Odpowiedzialność za niewłaściwe przetwarzanie danych

Wyślij link znajomemu

Zgodnie z przepisami RODO oraz Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: UODO) za naruszenie zasad ochrony danych można ponieść:

  • Odpowiedzialność karną.
  • Odpowiedzialność cywilnoprawną.
  • Odpowiedzialność administracyjną.
 

Odpowiedzialność karna za niewłaściwe przetwarzanie danych

Ustawodawca krajowy uregulował odpowiedzialność karną za naruszenie przepisów o ochronie danych osobowych w art. 107 oraz art. 108 UODO w następujących przypadkach:

  • Przetwarzanie danych osobowych jest niedopuszczalne (art. 107 ust. 1 UODO).
  • Przetwarzanie danych osobowych odbywa się przez osobę do tego nieuprawnioną (art. 107 ust. 1 UODO).
  • Udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych albo niedostarczanie danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarczanie danych, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej (art. 108 ust. 1 i 2 UODO).
 

Powyższe czyny zagrożone są karami grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch. W przypadku zaś, gdy czyn, określony w art. 107 ust. 1 UODO dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Odpowiedzialność cywilnoprawna za niewłaściwe przetwarzanie danych    

Przepisy RODO przyznają każdej osobie fizycznej, której dobra zostały naruszone, prawo do wystąpienia z roszczeniem o zapłatę odszkodowania za naruszenie przepisów RODO. Zgodnie z art. 82 ust. 1 RODO, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

W myśl art. 82 ust. 2 RODO, każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane niewłaściwym przetwarzaniem. . Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom.

Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

Administrator lub podmiot przetwarzający, który zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo do żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.

 

Odpowiedzialność administracyjna za niewłaściwe przetwarzanie danych

Odpowiedzialność administracyjna jest realizowana przez organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO). W zależności od rodzaju i okoliczności naruszenia, PUODO może nałożyć na administratora danych karę pieniężną lub zastosować środek naprawczy, na przykład w postaci ostrzeżenia, upomnienia, nakazu określonego zachowania, wprowadzenia czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania.

W myśl art. 83 ust. 2 RODO, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku. Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę m.in. na: charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, rozmiaru poniesionej przez nie szkody oraz umyślny lub nieumyślny charakter naruszenia.

W art. 83 ust. 4 i 5 RODO rozróżniono dwie kategorie kar pieniężnych:

  • Do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie będzie miała kwota wyższa), za naruszenia dotyczące m. in.: podstawowych zasad przetwarzania, jak np. przetwarzanie bez legalnej podstawy prawnej, naruszenia praw osób, których dane dotyczą, jak np. prawo do usunięcia danych.
  • Do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie będzie miała kwota wyższa), za naruszenie obowiązków administratora lub podmiotu przetwarzającego dotyczących m. in.: wyrażenia zgody przez dziecko, zasad powierzenia przetwarzania danych.

 
PUODO raz w roku do 31 sierpnia przedstawia Sejmowi RP, Radzie Ministrów, Rzecznikowi Praw Obywatelskich, Rzecznikowi Praw Dziecka oraz Prokuratorowi Generalnemu sprawozdanie ze swojej działalności. W sprawozdaniach wymienione są administracyjne kary pieniężne wymierzone przez PUODO w poszczególnych latach.
 

Wykaz najwyższych administracyjnych kar pieniężnych wymierzonych przez PUODO w 2021 r.:

  • Kara w wysokości 136.975,00 zł nałożona na Cyfrowy Polsat S.A.
  • Kara w wysokości 159.176,00 zł nałożona na Sopockie Tow. Ubez. ERGO Hestia S.A.
  • Kara w wysokości 136.437,00 zł nałożona na ENEA S.A.
  • Kara w wysokości 100.000,00 zł nałożona na Krajową Szkołę Sądownictwa i Prokuratury.

 
 Wykaz najwyższych administracyjnych kar pieniężnych wymierzonych przez PUODO w 2020 r.:

  • Kara w wysokości 968.524,00 zł nałożona na Virgin Mobile Polska Sp. z o.o.
  • Kara w wysokości 069.850,00 zł nałożona na ID Finance Poland Sp. z o.o. w likwidacji
  • Kara w wysokości 000,00 zł nałożona na Głównego Geodetę Kraju.

 
Wykaz najwyższych administracyjnych kar pieniężnych wymierzonych przez PUODO w 2019 r.:

  • Kara w wysokości 830.410,00 zł nałożona na Morele.Net Sp. z o.o.
  • Kara w wysokości 000,00 zł nałożona na Bisnode Polska Sp. z o.o.
  • Kara w wysokości 000,00zł nałożona na ClickQuickNow Sp. z o.o.

 
Wykaz wybranych kar pieniężnych wymierzonych przez europejskie organy nadzorcze w III kwartale 2022:

  • Irlandia (DPA): Kara w wysokości 405.000.000,00 euro nałożona na Meta Platforms Ireland Limited.
  • Grecja (HDPA): Kara w wysokości 20.000.000,00 euro nałożona na spółkę Clearview AI.
  • Francja (CNIL): Kara w wysokości 1.000.000,00 euro nałożona na spółkę TOTALENERGIES ÉLECTRICITÉ ET GAZ FRANCE.
  • Norwegia (Datatilsynet): Kara w wysokości 4.000.000,00 koron norweskich nałożona na gminę Østre Toten.
  • Francja (CNIL): Kara w wysokości 600.000,00 euro nałożone na spółkę ACCOR.
  • Francja (CNIL): Kara w wysokości 175.000,00 zł euro nałożona na spółkę UBEEQO INTERNATIONAL.

 
Autor: Iza Grablewska