Odpowiedzialność administracyjna za naruszenie przepisów RODO

Osoba, której dane osobowe są przetwarzane, ma prawo wnieść skargę do Prezesa Urzędu Ochrony danych Osobowych. Na skutek wniesienia skargi rozpoczyna się postępowanie administracyjne. Organ nadzorczy uprawniony jest do stosowania kar administracyjnych (art. 83 rozporządzenia 2016/679) oraz środków wskazanych w art. 58 ust. 2 przywołanego rozporządzenia. Wysokość kar administracyjnych została określona w art. 83 rozporządzenia 2016/679 odrębnie dla podmiotów publicznych oraz pozostałych podmiotów. W art. 83 ust. 7 wskazano, że bez uszczerbku dla uprawnień naprawczych organu nadzorczego, o których mowa w art. 58 ust. 2, każde państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim.

Polski prawodawca wykorzystał tę możliwość i określił maksymalną wysokość administracyjnych kar pieniężnych, jakie mogą być nakładane na podmioty publiczne. Nakładanie kar na jednostki sektora finansów publicznych zostało uregulowane w art. 102 ustawy z dnia 10 maja 2018 r. Prezes Urzędu Ochrony Danych Osobowych może nałożyć, w drodze decyzji, administracyjne kary pieniężne:

1. w wysokości do 100 tys. zł – na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych instytuty badawcze, Narodowy Bank Polski;
2. w wysokości do 10 tys. zł – na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 13 ustawy z dnia 27 sierpnia 2009 r.

Na wszystkie inne niż publiczne podmioty, w drodze decyzji, można natomiast nałożyć administracyjną karę pieniężną wynikającą z art. 83 rozporządzenia 2016/679. Ustanowiono dwa rodzaje kar:

1. w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 4 ww. rozporządzenia);
2. w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 5 ww. rozporządzenia).

Wymierzana kara powinna mieć charakter odstraszający, jednocześnie proporcjonalny do popełnionych czynów. Przy wymierzaniu kar organ powinien brać pod uwagę następujące okoliczności:

1. charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
2. umyślny lub nieumyślny charakter naruszenia;
3. działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
4. stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych,
5. wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
6. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
7. kategorie danych osobowych, których dotyczyło naruszenie;
8. sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
9. jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
10. stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz
11. wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub straty, których udało się uniknąć.

Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów rozporządzenia 2016/679, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

TSUE orzekł, że na administratora można nałożyć administracyjną karę pieniężną za naruszenie powyższego rozporządzenia tylko wtedy, gdy naruszenie to zostało popełnione w sposób zawiniony, tzn. umyślnie lub nieumyślnie. W opinii TSUE tak będzie w przypadku, gdy administrator danych nie mógł nie wiedzieć, że jego zachowanie stanowi naruszenie, niezależnie od tego, czy miał świadomość popełnienia naruszenia, czy też nie. TSUE wskazał również, że jeżeli administratorem jest osoba prawna, nie jest konieczne, aby naruszenie zostało popełnione przez jej organ zarządzający lub aby organ ten posiadał o nim wiedzę. Przeciwnie – osoba prawna jest odpowiedzialna zarówno za naruszenia popełnione przez jej przedstawicieli, dyrektorów lub zarządców, jak i za naruszenia popełnione przez każdą inną osobę działającą w ramach jej działalności gospodarczej i na jej rachunek. TSUE doprecyzował ponadto, że nałożenia administracyjnej kary pieniężnej na osobę prawną jako administratora nie można uzależnić od uprzedniego stwierdzenia, że naruszenie to zostało popełnione przez zidentyfikowaną osobę fizyczną. Co więcej, na administratora można nałożyć karę pieniężną również za operacje dokonywane przez podmiot przetwarzający, o ile operacje te można przypisać administratorowi. Odnośnie do współadministrowania przez dwa podmioty lub większą ich liczbę TSUE wyjaśnił, że wynika ono z samego faktu, iż podmioty te uczestniczyły w ustalaniu celów i sposobów przetwarzania danych osobowych.