Jakie kary administracyjne przewiduje RODO?
Poszukujesz informacji na temat tego, jakie kary administracyjne grożą za naruszenie przepisów o ochronie danych osobowych? Zastanawiasz się, jaki jest tryb odwoławczy w przypadku nałożenia takiej kary? A może chciałbyś wiedzieć jakie są zasady nakładania i uiszczania kar pieniężnych? W niniejszym artykule znajdziesz informacje na temat:
- niepieniężnych kar administracyjnych,
- pieniężnych kar administracyjnych,
- postępowania prowadzonego w przedmiocie nałożenia kary administracyjnej,
- obliczania wysokości kary pieniężnej,
- sposobu uiszczania kary pieniężnej.
Niepieniężne kary administracyjne
Prezes Urzędu Ochrony Danych Osobowych [UODO] w ramach podejmowania czynności naprawczych, które mają na celu przywrócenie zgodnego z prawem postępowania w zakresie ochrony danych osobowych, uprawniony jest do:
- wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;
- udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;
- nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;
- nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;
- nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
- wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
- nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
- cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;
- nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej;
- zastosowanie, oprócz lub zamiast środków, o których mowa powyżej, administracyjnej kary pieniężnej zależnie od okoliczności konkretnej sprawy.
Nadto, w przypadku gdy waga naruszenia przepisów o ochronie danych osobowych jest znikoma, a strona zaprzestała naruszenia Prezes UODO może, w drodze decyzji udzielić upomnienia.
Pieniężne kary administracyjne
Jeżeli stosowanie niepieniężnych kar administracyjnych nie przyniesie pożądanego skutku, bądź też w ocenie Prezesa UODO naruszenie jest tak znaczne, że zastosowanie niepieniężnej kary administracyjnej jest nieadekwatne, stosowane są kary pieniężne.
Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, organ nadzorczy ma obowiązek zweryfikować i rozważyć, w każdym indywidualnym przypadku, następujące przesłanki:
- charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
- umyślny lub nieumyślny charakter naruszenia;
- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
- stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;
- wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
- kategorie danych osobowych, których dotyczyło naruszenie;
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
- jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie inne środki niż kary pieniężne – przestrzeganie tych środków;
- stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji oraz
- wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
Jak widzisz, niektóre przesłanki mają charakter łagodzący (wpływający na wymierzenie kary pieniężnej w niższej kwocie), inne zaś zaostrzający odpowiedzialność finansową.
Wysokość kar pieniężnych
Kary pieniężne powinny być w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
Karze pieniężnej w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa podlega naruszenie:
- obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8 (wyrażenie zgody przez dziecko), 11 (przetwarzanie nie wymagające identyfikacji), 25 –39 (obowiązki administratora i podmiotu przetwarzającego) oraz 42 (certyfikacja) i 43 (podmiot certyfikujący);
- obowiązków podmiotu certyfikującego, o których mowa w art. 42 oraz 43;
- obowiązków podmiotu monitorującego, o których mowa w art. 41 ust. 4 (reagowanie przez podmiot monitorujący na naruszenie kodeksu postępowania);
Karze pieniężnej w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa podlega naruszenie:
- podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5 (zasady przetwarzania danych osobowych), 6 (zgodność przetwarzania z prawem), 7 (wyrażenie zgody na przetwarzanie danych osobowych) oraz 9 (przetwarzanie danych osobowych szczególnych);
- praw osób, których dane dotyczą, o których mowa w art. 12–22 (prawa osoby, której dane dotyczą);
- przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44–49 (przekazywanie danych osobowych do państw trzecich);
- wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX (Przepisy dotyczące szczególnych sytuacji związanych z przetwarzaniem, np. przetwarzanie w kontekście wolności wypowiedzi, dostępu do dokumentów urzędowych, przetwarzanie krajowego numeru informacyjnego);
- nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1 (uprawnienia proceduralne organu nadzorczego).
Równowartość wyrażonych w euro kwot, o których mowa w RODO oblicza się w złotych według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Uiszczanie kary pieniężnej
Karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Pamiętaj, że jedynie w przypadku wniesienia skargi na decyzję administracyjną Prezesa UODO w zakresie nałożenia kary pieniężnej, czynność ta powoduje zawieszenie wykonalności tejże decyzji z mocy prawa. Wynika to z faktu, że decyzja Prezesa UODO jest ostateczna w toku instancji, tj. nie przysługuje od niej odwołanie, bądź wniosek o ponowne rozpoznanie sprawy. Skutku zawieszenia wykonalności z mocy prawa, nie wywołuje natomiast wniesienie skargi na decyzję nakładającą niepieniężną karę administracyjną.
W razie upływu ww. terminu kara pieniężna podlega ściągnięciu w trybie przepisów o postępowaniu egzekucyjnym w administracji.
Odroczenie, rozłożenie na raty kary pieniężnej
Warto wiedzieć, że Prezes UODO może na wniosek podmiotu ukaranego odroczyć uiszczenie kary pieniężnej albo rozłożyć ją na raty ze względu na ważny interes wnioskodawcy.
W przypadku odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty, Prezes UODO nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, których wysokość wynosi 50% stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56 § 3 ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa od dnia następującego po dniu złożenia wniosku.
W przypadku rozłożenia na raty kary pieniężnej, odsetki te są naliczane odrębnie dla każdej raty. Odsetki są naliczane za okres od dnia upływu odroczonego terminu płatności kary pieniężnej albo terminu zapłaty poszczególnych rat.
Prezes UODO może uchylić odroczenie uiszczenia kary pieniężnej albo rozłożenie jej na raty, jeżeli ujawniły się nowe lub uprzednio nieznane okoliczności istotne dla rozstrzygnięcia lub jeżeli rata nie została uiszczona w terminie.
Rozstrzygnięcie Prezesa UODO w przedmiocie odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty następuje w drodze postanowienia, na które nie przysługuje skarga do sądu administracyjnego.