Rozporządzenie o ochronie danych osobowych, znane powszechnie pod nazwą RODO, przyznaje prawo do ochrony swoich danych osobowych każdej osobie fizycznej. Na straży takiego prawa stoi natomiast organ nadzorczy, którym w naszym kraju jest Prezes Urzędu Ochrony Danych Osobowych. Nakłada on administracyjne kary finansowe na osoby i podmioty, które łamią podstawowe prawa do ochrony danych osobowych i prawo do prywatności. Jakie kary może nakładać?
Sankcje za naruszanie przepisów o ochronie danych osobowych
Prezes UODO w momencie, kiedy dochodzi do naruszenia przepisów o ochronie danych osobowych, musi zareagować. Korzysta przy tym z licznych uprawnień nadanych mu na podstawie RODO. Może nakładać takie sankcje jak (art. 58 ust. 2 RODO):
• Ostrzeżenia dotyczące możliwości naruszenia RODO.
• Upomnienia w przypadku naruszenia RODO.
• Nakazać administratorowi lub podmiotowi przetwarzającemu dane osobowe spełnienie żądań osoby, której te dane dotyczą.
• Wprowadzić czasowe lub całkowite ograniczenia przetwarzania, w tym zakaz przetwarzania danych osobowych.
• Nałożyć administracyjną karę pieniężną.
Kara pieniężna w zindywidualizowanej wysokości
Każda sytuacja dotycząca naruszenia lub złamania przepisów RODO jest rozpatrywana indywidualnie, także pod kątem wysokości kary pieniężnej. Prezes UODO przy wydawaniu decyzji o nałożeniu takiej kary analizuje stan faktyczny i prawny na dzień wydania. Zasadniczo kara pieniężna powinna być skuteczna, odstraszająca i proporcjonalna do popełnionego czynu.
Przegląd nałożonych już kar
Prezes UODO wielokrotnie nakładał administracyjne kary pieniężne za naruszenie ochrony danych osobowych. Pierwszą była kara nałożona na spółkę Bisnode w wysokości 943 tys. zł. Została ona ukarana za to, że nie wysłała do każdej osoby prowadzącej działalność gospodarczą informacji o tym, że przetwarza jej dane osobowe. Tym samym spółka ta nie dopełniła obowiązku informacyjnego wobec przedsiębiorców, a chodzi tu o dane 3,6 mln osób aktualnie prowadzących działalność gospodarczą oraz 2,33 mln osób, którzy ją zawiesili.
W styczniu 2019 roku urząd orzekł na podstawie zgromadzonego materiału dowodowego, że w procesie przetwarzania danych osobowych spółka Morele.net Sp. z o.o., jako administrator, naruszyła przepisy o ochronie danych osobowych. Nie zabezpieczyła danych osobowych swoich klientów należycie, dlatego osoby nieuprawnione uzyskały do nich dostęp. Chodziło o nieuprawniony dostęp do danych osobowych aż 2,2 mln osób. Prezes UODO nałożył na spółkę administracyjną karę pieniężną w wysokości 2 830 410 zł (644 780 euro).
UODO nałożyło również karę w wysokości ponad 201 tys. zł (47 000 euro) na spółkę działającą w branży reklamowej za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych. Mowa tu o spółce ClickQuickNow, która złamała art. 5 RODO. UODO właściwie ukarało spółkę grzywną za to, że nie podjęła ona odpowiednich środków technicznych i organizacyjnych, które pozwalałyby klientom na proste i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz skorzystanie z prawa do żądania usunięcia danych osobowych.
Nałożono też karę na instytucję samorządową. Kara pieniężna w wysokości 40 tys. zł obciążyła burmistrza Aleksandrowa Kujawskiego za to, że nie zawarł on umowy powierzenia przetwarzania danych osobowych oraz za długo publikował oświadczenia majątkowe.
Dolnośląski Związek Piłki Nożnej został ukarany przez Prezesa UODO za nieskuteczne próby usunięcia naruszenia polegającego na upublicznieniu zbyt szerokiego zakresu danych osobowych sędziów, którym przyznano licencje sędziowskie. W wykazie ujawniono nie tylko ich imiona i nazwiska, ale też dokładne adresy oraz numery PESEL. Dolnośląski Związek Piłki Nożnej w związku z tym musiał zapłacić 66 750,50 zł kary pieniężnej administracyjnej.
Dotychczas czterokrotnie Prezes UODO interweniował i nakładał na określone podmioty, prywatne i samorządowe, kary pieniężne za naruszenie przepisów RODO. Z pewnością w przyszłości również będą one nakładane, o ile firmy należycie nie zadbają o te kwestie.
Maciej Strok (Specjalista ds. RODO)