Na stronie Urzędu Ochrony Danych Osobowych regularnie publikowane są informacje o karach finansowych nakładanych na administratorów i podmioty przetwarzające dane. Warto wiedzieć, jakie kryteria bierze pod uwagę Prezes UODO, podejmując decyzję o wymierzeniu sankcji.
Rola i kompetencje Prezesa UODO
Prezes UODO to niezależny organ, którego zadaniem jest ochrona praw podstawowych – prawa do prywatności i prawa do ochrony danych osobowych – gwarantowanych przez Konstytucję RP i prawo unijne.
Do jego obowiązków należy m.in.:
-
nadzór nad zgodnością przetwarzania danych z przepisami,
-
rozpatrywanie skarg osób, których dane dotyczą,
-
monitorowanie i egzekwowanie przestrzegania RODO,
-
wydawanie wytycznych i interpretacji dotyczących ochrony danych,
-
upowszechnianie wiedzy na temat zagrożeń i praw związanych z przetwarzaniem danych,
-
edukacja administratorów w zakresie obowiązków wynikających z przepisów.
Sankcje za naruszenie przepisów
Kary finansowe to tylko jeden ze środków, jakie może zastosować Prezes UODO. Zgodnie z art. 58 ust. 2 RODO, organ nadzorczy ma prawo m.in.:
-
wydać ostrzeżenie lub upomnienie,
-
nakazać spełnienie żądania osoby, której dane dotyczą,
-
ograniczyć lub zakazać przetwarzania danych,
-
zastosować administracyjną karę pieniężną – samodzielnie albo obok innych środków.
Oznacza to, że nie każda sprawa kończy się karą finansową – dobór sankcji zależy od charakteru naruszenia.
Zindywidualizowany charakter kary
Każde postępowanie prowadzone przez Prezesa UODO rozpatrywane jest indywidualnie. Nawet podobne przypadki mogą zakończyć się odmiennymi decyzjami – jedne karą pieniężną, inne jedynie upomnieniem.
Wymierzając sankcję, organ musi kierować się zasadami skuteczności, odstraszającego charakteru oraz proporcjonalności. Dlatego w procesie decyzyjnym bierze pod uwagę aż 11 czynników, m.in.:
- charakter, waga i czas trwania naruszenia,
- umyślny lub nieumyślny charakter naruszenia,
- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
- stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych,
- wszelkie stosowne wcześniejsze naruszenia, zatem czy to było pierwsze naruszenie czy kolejne,
- stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
- kategorie danych osobowych, których dotyczyło naruszenie,
- sposób, w jaki Prezes UODO dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (np. czy sam zgłosił „wyciek danych”).
Wysokość kary
Maksymalna wysokość kar finansowych jest określona w przepisach i uzależniona od rodzaju naruszenia oraz statusu podmiotu:
-
do 10 mln euro lub 2% rocznego obrotu – np. za brak rejestru czynności przetwarzania, brak zgłoszenia naruszenia, brak zawiadomienia osób, których dane dotyczą,
-
do 20 mln euro lub 4% rocznego obrotu – np. za niezgodne z prawem przetwarzanie danych, brak podstawy prawnej do przetwarzania, naruszenie zasad dotyczących danych wrażliwych,
-
do 100 tys. zł – w przypadku jednostek sektora finansów publicznych, instytutów badawczych i NBP,
-
do 10 tys. zł – w przypadku państwowych i samorządowych instytucji kultury.
Wartość kar w euro przeliczana jest według kursu NBP z 28 stycznia danego roku (Dzień Ochrony Danych Osobowych).
Środki z tytułu kar trafiają do budżetu państwa, a nie do UODO.
Egzekucja kary
Nałożoną karę należy zapłacić w ciągu 14 dni od uprawomocnienia się decyzji lub orzeczenia sądu administracyjnego. Na wniosek ukaranego podmiotu Prezes UODO może odroczyć termin płatności lub rozłożyć należność na raty, jeśli przemawia za tym ważny interes wnioskodawcy.
Podstawa prawna:
- ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jedn. Dz. U. 2019 poz. 1781),
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Stan prawny na dzień:
- 29-09-2025
