zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

Każdego roku ustawodawca przygotowuje ponad

25 000 stron aktów prawnych

Podpowiemy Ci, jak poradzić sobie w gąszczu tak często zmieniających się przepisów. 

Zapisz się na Newsletter Prawny Sage

23 marca 2018

Kary administracyjne w przypadku naruszeń RODO


Naruszenie regulacji zawartych w RODO może być dla kierownictwa firmy bardzo bolesne. Administracyjne kary pieniężne są przewidziane dla podmiotów, które dopuszczą się nieprawidłowości w ochronie danych osobowych. Warto dowiedzieć się, jak ich uniknąć.

W przypadku stwierdzenia naruszeń RODO organ nadzorczy (według projektu Ustawy o ochronie danych osobowych będzie to Prezes Urzędu Ochrony Danych Osobowych) dysponuje szeregiem środków naprawczych oraz administracyjnych kar pieniężnych, które mogą być stosowane łącznie, w zależności od okoliczności każdego indywidualnego przypadku.

Administracyjne kary pieniężne

Organ nadzorczy jest uprawniony do nakładania na przedsiębiorcę, który naruszył postanowienia RODO, kary pieniężnej.

Do okoliczności, które organ nadzorczy będzie brał pod uwagę, decydując o ukaraniu danego podmiotu oraz ustalając wysokości kary, należą m.in.: charakter, czas i waga naruszenia, umyślność lub nieumyślność podmiotu, wdrożone u administratora środki organizacyjne oraz techniczne lub też sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, a w szczególności, czy i w jakim zakresie przedsiębiorca zgłosił naruszenie.

Administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) podlegają następujące naruszenia przepisów:

  • naruszenie obowiązków administratora i podmiotu przetwarzającego wymienionych w RODO, jak np.: brak weryfikacji wyrażenia zgody przez opiekuna dziecka, które nie ukończyło jeszcze 16. roku życia, na przetwarzanie jego danych osobowych, brak prowadzenia rejestru operacji czynności przetwarzania, niepowołanie Inspektora Ochrony Danych (IOD) w przypadkach obligatoryjnych, brak informowania organu nadzorczego o naruszeniach w zakresie ochrony danych osobowych, nieprzestrzeganie obowiązków związanych z certyfikacja przedsiębiorcy przez stosowny podmiot;
  • naruszenie obowiązków podmiotu certyfikującego wymienionych w RODO;
  • naruszenie obowiązków podmiotu monitorującego związanych z podjęciem stosownych działań w przypadku stwierdzenia naruszenia przez danego przedsiębiorcę zatwierdzonego kodeksu postępowania.

Administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) podlegają następujące naruszenia przepisów:

  • naruszenie podstawowych zasad przetwarzania, w tym warunków zgód na przetwarzanie określonych w RODO;
  • naruszenie praw osób, których dane są przetwarzane;
  • naruszenie przepisów dotyczących przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;
  • nieprzestrzegania nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienie dostępu organowi nadzorczemu;
  • naruszenie obowiązków wynikających z przepisów krajowych danego państwa członkowskiego uchwalonych na podstawie RODO;
  • niewdrożenie środków naprawczych nałożonych przez organ nadzorczy.

Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów RODO, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie. Oznacza to, że gdy w przypadku jednego procesu przetwarzania powstanie kilka naruszeń, to organ nadzorczy nałoży tylko jedną karę, przy czym będzie to kara wyższa.

Karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Na wniosek ukaranego organ nadzorczy może odroczyć uiszczenie kary pieniężnej albo rozłożyć ją na raty ze względu na ważny interes wnioskodawcy. Organ nadzorczy może uchylić odroczenie uiszczenia kary pieniężnej albo rozłożenie jej na raty, jeżeli ujawniły się nowe lub uprzednio nieznane okoliczności istotne dla rozstrzygnięcia lub jeżeli rata nie została uiszczona w terminie.

Środki finansowe pochodzące z kar pieniężnych stanowią dochód budżetu państwa, przy czym 1% kar pieniężnych zostanie przeznaczony na Fundusz Ochrony Danych Osobowych – państwowy fundusz celowy – powołany w celu upowszechniana wiedzy o prawach i obowiązkach związanych z ochroną danych osobowych.



Sage

Spełniasz
wymogi
RODO?

Sprawdź



Środki naprawcze

W razie stwierdzenia naruszeń RODO organ nadzorczy jest uprawniony w szczególności do:

  • wydawania ostrzeżeń przedsiębiorcom przetwarzającym dane osobowe dotyczących możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania;
  • udzielania upomnień przedsiębiorcom przetwarzającym dane osobowe w przypadku naruszenia przepisów RODO przez operacje przetwarzania;
  • nakazania przedsiębiorcom przetwarzającym dane osobowe spełnienia żądań osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO;
  • nakazania przedsiębiorcom przetwarzającym dane osobowe dostosowania operacji przetwarzania do przepisów RODO, a w szczególności, w stosownych przypadkach, wskazania sposobu i terminu dostosowania;
  • nakazania przedsiębiorcom przetwarzającym dane osobowe zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
  • wprowadzenia czasowego lub całkowitego ograniczenia przetwarzania danych, w tym zakazu przetwarzania;
  • nakazania sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazania powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
  • cofnięcia certyfikacji lub nakazania podmiotowi certyfikującemu cofnięcia certyfikacji lub nakazania podmiotowi certyfikującemu nieudzielenia certyfikacji;
  • nakazania zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.
Środki te będą mogły być nakładane na przedsiębiorców zamiast lub obok innych sankcji, także obok administracyjnych kar pieniężnych


/*gatedcontent/