Eksperci w dziedzinie ochrony danych osobowych

TAGI:

Udostępnij publikację:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Ogólne warunki nakładania administracyjnych kar pieniężnych

Administracyjna kara pieniężna, nakładana przez organ nadzorczy na podstawie GDPR, musi być w każdym indywidualnym przypadku: skuteczna, proporcjonalna i odstraszająca. Kara która nie spełni tych, przewidzianych w art. 83 ust. 1, wymogów, będzie sprzeczna z rozporządzeniem.

Nakładanie administracyjnych kar pieniężnych jest jednym z uprawnień organu nadzorczego. Stosowane są one samodzielnie, lub wspólnie z pozostałymi środkami naprawczymi, zależnie od okoliczności każdego indywidualnego przypadku.

Wykonywanie prawa do nakładania kar przez organ nadzorczy, podlega kontroli sądowej.

Czynniki wpływające na wysokość kary

Organ nadzorczy, decydując czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, musi wziąć pod uwagę:

  1.  charakter, wagę i czas trwania naruszenia, przy uwzględnieniu:
    a) charakteru, zakresu lub celu danego przetwarzania;
    b) liczby poszkodowanych osób, których dane dotyczą; oraz
    c) rozmiaru poniesionej przez nie szkody;
  2. umyślny lub nieumyślny charakter naruszenia;
  3. działania podjęte przez administratora lub procesora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  4. stopień odpowiedzialności administratora lub procesora, z uwzględnieniem środków technicznych i organizacyjnych, mających zapewnić:
    a) ochronę danych w fazie projektowania oraz domyślną ochronę danych; i
    b) bezpieczeństwo przetwarzania danych;
  5. wszelkie wcześniejsze naruszenia ze strony administratora lub procesora;
  6. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  7. kategorie danych osobowych, których dotyczyło naruszenie;
  8. sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub procesor zgłosili naruszenie;
  9. jeżeli wobec administratora lub procesora, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki naprawcze – czy ich przestrzegał;
  10. stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji; oraz
  11. wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak:
    a) korzyści finansowe osiągnięte w związku z naruszeniem; lub
    b) uniknięte straty.

Ponadto, motyw 152 wskazuje, że jeżeli administracyjna kara pieniężna jest nakładana na osobę niebędącą przedsiębiorstwem, organ nadzorczy, ustalając właściwą wysokość kary pieniężnej, powinien wziąć pod uwagę:

  1.  ogólny poziom dochodów w państwie; oraz
  2. sytuację ekonomiczną tej osoby.

Całkowita wysokość administracyjnej kary pieniężnej, nie może przekroczyć wysokości kary za najpoważniejsze naruszenie.

Rozporządzenie GDPR, w art. 83 ust. 3, wprowadza karę maksymalną, gdy administrator lub procesor narusza kilka przepisów rozporządzenia GDPR jednocześnie, w ramach tych samych lub powiązanych operacji przetwarzania.  W takiej sytuacji, całkowita wysokość administracyjnej kary pieniężnej, nie przekracza wysokości kary za najpoważniejsze z dokonanych naruszeń.

Rozporządzenie wskazuje wyłączne maksymalne wysokości kar. Zasada autonomii proceduralnej sprawia, że to państwa członkowskie określą ich ostateczne wysokości.

Motyw 150 GDPR wskazuje, iż termin „przedsiębiorstwo”, stosowany jest w rozumieniu Traktatu o Funkcjonowaniu UE.

Administracyjne kary pieniężne

Administracyjne kary pieniężne za lekkie naruszenia rozporządzenia GDPR

Administracyjne kary pieniężne za lekkie naruszenia rozporządzenia GDPR, wynosić mogą do 10 000 000 EUR. Ponadto, w przypadku przedsiębiorstwa, mogą zostać nałożone w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Przy czym, to kwota wyższa, jest kwotą maksymalnej kary dla przedsiębiorstwa.

Jest ona wymierzana, za naruszenia przepisów dotyczących kwestii:

  1. obowiązków administratora i procesora, odnośnie:
    a) warunków wyrażenia zgody przez dziecko;
    b) dokonywania przetwarzania niewymagającego identyfikacji;
    c) uwzględniania ochrony danych w fazie projektowania oraz zapewnienia domyślnej ochrona danych;
    d) dokonania wspólnych uzgodnień ze współadministratorem;
    e) wyznaczenia swojego przedstawiciela w Unii;
    f) spełniania odpowiednich warunków, pryz zawieraniu umów powierzenia przetwarzania;
    g) zapewniania dokonywania przetwarzania wyłącznie na polecenie administratora;
    h) rejestrowania czynności przetwarzania;
    i) współpracy z organem nadzorczym;
    j) wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa przetwarzania danych osobowych;
    k) zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu;
    l) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych;
    m) dokonania oceny skutków planowanych operacji przetwarzania, dla ochrony danych osobowych;
    n) dokonania uprzednich konsultacji z organem nadzorczym;
    o) wyznaczenia inspektora ochrony danych;
    p) respektowania statusu inspektora ochrony danych;
    q) przekazania organowi nadzorczemu wszelkich informacji i wszelkiego dostępu do swoich czynności przetwarzania, niezbędnych do przeprowadzenia procedury certyfikacji;
    r) przestrzegania warunków certyfikacji;
  2. obowiązków podmiotu certyfikującego;
  3. obowiązku podmiotu monitorującego, do podejmowania odpowiednich działań w przypadku naruszenia kodeksu przez administratora lub procesora.

Administracyjne kary pieniężne za ciężkie naruszenia rozporządzenia GDPR

Administracyjne kary pieniężne za ciężkie naruszenia rozporządzenia GDPR, wynosić mogą do 20 000 000 EUR. Ponadto, w przypadku przedsiębiorstwa, mogą zostać nałożone w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Przy czym, to kwota wyższa, jest kwotą maksymalnej kary dla przedsiębiorstwa.

Jest ona wymierzana, za naruszenia przepisów dotyczących kwestii:

  1. podstawowych zasad przetwarzania, w tym zajścia:
    a) naruszenia ogólnych zasad, dotyczących przetwarzania danych osobowych;
    b) przetwarzania danych osobowych, bez spełnienia jednego z warunków zgodności przetwarzania z prawem;
    c) przetwarzania danych osobowych, z powołaniem się na zgodę osoby, której dane dotyczą, w sytuacji gdy zgoda ta została uzyskana w sposób niepoprawny;
    d) naruszenia zasad przetwarzania, szczególnych kategorii danych osobowych;
  2. praw osób, których dane dotyczą:
    a) prawa do wypełnienia wobec niej, obowiązku informacyjnego
    b) prawa do indywidualnej kontroli
    c) prawa dostępu
    d) prawa ograniczenia przetwarzania
    e) prawa do bycia powiadomionym o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania;
    f) prawa do sprostowania i uzupełnienia danych
    g) prawa do usunięcia danych
    h) prawa do przenoszenia danych; lub
    i) prawa sprzeciwu
    j) prawa do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu
  3. przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;
  4. wszelkich obowiązków wynikających z prawa państwa członkowskiego, przyjętego na podstawie upoważnień rozporządzenia GDPR, dotyczących szczególnych sytuacji związanych z przetwarzaniem;
  5. nieprzestrzegania nakazu, orzeczonego przez organ nadzorczy, dotyczącego:
    a) tymczasowego lub ostatecznego ograniczenia przetwarzania; lub
    b) zawieszenia przepływu danych.
  6. niezapewnienia dostępu organowi nadzorczemu, skutkujące naruszeniem jego uprawnień w zakresie prowadzonych postępowań
  7. nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie jego uprawnień naprawczych.

Nakładanie administracyjnych kar pieniężnych na organy państwa i podmioty publiczne

RODO stanowi, że państwo może określić, czy i w jakim zakresie administracyjne kary pieniężne, można nakładać na jego organy i podmioty publiczne. Zgodnie z art. 102 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 100 ze zm.), kary nałożone na te podmioty nie mogą przekroczyć kwoty 100 000 złotych.

Sankcje stanowione przez państwo członkowskie

RODO stanowi, że państwo może przyjąć przepisy określające sankcje karne za naruszenia rozporządzenia GDPR. W nowej ustawie o ochronie danych osobowych wprowadzono takie przepisy. Ten kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeżeli naruszenie dotyczy danych wrażliwych Dodatkowo kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Tej samej karze podlega kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.

NEWSLETTER

Zapisz się na newsletter gdpr.pl, aby otrzymywać najświeższe informacje, opinie i rozstrzygnięcia ze świata RODO.

SKONTAKTUJ SIĘ Z NAMI

Jeśli jesteś zainteresowany naszą ofertą lub realizacją swojego projektu, napisz do nas wiadomość!

© Copyright 2021 Omni Modo. Wszelkie prawa zastrzeżone | Wykonanie: Agencja Portal

Michał Rygiel

Prawnik, Specjalista ds. Ochrony Danych Osobowych

Adwokat. Ochroną danych osobowych i prawem nowych technologii zajmuje się od kilku lat.  Doświadczenie zawodowe zdobywał w firmach z branży IT oraz zajmujących się konsultingiem i doradztwem prawym w tym zakresie. Posiada również doświadczenie w obsłudze korporacyjnej w zakresie compliance ze szczególnym uwzględnieniem zagadnień ochrony danych osobowych oraz ładu korporacyjnego.

Marta Krawczyk

Prawnik, Specjalista ds. Ochrony Danych Osobowych

Prawnik, absolwentka Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Jana Pawła II w Lublinie. Wiedzę pogłębiała m.in. podczas studiów podyplomowych Wykonywania funkcji Inspektora Ochrony Danych (INP PAN w Warszawie).

Od lat zajmuje się sprawami z zakresu prawa nowych technologii w szczególności prawem ochrony danych osobowych. Doświadczenie zawodowe zdobywała m.in. w Urzędzie Ochrony Danych Osobowych oraz Parlamencie Europejskim.

W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży produkcyjnej oraz podmiotów publicznych. Ponadto, wspomaga IOD w pełnieniu funkcji. W obszarze jej szczególnych zainteresowań leży tematyka ochrony danych przy przetwarzaniu transgranicznym oraz transferu danych do państwa trzecich.

Karol Kozieł

Radca prawny, Specjalista ds. Ochrony Danych Osobowych

Radca prawny wpisany na listę radców prawnych prowadzoną przez Radę Okręgowej Izby Radców Prawnych w Kielcach, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie. Wiedzę  pogłębiał podczas studiów podyplomowych Prawo Nowoczesnych Technologii (INP PAN w Warszawie) oraz Nowoczesne Usługi Biznesowe (UTH w Radomiu). Ukończył programy Summer Law School on Intellectual Property Law oraz Summer Law School on Business Law organizowane przez University of Minho w Bradze.

Specjalizuje się w prawie e-commerce, ochronie konsumentów oraz  prawie ochrony danych osobowych. Doświadczenie zdobywał współtworząc i kierując działem prawnym wiodącego polskiego portalu internetowego z branży turystycznej oraz podczas pracy w kancelarii wyspecjalizowanej w prawie nowych technologii.  Autor publikacji naukowych i popularnonaukowych z zakresu ochrony danych osobowych w tym  „Komentarza do Ustawy z dnia 10 maja 2018 o ochronie danych osobowych” (współautorstwo i redakcja).  Wykładowca Wyższej Szkoły Bankowej w Warszawie.

Martyna Gosz

Adwokatka, Specjalistka ds. Ochrony Danych Osobowych

Adwokatka, absolwentka prawa Wydziale Prawa i Administracji i Ekonomii Uniwersytetu im. A. Mickiewicza w Poznaniu, a także Akademii L. Koźmińskiego w Warszawie na kierunku „Prawo Nowoczesnych Technologii”.
Specjalizuje się w zakresie ochrony danych osobowych, prawie nowych technologii, e-Commerce, a także prawie ubezpieczeń i prawie karnym. Pełniła także funkcję IODO w sektorze finansowym i ubezpieczeniowym. Od czasów studenckich angażuje się w wolontariat prawniczy (inicjatywy pro bono).
W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży motoryzacyjnej i kosmetycznej oraz podmiotów publicznych. Posiada bogate doświadczenie w prowadzeniu całościowych audytów oraz wdrożeń z RODO, a także bieżącym doradztwie w zakresie przetwarzania danych osobowych.

Daniel Niwiński

Prawnik, Specjalista ds. Bezpieczeństwa Informacji

Absolwent SWPS Uniwersytetu Humanistycznospołecznego w Warszawie na kierunku Prawo, Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji (ISO 27001), student wydziału Informatyki w Polsko-Japońskiej Akademii Technik Komputerowych w Warszawie. W swojej pracy zawodowej specjalizuje się w zagadnieniach związanych z bezpieczeństwem informacji, cybersecurity oraz ochroną danych osobowych. Doświadczenie zawodowe zdobywał m.in. w spółce z branży IT, w której zbudował od podstaw dział bezpieczeństwa informacji. Przez lata współprowadził również spółkę z branży handlu zagranicznego, aktywnie wspierając Zarząd zarówno w aspektach biznesowych jak i prawnych. W okresie studiów aktywnie wspierał działalność uczelni jako członek studenckiej poradni prawnej. Od 2019 roku współpracuje z Omni Modo w zakresie audytów bezpieczeństwa informacji, audytów ochrony danych osobowych oraz opracowywania i wdrażania procedur bezpieczeństwa.

Arkadiusz Rzycki

Project Manager

Absolwent Akademii Leona Koźmińskiego na kierunku „Zarządzanie procesowe”. Audytor wiodący ISO/IEC 27001, audytor wewnętrzny ISO 9001. Specjalizuje się w zagadnieniach dotyczących bezpieczeństwa informacji, wymogów techniczno-organizacyjnych wynikających z przepisów RODO w zakresie bezpieczeństwa oraz przetwarzania danych osobowych, analizy ryzyka, zarządzania procesami i projektami. Doświadczenie zawodowe zdobywał w międzynarodowej instytucji finansowej. Od 2016 roku związany z Omni Modo.  Posiada długoletnie doświadczenie w zakresie zarządzania, realizacji projektów (w tym zapewniających zgodność z obowiązującymi przepisami prawa).  Przeprowadza audyty, szkolenia, opracowuje i wdraża dokumentację niezbędną do osiągnięcia celów realizowanych procesów, zgodności z wymogami organizacji, wdrażanych systemów zarządzania, jak również przepisów prawa.

Wojciech Habrowski

Radca prawny, Specjalista ds. Ochrony Danych Osobowych

Radca prawny, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie.

Zajmuje się sprawami z zakresu prawa ochrony danych osobowych, szeroko pojętego prawa cywilnego, w szczególności prawa zobowiązań, prawa gospodarczego oraz prawa pracy. Doświadczenie zawodowe zdobywał w renomowanych kancelariach radców prawnych, a także w kancelarii notarialnej.

W Omni Modo, do jego obowiązków należy bieżące doradztwo na rzecz klientów, wsparcie IOD, przeprowadzanie audytów zgodności z RODO oraz szkoleń. Odpowiada m.in. za obsługę klientów z branży energetycznej .