Monitor Księgowego 8/2018, data dodania: 03.07.2018

Ochrona danych osobowych - kary i sankcje

25 maja 2018 r. weszła w życie nowa ustawa o ochronie danych osobowych (dalej: uodo), która ma na celu uregulowanie kwestii związanych ze stosowaniem w Polsce unijnego rozporządzenia dotyczącego ochrony danych osobowych (RODO). W artykule zwracamy uwagę przedsiębiorców na kary administracyjne wprowadzone uodo za naruszenie przepisów tych ustaw.

Postępowanie w sprawie przestrzegania przepisów o ochronie danych

Kontrola przestrzegania przepisów o ochronie danych osobowych należy do kompetencji Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO). Jest to organ, który od 25 maja 2018 r. został powołany w miejsce Generalnego Inspektora Ochrony Danych Osobowych. Istotne dla polskich podmiotów przetwarzających dane osobowe jest to, że Prezes UODO nakłada kary finansowe po stwierdzeniu naruszenia przepisów ustawy o ochronie danych osobowych. Oczywiście nałożenie to możliwe jest dopiero po przeprowadzeniu przez niego postępowania wobec naruszającego. Postępowanie prowadzi Prezes UODO w każdym przypadku podejrzenia działania wbrew prawu (art. 60 uodo). Postępowanie kończy się wydaniem decyzji Prezesa UODO, a której może zostać nałożona administracyjna kara pieniężna. W decyzji następuje równiez ustalenie wysokości tej kary i podanie przesłanek określenia jej wysokości (art. 72 uodo). Przy określaniu wysokości kary znaczenia ma m.in. charakter, waga i czas trwania naruszenia oraz zakres lub cel danego przetwarzania, liczba poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody, a także umyślność/nieumyślność działania naruszyciela.

Od takiej decyzji naruszyciel może odwołać się do sądu administracyjnego, co wstrzyma jej wykonanie (art. 74 uodo).

Jeśli przemawia za tym interes publiczny, Prezes UODO opublikuje decyzję na swojej stronie internetowej w Biuletynie Informacji Publicznej (art. 73 ust. 1 uodo). Ukarany ma obowiązek uiścić karę w ciągu 14 dni od dnia upływu terminu na wniesienie skargi albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego (art. 105 ust. 1 uodo). W przypadku nałożenia kary należy pamiętać, że przepisy uodo dają dwie możliwości złagodzenia jej dokuczliwości. I tak, ukarany może wnioskować o:

  1. odroczenie terminu uregulowania kary albo
  2. rozłożenie kary na raty.

Wniosek ukarany powinien uzasadnić ważnym interesem przemawiającym za taką prośbą, który musi wskazać w uzasadnieniu (art. 105 ust. 2 uodo). Odroczenie terminu zapłaty kary lub rozłożenie na raty oznacza konieczność zapłacenia odsetek za zaległości podatkowe. Odsetki naliczane mają być:

  • od dnia następującego po dniu złożenia wniosku; w przypadku rozłożenia na raty odsetki będą naliczane odrębnie dla każdej raty,
  • od dnia upływu odroczonego terminu uiszczenia kary albo terminu uiszczenia poszczególnych rat - w razie niedotrzymania tych terminów.

 

Maksymalna wysokość administracyjnych kar finansowych za naruszenie przepisów o ochronie danych osobowych

Uodo określa sposób, w jaki sposób określana jest kara finansowa za naruszenia. Sposób określenia wysokości kary zależy od zakresu dokonanego naruszenia i tego, kto go dokonał. W tabeli 1 przedstawiamy wysokość kar. Warto zauważyć, że w przypadku podmiotów spoza sektora publicznego ich wysokość została określona w przepisach RODO.

Tabela 1. Wysokość administracyjnych kar finansowych

Naruszyciel

Maksymalna wysokość kary

Zakres dokonanego naruszenia

Podstawa prawna

Jednostki sektora finansów publicznych, instytuty badawcze i NBP

100 000 zł

brak rozróżnienia

art. 102 ust. 1 uodo

Państwowe i samorządowe jednostki kultury

10 000 zł

brak rozróżnienia

art. 102 ust. 2 uodo

Pozostałe jednostki (w tym przedsiębiorcy)

10 mln euro* albo w przypadku przedsiębiorców 2% całkowitego rocznego światowego obrotu za poprzedni rok obrotowy w zależności, jaka kwota jest wyższa

naruszenie obowiązków administratora danych dotyczących uzyskiwania zgód, przetwarzania danych niewymagających identyfikacji, obowiązków ogólnych i związanych z bezpieczeństwem danych oraz oceną skutków i IOD (art. 25-39 RODO),

naruszenie obowiązków obejmujących certyfikację i monitorowanie przestrzegania RODO

art. 101 uodo w związku z art. 83 ust. 4 RODO

20 mln euro* albo w przypadku przedsiębiorców 4% całkowitego rocznego światowego obrotu za poprzedni rok obrotowy w zależności, jaka kwota jest wyższa

- naruszenie podstawowych zasad przetwarzania danych (w tym danych wrażliwych) i warunki zgód

- naruszenie praw osób, których dane są przetwarzane

- przekazywanie danych do państw trzecich lub organizacji międzynarodowych

- naruszenie obowiązków wynikających z przetwarzania danych w szczególnych sytuacjach, zgodnie z rozdziałem IX RODO

- nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy, lub niezapewnienia dostępu do danych

art. 101 uodo w związku z art. 83 ust. 5 RODO

* Karę oblicza się w złotych według średniego kursu euro NBP z tabeli kursów na 28 stycznia każdego roku, a gdy w danym roku NBP nie ogłasza średniego kursu euro 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów (art. 103 uodo).

Pozostałe sankcje za naruszenie przepisów o ochronie danych osobowych

Naruszający regulacje RODO i ustawy o ochronie danych osobowych powinni brać pod uwagę, że grożą im nie tylko administracyjne kary finansowe. Ich rodzaj i sankcje przedstawiono w tabeli 2.

Tabela 2. Niefinansowe sankcje za naruszenie przepisów o ochronie danych osobowych

Rodzaj naruszenia

Sankcja

Podstawa prawna

Przetwarzanie danych osobowych mimo niedopuszczalności lub bez uprawnień

  • grzywna,
  • ograniczenie wolności albo pozbawienie wolności do 2 lat, a do 3 lat - gdy są to dane wrażliwe*

art. 107 uodo

Utrudnianie kontrolującemu prowadzenie kontroli

  • grzywna,
  • ograniczenie wolności albo pozbawienie wolności do 2 lat

art. 108 uodo

* Przez dane wrażliwe należy rozumieć dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Naruszającym przepisy o ochronie danych osobowych grożą także roszczenia cywilne od osób, które będą uważały, że doszło do naruszenia prawa do ochrony ich danych osobowych lub poniosły szkodę z tego powodu. Takie osoby mają prawo do wystąpienia do sądu cywilnego z żądaniem, aby naruszający to prawo zaniechał naruszenia, usunął skutki tego naruszenia, zapłacił za to, co zrobił, lub naprawił powstałą szkodę. Przy tym przepisy uodo, odsyłając do regulacji kodeksu cywilnego (art. 92 uodo), nakazują w tej kwestii także stosowanie przepisów RODO (art. 79 i art. 82 RODO). Przepisy polskiego prawa cywilnego stosuje się tylko bowiem w zakresie, jaki nie został uregulowany przepisami RODO.

Podstawa prawna:

· art. 101, 102, 107 i 108 ustawy z 10 maja 2018 r. o ochronie danych osobowych - Dz.U. z 2018 r. poz. 1000

· art. 79, 82, 83 rozporządzenia Parlamentu Europejskiego i Rady (UE)2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - Dz.Urz. UE L 119, s. 1

Sławomir Biliński

prawnik, redaktor "MONITORA księgowego", ekspert podatkowy, autor licznych publikacji z prawa podatkowego i gospodarczego

Czytaj także:

"Nowa ustawa o ochronie danych osobowych" - czytaj na www.mk.infor.pl i www.inforfk.pl

Inforakademia
Notyfikacje

Czy chcesz otrzymywać informacje o najnowszych szkoleniach? Zgódź się na powiadomienia od wideoakademii

Powiadomienia można wyłączyć w preferencjach systemowych
NIE NIE
TAK TAK