8/2018, data dodania: 03.07.2018 Ochrona danych osobowych - kary i sankcje
25 maja 2018 r. weszła w życie nowa ustawa o ochronie danych osobowych (dalej: uodo), która ma na celu uregulowanie kwestii związanych ze stosowaniem w Polsce unijnego rozporządzenia dotyczącego ochrony danych osobowych (RODO). W artykule zwracamy uwagę przedsiębiorców na kary administracyjne wprowadzone uodo za naruszenie przepisów tych ustaw.
Postępowanie w sprawie przestrzegania przepisów o ochronie danych
Kontrola przestrzegania przepisów o ochronie danych osobowych należy do kompetencji Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO). Jest to organ, który od 25 maja 2018 r. został powołany w miejsce Generalnego Inspektora Ochrony Danych Osobowych. Istotne dla polskich podmiotów przetwarzających dane osobowe jest to, że Prezes UODO nakłada kary finansowe po stwierdzeniu naruszenia przepisów ustawy o ochronie danych osobowych. Oczywiście nałożenie to możliwe jest dopiero po przeprowadzeniu przez niego postępowania wobec naruszającego. Postępowanie prowadzi Prezes UODO w każdym przypadku podejrzenia działania wbrew prawu (art. 60 uodo). Postępowanie kończy się wydaniem decyzji Prezesa UODO, a której może zostać nałożona administracyjna kara pieniężna. W decyzji następuje równiez ustalenie wysokości tej kary i podanie przesłanek określenia jej wysokości (art. 72 uodo). Przy określaniu wysokości kary znaczenia ma m.in. charakter, waga i czas trwania naruszenia oraz zakres lub cel danego przetwarzania, liczba poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody, a także umyślność/nieumyślność działania naruszyciela.
Od takiej decyzji naruszyciel może odwołać się do sądu administracyjnego, co wstrzyma jej wykonanie (art. 74 uodo).
Jeśli przemawia za tym interes publiczny, Prezes UODO opublikuje decyzję na swojej stronie internetowej w Biuletynie Informacji Publicznej (art. 73 ust. 1 uodo). Ukarany ma obowiązek uiścić karę w ciągu 14 dni od dnia upływu terminu na wniesienie skargi albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego (art. 105 ust. 1 uodo). W przypadku nałożenia kary należy pamiętać, że przepisy uodo dają dwie możliwości złagodzenia jej dokuczliwości. I tak, ukarany może wnioskować o:
- odroczenie terminu uregulowania kary albo
- rozłożenie kary na raty.
Wniosek ukarany powinien uzasadnić ważnym interesem przemawiającym za taką prośbą, który musi wskazać w uzasadnieniu (art. 105 ust. 2 uodo). Odroczenie terminu zapłaty kary lub rozłożenie na raty oznacza konieczność zapłacenia odsetek za zaległości podatkowe. Odsetki naliczane mają być:
- od dnia następującego po dniu złożenia wniosku; w przypadku rozłożenia na raty odsetki będą naliczane odrębnie dla każdej raty,
- od dnia upływu odroczonego terminu uiszczenia kary albo terminu uiszczenia poszczególnych rat - w razie niedotrzymania tych terminów.
Maksymalna wysokość administracyjnych kar finansowych za naruszenie przepisów o ochronie danych osobowych
Uodo określa sposób, w jaki sposób określana jest kara finansowa za naruszenia. Sposób określenia wysokości kary zależy od zakresu dokonanego naruszenia i tego, kto go dokonał. W tabeli 1 przedstawiamy wysokość kar. Warto zauważyć, że w przypadku podmiotów spoza sektora publicznego ich wysokość została określona w przepisach RODO.
Tabela 1. Wysokość administracyjnych kar finansowych
| Naruszyciel | Maksymalna wysokość kary | Zakres dokonanego naruszenia | Podstawa prawna |
| Jednostki sektora finansów publicznych, instytuty badawcze i NBP | 100 000 zł | brak rozróżnienia | art. 102 ust. 1 uodo |
| Państwowe i samorządowe jednostki kultury | 10 000 zł | brak rozróżnienia | art. 102 ust. 2 uodo |
| Pozostałe jednostki (w tym przedsiębiorcy) | 10 mln euro* albo w przypadku przedsiębiorców 2% całkowitego rocznego światowego obrotu za poprzedni rok obrotowy w zależności, jaka kwota jest wyższa | naruszenie obowiązków administratora danych dotyczących uzyskiwania zgód, przetwarzania danych niewymagających identyfikacji, obowiązków ogólnych i związanych z bezpieczeństwem danych oraz oceną skutków i IOD (art. 25-39 RODO), naruszenie obowiązków obejmujących certyfikację i monitorowanie przestrzegania RODO | art. 101 uodo w związku z art. 83 ust. 4 RODO |
| 20 mln euro* albo w przypadku przedsiębiorców 4% całkowitego rocznego światowego obrotu za poprzedni rok obrotowy w zależności, jaka kwota jest wyższa | - naruszenie podstawowych zasad przetwarzania danych (w tym danych wrażliwych) i warunki zgód - naruszenie praw osób, których dane są przetwarzane - przekazywanie danych do państw trzecich lub organizacji międzynarodowych - naruszenie obowiązków wynikających z przetwarzania danych w szczególnych sytuacjach, zgodnie z rozdziałem IX RODO - nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy, lub niezapewnienia dostępu do danych | art. 101 uodo w związku z art. 83 ust. 5 RODO |
* Karę oblicza się w złotych według średniego kursu euro NBP z tabeli kursów na 28 stycznia każdego roku, a gdy w danym roku NBP nie ogłasza średniego kursu euro 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów (art. 103 uodo).
Pozostałe sankcje za naruszenie przepisów o ochronie danych osobowych
Naruszający regulacje RODO i ustawy o ochronie danych osobowych powinni brać pod uwagę, że grożą im nie tylko administracyjne kary finansowe. Ich rodzaj i sankcje przedstawiono w tabeli 2.
Tabela 2. Niefinansowe sankcje za naruszenie przepisów o ochronie danych osobowych
| Rodzaj naruszenia | Sankcja | Podstawa prawna |
| Przetwarzanie danych osobowych mimo niedopuszczalności lub bez uprawnień |
| art. 107 uodo |
| Utrudnianie kontrolującemu prowadzenie kontroli |
| art. 108 uodo |
* Przez dane wrażliwe należy rozumieć dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Naruszającym przepisy o ochronie danych osobowych grożą także roszczenia cywilne od osób, które będą uważały, że doszło do naruszenia prawa do ochrony ich danych osobowych lub poniosły szkodę z tego powodu. Takie osoby mają prawo do wystąpienia do sądu cywilnego z żądaniem, aby naruszający to prawo zaniechał naruszenia, usunął skutki tego naruszenia, zapłacił za to, co zrobił, lub naprawił powstałą szkodę. Przy tym przepisy uodo, odsyłając do regulacji kodeksu cywilnego (art. 92 uodo), nakazują w tej kwestii także stosowanie przepisów RODO (art. 79 i art. 82 RODO). Przepisy polskiego prawa cywilnego stosuje się tylko bowiem w zakresie, jaki nie został uregulowany przepisami RODO.
Podstawa prawna:
· art. 101, 102, 107 i 108 ustawy z 10 maja 2018 r. o ochronie danych osobowych - Dz.U. z 2018 r. poz. 1000
· art. 79, 82, 83 rozporządzenia Parlamentu Europejskiego i Rady (UE)2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - Dz.Urz. UE L 119, s. 1
Sławomir Biliński
prawnik, redaktor "MONITORA księgowego", ekspert podatkowy, autor licznych publikacji z prawa podatkowego i gospodarczego
Czytaj także:
"Nowa ustawa o ochronie danych osobowych" - czytaj na www.mk.infor.pl i www.inforfk.pl
