obowiązku prowadzenia rejestru czynności przetwarzania danych,
art. 31 RODO – naruszenie obowiązku współpracy z Prezesem Urzędu Ochrony Danych Osobowych,
art. 32 RODO – naruszenie zasad bezpieczeństwa przetwarzania danych osobowych,
art. 33 RODO – naruszenie obowiązku zgłaszania naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych,
art. 34 RODO – naruszenie obowiązku powiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych,
art. 35 RODO – naruszenie obowiązku przeprowadzenia oceny skutków dla ochrony danych,
art. 36 RODO – naruszenie obowiązku przeprowadzenia uprzednich konsultacji z Prezesem Urzędu Ochrony Danych Osobowych,
art. 37 RODO – naruszenie obowiązku wyznaczenia inspektora ochrony danych,
art. 38 RODO – naruszenie statusu inspektora ochrony danych,
art. 39 RODO – naruszenie przepisów dotyczących zadań inspektora ochrony danych,
art. 41 ust. 4 RODO – naruszenie obowiązków podmiotu monitorującego w razie naruszenia Kodeksu postępowania przez administratora danych osobowych lub podmiot przetwarzający,
art. 42 RODO –naruszenie obowiązków związanych z certyfikacją,
art. 43 RODO – naruszenie obowiązków związanych z certyfikacją.

Kary w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, grożą za naruszenie następujący przepisów:

art. 5 RODO – naruszenie zasad przetwarzania danych osobowych,
art. 6 RODO – naruszenie zasad przetwarzania danych zwykłych na wymienionej podstawie prawnej,
art. 7 RODO – naruszenie zasad wyrażania zgody na przetwarzanie danych osobowych,
art. 9 RODO – naruszenie zasad przetwarzania danych szczególnych (wrażliwych) na wymienionej podstawie prawnej,
art. 12 RODO – naruszenie zasad przejrzystego informowania, przejrzystego komunikowania i sposobu wykonywania praw przez osobę, której dane dotyczą,
art. 13 RODO – naruszenie obowiązków informacyjnych wobec osób, których dane dotyczą,
art. 14 RODO – naruszenie obowiązków informacyjnych wobec osób, których dane zostały zebrane nie bezpośrednio od tych osób,
art. 15 RODO – naruszenie prawa dostępu do treści danych osobowych,
art. 16 RODO – naruszenie prawa do sprostowania danych osobowych,
art. 17 RODO – naruszenie prawa do usunięcia danych (prawa do bycia zapomnianym),
art. 18 RODO – naruszenie prawa do ograniczenia przetwarzania,
art. 19 RODO – naruszenie obowiązku powiadomienia o sprostowaniu lub usunięciu danych osobowych albo o ograniczeniu przetwarzania,
art. 20 RODO – naruszenie prawa do przenoszenia danych osobowych,
art. 21 RODO – naruszenie prawa do sprzeciwu,
art. 22 RODO – naruszenie zasad dotyczących zautomatyzowanego podejmowania decyzji, w tym profilowania,
art. 44 RODO – naruszenie ogólnych zasad w przedmiocie przekazywania danych osobowych do państwa trzeciego,
art. 45 RODO – naruszenie zasad przekazywania danych osobowych do państwa trzeciego na podstawie decyzji stwierdzającej odpowiedni stopień ochrony,
art. 46 RODO – naruszenie zasad przekazywania danych do państwa trzeciego z zastrzeżeniem odpowiednich zabezpieczeń,
art. 47 RODO – naruszenie zasad przekazywania danych osobowych do państwa trzeciego na podstawie wiążących reguł korporacyjnych,
art. 48 RODO – naruszenie zakazu przekazywania lub ujawniania danych osobowych do państwa trzeciego, w przypadku, gdy jest to niedozwolone prawem Unii Europejskiej,
art. 49 RODO – naruszenie zasad przekazywania danych osobowych do państwa trzeciego w szczególnych sytuacjach,
art. 83 ust. 5 lit. e RODO – naruszenie obowiązku zapewnienia Prezesowi Urzędu Ochrony Danych Osobowych dostępu w celu wykonania uprawnień z art. 58 ust. 1 RODO,
art. 83 ust. 5 lit. e RODO – naruszenie nakazu, tymczasowego lub ostatecznego ograniczenia przewarzania lub zawieszenia przepływu danych osobowych, nałożonego orzeczeniem rzez Prezesa Urzędu Ochrony Danych Osobowych,
art. 85-91 RODO – naruszenia obowiązków wynikających z prawa krajowego.

———

Jak wdrożyć RODO? Wytyczne na potrzeby wdrożenia systemu ochrony danych osobowych

Stan prawny obowiązujący na dzień 18.02.2018

Indywidualne Porady Prawne

Masz podobny problem?
Opisz nam go i zadaj pytania.
(zadanie pytania do niczego nie zobowiązuje)

Komentarze (0):

Dodaj komentarz [+]

Uwaga!
Szanowni Państwo!
Nasi prawnicy nie odpowiadają na pytania zadawane w formie komentarza pod tekstem. Jeśli chcą Państwo powierzyć swój problem naszym prawnikom, prosimy kliknąć tutaj >>

»Podobne materiały

RODO – rewolucyjne zmiany w ochronie danych osobowych

Co to jest RODO i czy trzeba się bać? Od jakiegoś czasu w mediach pojawia się tajemniczo brzmiące słowo „RODO”. Niewiele osób zdaje sobie sprawę, że sprawa RODO to nie kolejna ciekawostka w środowisku prawników, lecz prawdziwa rewolucja, która dotknie setki tysięcy przedsiębiorstw w cał

Jak wdrożyć RODO?

Od 25 maja 2018 r. będzie stosowane rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

Kto jest kim w systemie RODO?

W systemie ochrony danych osobowych występuje wiele podmiotów, które wykonują różne zadania i mają różne obowiązki nałożone przez prawodawcę unijnego w RODO. W związku z powyższym pozostaje rzeczą niezwykle istotną, aby administrator danych wiedział o kręgu podmiotowym oraz jeszcze przed dniem

Rodzaje czynności przetwarzania danych osobowych na gruncie RODO

Prawodawca unijny zawarł w art. 4 pkt 2 RODO definicję przetwarzania danych osobowych: „»Przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalan

Definicja i rodzaje danych osobowych w RODO

Najważniejszym pojęciem pojawiającym się w RODO jest oczywiście pojęcie „danych osobowych” — ich ochrona stanowi istotę przyjętego rozporządzenia. Z uwagi na brak katalogu podmiotów, które mogą być uznane za administratorów danych osobowych lub podmioty przetwarzające dane osobowe,

Inspektor ochrony danych

Kim jest inspektor danych osobowych w świetle RODO? W ustawie o ochronie danych z 1997 r., wdrażającej unijną dyrektywę 95/46/WE, występuje podmiot zwany „administratorem bezpieczeństwa informacji”, którego może powołać administrator danych osobowych dla zapewnienia lepszego pozio

Zapytaj prawnika »

Porad przez Internet udzielają
prawnicy z dużym doświadczeniem:

Zapytaj prawnika

Dodaję kolejny plik +

WAŻNE 🡆 Akceptuję Regulaminem świadczenia usług i zapoznałem się z informacjami o danych osobowych.

WAŻNE 🡆 Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia i numeru telefonu, które podałem/podałam w tym formularzu, przez „Lexine” Gawek i Kielar Spółkę jawną, z siedzibą przy ul. Witkowickiej 82, 31-242 Kraków, będącą administratorem moich danych osobowych — w celu otrzymywania sms-ów związanych z realizacją usługi.

Zgadzam się na przesyłanie informacji handlowych przez administratora na podany e-mail zgodnie z ustawą z 18.07.02 r. o świadczeniu usług drogą elektroniczną (t. j. Dz. U. 2017 poz. 1219, z późn. zm.).

Zadanie pytania do niczego nie zobowiązuje!
Wycenę wyślemy do 1 godziny

Najnowsze pytania w dziale

Przetwarzanie danych osobowych w postaci głosu Czy urząd, szkoła lub pracodawca ma prawo mierzyć temperaturę ciała w związku z koronawirusem? Upublicznienie protokołu Państwowej Inspekcji Pracy z kontroli firmy Kontrola w jednostce budżetowej a przepisy RODO Przekazywanie danych klientów firmom bez ich zgody Nawiązywanie kontaktów biznesowych drogą elektroniczną a RODO Czy sanatorium ma prawo monitorować jadalnię i salę ćwiczeń? Robienie żartów przez telefon a odpowiedzialność prawna Przetwarzanie danych kontaktowych (telefon, email) w sprawach urzędowych - RODO Wysłanie listu służbowego pod zły adres a RODO

Szukamy ambitnego prawnika »