fbpx

20 mln euro to zawrotna kwota, nawet dla dużych przedsiębiorstw. W tym artykule dowiesz się czy taka wysokość kary finansowej jest realna dla małej firmy? Jakie błędy i niedociągnięcia mogą powodować wysokie kary? I co bierze pod uwagę Urząd Ochrony Danych Osobowych nakładając karę grzywny.

Kary są już nakładane.

Administracyjne kary pieniężne za naruszenia wymogów RODO może nałożyć Urząd Ochrony Danych Osobowych.


Przepisy ogólnego rozporządzenia o ochronie danych (RODO) obowiązują od 25 maja 2018 r. Tego dnia minął także termin na dostosowanie się firm i instytucji do nowych przepisów. Dlatego tak istotne jest, aby wiedzieć czego można się spodziewać odnośnie wysokości kary grzywny za nieprzestrzeganie RODO. Administracyjne kary pieniężne za naruszenia wymogów RODO może nałożyć Urząd Ochrony Danych Osobowych, z prezesem urzędu na czele. Kary finansowe na nowych warunkach są już nakładane od ponad dwóch lat. Dotychczas, w zależności od przewinienia i skali działania firmy, wynosiły od 15 tysięcy złotych do prawie miliona złotych. To nie są może kary w milionach euro, jednak i tak mogą być bardzo dotkliwe i decydować o być albo nie być niektórych firm.

Dwa progi grzywny finansowej.

Skąd takie rozbieżności w wysokości kary? Wpływ ma na to kilka elementów. Przede wszystkim RODO przewiduje dwa progi kary finansowej. Co ważne, grzywna może zostać nałożona zarówno na administratora danych (działalność nierejestrowaną, firmę jednoosobową, spółkę, fundację, stowarzyszenie), jak i na podmiot przetwarzający dane na jego zlecenie (np. biuro rachunkowe, hosting poczty, etc. ).  Zgodnie z RODO, kary mają być skuteczne, proporcjonalne i odstraszające. I nie ulega wątpliwości, że dla wielu podmiotów już takie są.

Środki finansowe pochodzące z kar pieniężnych zasilają budżetu państwa. Karę pieniężną trzeba wpłacić w terminie 14 dni od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Prezes Urzędu może odroczyć uiszczenie kary pieniężnej albo rozłożyć ją na raty ze względu na ważny interes publiczny lub interes firmy.

Pierwszy próg – do 10 mln euro!

Naruszenie przepisów o ochronie danych może się zakończyć nałożeniem kary administracyjnej w wysokości do 10 mln euro lub 2% całkowitego rocznego obrotu. Decyduje o tym to, która kwota będzie wyższa. To tzw. pierwszy, lżejszy próg kary finansowej. Nowe przepisy za naruszenie obowiązków administratora danych lub podmiotu przetwarzającego przewidują taka wysokość kary dla firm, między innymi w przypadku:

  • powierzenia danych bez zapewnienia wysokiej ochrony danych przez podmioty je przetwarzające, np. przekazanie danych do biura rachunkowego obsługującego Twój sklep internetowy bez umowy określającej obowiązki biura w zakresie ochrony danych,
  • niezgłoszenia naruszenia ochrony danych w ciągu 72 h od jego wykrycia, jeśli w danej sytuacji podmiot byłby do tego zobowiązany  lub braku współpracy z organem nadzorczym, np. ukrywanie naruszenia, utrudnianie kontroli UODO, etc. Przy tej okazji warto wspomnieć, że wg decyzji UODO, które są udostępniane na stronie urzędu to współpraca z organem nadzorczym jest jednym z tych czynników, które ostatecznie decydują o dolegliwości kary. O tym „Jak się zachować podczas kontroli PUODO” pisałam ostatnio w artykule o tym samym tytule. Polecam Ci przy tej okazji ten wpis, ponieważ za utrudnianie kontroli grożą nie tylko kary finansowe, ale także kara ograniczenia lub pozbawienia wolności. 

Naruszenie przepisów o ochronie danych może się zakończyć nałożeniem kary administracyjnej w wysokości do 10 mln euro lub 2% całkowitego rocznego obrotu.

Drugi próg – aż do 20 mln euro!

Na tym jednak nie koniec. Jest jeszcze tzw. drugi próg, w którym kara administracyjna może wynosić aż o 20 mln euro lub 4% całkowitego rocznego obrotu, w zależności od tego, która kwota będzie wyższa.

Wyższa kara dotyczy takich sytuacji, w której jako administrator danych osobowych (właściciel sklepu) lub podmiot przetwarzający (np. biuro rachunkowe) naruszają takie zasady, jak:

  • podstawowe zasady przetwarzania danych, w tym zapewnienie warunków udzielenia świadomej i dobrowolnej zgody. Więcej o tym jak odebrać prawidłową zgodę i jakie warunki powinna spełniać pisałam w artykule nt. „Zgoda – czy naprawdę zawsze jest potrzebna?
  • prawa osób, których dane dotyczą, w tym prawa do przenoszenia danych i bycia zapomnianym. O tych dwóch nowych rodzajach praw w polskim systemie prawnym, które mogą wystąpić w sklepach internetowych pisałam w artykule nt.: „Prawo do przenoszenia danych i bycia zapomnianym w biznesie online.
  • przekazywania danych odbiorcy w państwie trzecim, bez uwzględnienia odpowiednich regulacji prawnych, np. przekazywanie danych do kraju poza EOG, który nie jest uznawany za kraj „bezpieczny”.

Czy UODO zmierzy wszystkich jedną miarą?

Kara finansowa powinna być adekwatna do wielkości firmy.

Kara finansowa powinna być adekwatna do wielkości firmy. Inna wysokość grzywny będzie wymierzona dla małego sklepu internetowego, a jeszcze inna dla międzynarodowej korporacji, czy banku. Co w takim razie Prezes Urzędu Ochrony Danych będzie brał po uwagę? Zgodnie z RODO każdy przypadek ma zostać poddany indywidualnej ocenie. Na ostateczną wysokość grzywny wpływać będą takie czynniki, jak:

  • wielkość obrotów firmy za rok poprzedni,
  • rodzaj naruszenia, np. jakich danych i ilu osób to dotyczyło, jak długo to trwało?
  • czy było to działanie umyślne, czy nieumyślne – na pewno nieznajomość przepisów zdecydowanie nie jest tym, co działa na korzyść firmy i nie można uznać tego za działanie nieumyślne. 
  • co zrobiła firma, żeby zminimalizować szkody osób, które dane dotyczą;
  • czy firma dopuściła się już wcześniej podobnego naruszenia przepisów?
  • czy firma współpracowała z urzędem w celu złagodzenia ewentualnych skutków tego naruszenia;
  • czy firma sama powiadomił o naruszeniu danych, czy był to donos od osób trzecich;
  • wszelkie inne obciążające lub łagodzące czynniki, które będą wpływały na okoliczności zdarzenia.

Co oprócz kary finansowej?

Kary finansowe na gruncie RODO dla firm to jedno. Jednak warto zwrócić uwagę także na coś o wiele cenniejszego. Na utratę wizerunku marki, zaufania klientów i pracowników. Wszelkie decyzje administracyjne są nie tylko publikowane na stronie urzędu, ale także część z nich jest często nagłaśniana w mediach. Taka informacja o naruszeniach RODO rozchodzi się lotem błyskawicy, szczególnie, że od czasu pandemii koronawirusa większość firm przenosi część swoich działań do Internetu i to tam teraz zdobywa klientów. Dlatego motywacją firm do wdrożenia RODO nie powinna być tylko chęć uniknięcia kar finansowych, ale przede wszystkim budowanie i utrzymywanie zaufania jej klientów.

© ABI Consulting Sylwia Templin-Świtała

Polityka Prywatności

Polityka cookies

Regulamin sklepu online

+48 607 718 878

Znajdź nas w sieci:

error: Treść strony jest chroniona!

Zapisz się na mój newsletter!

Dołącz do mojego newslettera i otrzymaj bezpłatny mini-kurs "Twój sklep online. RODO i regulaminy w pakiecie NA START!"

Wysłaliśmy Ci e-mail - potwierdź swoją subskrypcję!