Kary RODO – skąd tyle szumu wokół kar finansowych?
25 maja 2022 miną 4 lata odkąd zaczęło obowiązywać ogólne rozporządzenie UE o ochronie danych osobowych (RODO). Lista administracyjnych kar finansowych nałożonych przez europejskie organy nadzorcze w związku z naruszeniami RODO, w Polsce i w całej Unii Europejskiej, jest naprawdę ogromna. Od maja 2018 do kwietnia 2022 roku opublikowano ponad 1100 decyzji wydanych przez organy nadzorcze właściwe danemu państwu (stan na 13 kwietnia 2022).
Czego dowiesz się z tego artykułu?
Jakie są zasady nakładania kar finansowych w związku z RODO?
Jak wygląda procedura nakładania kar przez urząd?
Jaka jest ich wysokość od początku wejścia rozporządzenia w życie?
Jakie są najwyższe kary nałożone w Polsce i Europie?
Ponad 1100 kar przez 4 lata obowiązywania RODO
25 maja 2022 miną 4 lata odkąd zaczęło obowiązywać ogólne rozporządzenie UE o ochronie danych osobowych (RODO). Lista administracyjnych kar finansowych nałożonych przez europejskie organy nadzorcze w związku z naruszeniami RODO, w Polsce i w całej Unii Europejskiej, jest naprawdę ogromna. Od maja 2018 do kwietnia 2022 roku opublikowano ponad 1100 decyzji wydanych przez organy nadzorcze właściwe danemu państwu (stan na 13 kwietnia 2022). Mając na uwadze dynamikę związaną z liczbą kar nakładanych przez europejskie organy nadzorcze, w tym przez polski Urząd Ochrony Danych Osobowych (UODO) postanowiliśmy przygotować dla Was informacje o zasadach i procedurze nakładania kar, zestawienia najważniejszych kar a także przygotować rejestr kar RODO na polskim rynku, który będziemy dla Was na bieżąco aktualizować.
Po co w ogóle te kary?
Kary finansowe mają na celu odstraszanie organizacji przed nieuczciwymi praktykami związanymi z przetwarzaniem danych osobowych. Należy pamiętać, że w przypadku wykrycia naruszenia wymagań RODO przez organizację organ nadzorczy może, ale nie musi nałożyć administracyjną karę pieniężną. Organ posiada bowiem szereg innych środków naprawczych, które może zastosować i nałożyć na organizację, np. upomnienie czy wprowadzenie ograniczenia przetwarzania danych. Administracyjna kara pieniężna uznawana za najbardziej dotkliwy środek i jest nakładana wówczas kiedy inne środki zostaną uznane za niewystarczające.
Kara w wysokości 2,8 mln zł nałożona na sklep internetowy morele.net - dowiedz się więcej
Zasady nakładania kar
Górne granice sankcji wskazanych przez RODO to 20 milionów euro lub do 4>#/strong### wartości całkowitego rocznego światowego obrotu przedsiębiorstwa w przypadku:
- Naruszenia zasad dotyczących przetwarzania danych osobowych (Art. 5)
- Naruszenia warunków wyrażenia zgody na przetwarzanie danych (Art. 7)
- Naruszenia wykonania prawa dostępu przysługującego osobie, której dane dotyczą (Art. 15)
- Naruszenia wykonania prawa do sprostowania i usuwania danych Art. 16
Drugi obowiązujący próg to 10 milionów euro lub do 2>#/strong### wartości całkowitego rocznego światowego obrotu przedsiębiorstwa w przypadku:
- Art. 25 Naruszenia zasad ochrony danych osobowych w fazie projektowania (privacy by design) oraz domyślna ochrona danych (privacy by default)
- Art. 29 Naruszenia wymogu w zakresie przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego
- Art. 30 Naruszenie wymogu w zakresie rejestrowanie czynności przetwarzania
- Art. 31 Brak współpracy z organem nadzorczym
- Art. 32 Naruszenie zasad ochrony danych osobowych w zakresie bezpieczeństwa przetwarzania
Jak przebiega procedura nakładania kar RODO?
Kary za naruszenie, złamanie lub nieprzestrzeganie przepisów RODO nakładane są w Polsce przez UODO w drodze decyzji administracyjnej. Każda sprawa rozpatrywana jest przez Urząd indywidualnie, z uwzględnieniem okoliczności popełnionego czynu.
Od każdej decyzji Prezesa Urzędu Ochrony Danych Osobowych administrator może odwołać się do sądu administracyjnego. Należy jednak pamiętać, że od momentu uprawomocnienia się orzeczenia obowiązuje 14-dniowy termin spłaty. Ponadto każda organizacja na którą nałożono karę może złożyć wniosek o odroczenie płatności bądź rozłożenie jej na raty.
Od czego zależy wysokość kary?
Wysokość kary zależna jest m.in. od następujących czynników:
- charakter naruszenia i waga czynu,
- czas trwania naruszenia,
- liczba poszkodowanych osób i rozmiar poniesionej przez nich szkody,
- kategoria danych osobowych, których dotyczyło naruszenie przepisów RODO,
- rodzaj działań podjętych w celu zminimalizowania szkody,
- stopień odpowiedzialności administratora danych lub podmiotu przetwarzającego dane (z uwzględnieniem wdrożonych przez nich środków technicznych i organizacyjnych),
- stopień współpracy z organem nadzorczym,
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, a w szczególności czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.
Udostępnianie danych osobowych bez zgody - dowiedz się więcej
Kary RODO w liczbach - statystyki nie budzą wątpliwości
Przez ostatnie 4 lata organy nadzorcze Państw należących do Unii Europejskiej wydały wiele decyzji o nałożeniu kar za nieprzestrzeganie RODO. Łącznie w krajach UE i Wielkiej Brytanii nałożono 1123 kar na kwotę 1,619,295,046 euro (stan na kwiecień 2022 roku).
Rejestr kar w Europie
Pierwsze sankcje za nieprzestrzeganie wymogów rozporządzenia zostały nałożone w Europie już w lipcu i wrześniu 2018 roku. Pierwsza z nich została nałożona przez portugalski organ nadzorczy na podmiot leczniczy za nieprawidłowości dotyczące dostępu do systemu zarządzania danymi medycznymi pacjentów (400 tysięcy euro). Jednymi z głośniejszych decyzji wydanych w pierwszym roku obowiązywania RODO były również decyzje brytyjskiego organu nadzorczego dotyczące lotniska Heathrow oraz Facebooka.
Najwyższa z dotychczasowych kar została nałożona w lipcu 2021 roku w Luksemburgu na europejską spółkę Amazon Inc. Kara w wysokości 746 000 000 euro jest wynikiem postępowania, które zostało wszczęte po skardze francuskiej organizacji zajmującej się cyfrowymi prawami i wolnością obywateli (La Quadrature du Net). Postępowanie dotyczyło sposobu w jaki spółka uzyskiwała zgody na spersonalizowane reklamy.
Z kolei we wrześniu 2021 irlandzki organ nadzorczy nałożył karę w wysokości 225 000 000 euro na WhatsApp Ireland Ltd. za to, że spółka niewystarczająco poinformowała swoich użytkowników o tym, w jaki sposób dzieli się ich danymi z Facebookiem i innymi usługami należącymi do grupy kalifornijskiego giganta. W decyzji podkreślono wagę przejrzystego informowania przez administratorów danych osobowych, co zamierzają zrobić z gromadzonymi przez siebie danymi.
TOP 5 Kar nałożonych w Europie (stan na kwiecień 2022)
Top 5 kar RODO w Unii Europejskiej:
- Luksemburg, Amazon Europe Core S.à.r.l., kwota 746,000,000 euro, data: 16.07.2021; kara za sposób w jaki spółka uzyskiwała zgody na spersonalizowane reklamy.
- Irlandia, WhatsApp Ireland Ltd., kwota 225,000,000 euro, data: 02.09.2021; kara za to, że spółka niewystarczająco poinformowała swoich użytkowników o tym, w jaki sposób dzieli się ich danymi z Facebookiem.
- Francja, Google LLC, kwota 90,000,000 euro, data: 31.12.2021; kara za utrudnianie internautom korzystania z internetu poprzez niezgodę na cookies.
- Francja, Facebook Ireland Ltd., kwota 60,000,000 euro, data: 31.12.2021; kara za utrudnianie internautom korzystania z internetu poprzez niezgodę na cookies.
- Francja, Google Ireland Ltd., kwota 60,000,000 euro, data: 31.12.2021; kara za utrudnianie internautom korzystania z internetu poprzez niezgodę na cookies.
Rejestr kar w Polsce
Jak dokładnie wygląda rejestr kar RODO w naszym kraju po prawie czterech latach od wprowadzenia przepisów?
Polski Urząd Ochrony Danych Osobowych (UODO) w ciągu ostatnich 4 lat wydał 37 decyzji o nałożeniu kar finansowych: 8 w 2019 roku, 11 w 2020 roku, 15 w 2021 i 3 w okresie od stycznia do kwietnia 2022, na łączną kwotę ponad 3 mln euro (prawie 14 mln złotych).
Najczęściej administracyjne kary finansowe są nakładane w Polsce za:
- niezgłoszenie naruszenia w wymaganym czasie,
- uniemożliwienie przeprowadzenia kontroli,
- nieudzielenie informacji i brak współpracy z Prezesem UODO,
- brak współpracy z UODO w czasie prowadzenia czynności kontrolnych,
- brak monitorowania zabezpieczeń przez IOD, wyciek danych osobowych,
- przetwarzanie danych niezgodnie z prawem, bezprawne udostępnienie danych,
- brak technicznych i organizacyjnych środków bezpieczeństwa przetwarzanych danych.
W lutym 2022 roku Prezes Urzędu Ochrony Danych Osobowych nałożył rekordową w historii funkcjonowania Urzędu karę w wysokości ponad 4,9 mln złotych dla Fortum Marketing and Sales Polska S.A. za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego.
Kolejną z szeroko komentowanych decyzji Urzędu była kara nałożona na ClickQuickNow sp. z o.o. w październiku 2019 roku na kwotę 201 559,50 złotych. Kara została nałożona za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych. W uzasadnieniu decyzji wskazano, że Spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby łatwe i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz realizację prawa do żądania usunięcia danych osobowych (prawa do bycia zapomnianym).
Zgodnie z informacjami, które udało się uzyskać serwisowi money.pl od Urzędu Ochrony Danych Osobowych dotychczas zostały zapłacone 4 kary łączną kwotę 150 tys. zł. (stan na luty 2022 roku). W przypadku 27 kar nie ma jeszcze obowiązku zapłaty tych kar, gdyż decyzje je nakładające nie są prawomocne. Wynika to z faktu, że ukarane podmioty złożyły do sądu administracyjnego skargi na te decyzje, a w momencie złożenia skargi nie ma obowiązku zapłaty kary. W przypadku kilku skarg nie upłynął jeszcze termin na złożenie skargi. Natomiast jedna kara jest niemożliwa do wyegzekwowania ponieważ ukarana spółka została zlikwidowana i wykreślona z KRS.
Szczegółowy wykaz kar nałożonych przez UODO znajdziecie tutaj (link do tabeli)
TOP 5 Kar nałożonych przez UODO w Polsce (stan na kwiecień 2022)
Top 5 kar RODO w Polsce:
- Fortum Marketing and Sales Polska S.A., kwota: 1,000,000 euro (4,9 mln zł), data: 19.01.2022, kara za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego.
- Morele.net sp. z o.o., kwota: 660,000 euro (2,8 mln zł), data: 10.09.2019, ukarano spółkę ponieważ zastosowane przez nią środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce.
- Virgin Mobile Polska Sp. z o.o., kwota: 443,000 euro (1,9 mln zł), data: 03.12.2020, kara za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych.
- Cyfrowy Polsat S.A., kwota: 245,000 euro (1,1 mln zł), data: 22.04.2021, kara za niewdrożenie odpowiednich środków technicznych i organizacyjnych przy współpracy z firmą kurierską. Efektem tego były liczne naruszenia identyfikowane z dużym opóźnieniem.
- ID Finance Poland Sp. z o.o. w likwidacji, kwota: 235,300 euro (1 mln), data: 17.12.2020, kara za niewdrożenie zarówno w fazie projektowania procesu przetwarzania jak i w czasie samego przetwarzania, odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych
Podsumowanie
Grzywny nakładane przez europejskie organy nadzorcze opiewają na coraz większe sumy, co pokazuje jak wnikliwie przeprowadzane są kontrole i jak poważnie należy podejść do tematu ochrony danych osobowych, które przetwarzane są przez administratorów. Kary nakładane są na podmioty zarówno z sektora publicznego jak i prywatnego, ponadto niezależne od wielkości, branży czy specyfiki danej organizacji. Dlatego, aby uniknąć kar finansowych, każda organizacja powinna dostosować się do wymogów rozporządzenia.
Poniżej przedstawiamy aktualną listę kar nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych zaaktualizowaną 1 grudnia 2022:
Aktualna lista kar nałożonych przez PUODO 2019 - 2022