Blog Omni Modo

Ogólne warunki nakładania administracyjnych kar pieniężnych


Administracyjna kara pieniężna, nakładana przez organ nadzorczy na podstawie GDPR, musi być w każdym indywidualnym przypadku: skuteczna, proporcjonalna i odstraszająca. Kara która nie spełni tych, przewidzianych w art. 83 ust. 1, wymogów, będzie sprzeczna z rozporządzeniem.

Nakładanie administracyjnych kar pieniężnych jest jednym z uprawnień organu nadzorczego. Stosowane są one samodzielnie, lub wspólnie z pozostałymi środkami naprawczymi, zależnie od okoliczności każdego indywidualnego przypadku.

Wykonywanie prawa do nakładania kar przez organ nadzorczy, podlega kontroli sądowej.

Czynniki wpływające na wysokość kary

Organ nadzorczy, decydując czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, musi wziąć pod uwagę:

  1.  charakter, wagę i czas trwania naruszenia, przy uwzględnieniu:
    a) charakteru, zakresu lub celu danego przetwarzania;
    b) liczby poszkodowanych osób, których dane dotyczą; oraz
    c) rozmiaru poniesionej przez nie szkody;
  2. umyślny lub nieumyślny charakter naruszenia;
  3. działania podjęte przez administratora lub procesora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  4. stopień odpowiedzialności administratora lub procesora, z uwzględnieniem środków technicznych i organizacyjnych, mających zapewnić:
    a) ochronę danych w fazie projektowania oraz domyślną ochronę danych; i
    b) bezpieczeństwo przetwarzania danych;
  5. wszelkie wcześniejsze naruszenia ze strony administratora lub procesora;
  6. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  7. kategorie danych osobowych, których dotyczyło naruszenie;
  8. sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub procesor zgłosili naruszenie;
  9. jeżeli wobec administratora lub procesora, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki naprawcze – czy ich przestrzegał;
  10. stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji; oraz
  11. wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak:
    a) korzyści finansowe osiągnięte w związku z naruszeniem; lub
    b) uniknięte straty.

Ponadto, motyw 152 wskazuje, że jeżeli administracyjna kara pieniężna jest nakładana na osobę niebędącą przedsiębiorstwem, organ nadzorczy, ustalając właściwą wysokość kary pieniężnej, powinien wziąć pod uwagę:

  1.  ogólny poziom dochodów w państwie; oraz
  2. sytuację ekonomiczną tej osoby.

Całkowita wysokość administracyjnej kary pieniężnej, nie może przekroczyć wysokości kary za najpoważniejsze naruszenie.

Rozporządzenie GDPR, w art. 83 ust. 3, wprowadza karę maksymalną, gdy administrator lub procesor narusza kilka przepisów rozporządzenia GDPR jednocześnie, w ramach tych samych lub powiązanych operacji przetwarzania.  W takiej sytuacji, całkowita wysokość administracyjnej kary pieniężnej, nie przekracza wysokości kary za najpoważniejsze z dokonanych naruszeń.

Rozporządzenie wskazuje wyłączne maksymalne wysokości kar. Zasada autonomii proceduralnej sprawia, że to państwa członkowskie określą ich ostateczne wysokości.

Motyw 150 GDPR wskazuje, iż termin „przedsiębiorstwo”, stosowany jest w rozumieniu Traktatu o Funkcjonowaniu UE.

Administracyjne kary pieniężne

Administracyjne kary pieniężne za lekkie naruszenia rozporządzenia GDPR

Administracyjne kary pieniężne za lekkie naruszenia rozporządzenia GDPR, wynosić mogą do 10 000 000 EUR. Ponadto, w przypadku przedsiębiorstwa, mogą zostać nałożone w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Przy czym, to kwota wyższa, jest kwotą maksymalnej kary dla przedsiębiorstwa.

Jest ona wymierzana, za naruszenia przepisów dotyczących kwestii:

  1. obowiązków administratora i procesora, odnośnie:
    a) warunków wyrażenia zgody przez dziecko;
    b) dokonywania przetwarzania niewymagającego identyfikacji;
    c) uwzględniania ochrony danych w fazie projektowania oraz zapewnienia domyślnej ochrona danych;
    d) dokonania wspólnych uzgodnień ze współadministratorem;
    e) wyznaczenia swojego przedstawiciela w Unii;
    f) spełniania odpowiednich warunków, pryz zawieraniu umów powierzenia przetwarzania;
    g) zapewniania dokonywania przetwarzania wyłącznie na polecenie administratora;
    h) rejestrowania czynności przetwarzania;
    i) współpracy z organem nadzorczym;
    j) wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa przetwarzania danych osobowych;
    k) zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu;
    l) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych;
    m) dokonania oceny skutków planowanych operacji przetwarzania, dla ochrony danych osobowych;
    n) dokonania uprzednich konsultacji z organem nadzorczym;
    o) wyznaczenia inspektora ochrony danych;
    p) respektowania statusu inspektora ochrony danych;
    q) przekazania organowi nadzorczemu wszelkich informacji i wszelkiego dostępu do swoich czynności przetwarzania, niezbędnych do przeprowadzenia procedury certyfikacji;
    r) przestrzegania warunków certyfikacji;
  2. obowiązków podmiotu certyfikującego;
  3. obowiązku podmiotu monitorującego, do podejmowania odpowiednich działań w przypadku naruszenia kodeksu przez administratora lub procesora.

Administracyjne kary pieniężne za ciężkie naruszenia rozporządzenia GDPR

Administracyjne kary pieniężne za ciężkie naruszenia rozporządzenia GDPR, wynosić mogą do 20 000 000 EUR. Ponadto, w przypadku przedsiębiorstwa, mogą zostać nałożone w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Przy czym, to kwota wyższa, jest kwotą maksymalnej kary dla przedsiębiorstwa.

Jest ona wymierzana, za naruszenia przepisów dotyczących kwestii:

  1. podstawowych zasad przetwarzania, w tym zajścia:
    a) naruszenia ogólnych zasad, dotyczących przetwarzania danych osobowych;
    b) przetwarzania danych osobowych, bez spełnienia jednego z warunków zgodności przetwarzania z prawem;
    c) przetwarzania danych osobowych, z powołaniem się na zgodę osoby, której dane dotyczą, w sytuacji gdy zgoda ta została uzyskana w sposób niepoprawny;
    d) naruszenia zasad przetwarzania, szczególnych kategorii danych osobowych;
  2. praw osób, których dane dotyczą:
    a) prawa do wypełnienia wobec niej, obowiązku informacyjnego
    b) prawa do indywidualnej kontroli
    c) prawa dostępu
    d) prawa ograniczenia przetwarzania
    e) prawa do bycia powiadomionym o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania;
    f) prawa do sprostowania i uzupełnienia danych
    g) prawa do usunięcia danych
    h) prawa do przenoszenia danych; lub
    i) prawa sprzeciwu
    j) prawa do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu
  3. przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;
  4. wszelkich obowiązków wynikających z prawa państwa członkowskiego, przyjętego na podstawie upoważnień rozporządzenia GDPR, dotyczących szczególnych sytuacji związanych z przetwarzaniem;
  5. nieprzestrzegania nakazu, orzeczonego przez organ nadzorczy, dotyczącego:
    a) tymczasowego lub ostatecznego ograniczenia przetwarzania; lub
    b) zawieszenia przepływu danych.
  6. niezapewnienia dostępu organowi nadzorczemu, skutkujące naruszeniem jego uprawnień w zakresie prowadzonych postępowań
  7. nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie jego uprawnień naprawczych.

Nakładanie administracyjnych kar pieniężnych na organy państwa i podmioty publiczne

RODO stanowi, że państwo może określić, czy i w jakim zakresie administracyjne kary pieniężne, można nakładać na jego organy i podmioty publiczne. Zgodnie z art. 102 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 100 ze zm.), kary nałożone na te podmioty nie mogą przekroczyć kwoty 100 000 złotych.

Sankcje stanowione przez państwo członkowskie

RODO stanowi, że państwo może przyjąć przepisy określające sankcje karne za naruszenia rozporządzenia GDPR. W nowej ustawie o ochronie danych osobowych wprowadzono takie przepisy. Ten kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeżeli naruszenie dotyczy danych wrażliwych Dodatkowo kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Tej samej karze podlega kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.




« Powrót
15 lat Omni Modo