Zamknij
Zamknij
ODO 24 logo
EN
PL
Strona główna  •  Narzędzia  •  Zestawienie kar finansowych RODO

Zestawienie kar finansowych RODO

Sprawdź czy swoimi działaniami nie narażasz się na karę ze strony Prezesa UODO!

Zapoznaj się z poniższą tabelą, w której znajdziesz informacje, jakie działania i zaniechania stanowiły naruszenia RODO. Jakie kary nałożono na podmioty, które tych naruszeń się dopuściły, oraz czy decyzja UODO została utrzymana przez sąd.

Karolina Kalkowska

Wysokość kary zależy od okoliczności konkretnej sprawy

Organizacji, która narusza przepisy dotyczące przetwarzania danych osobowych, grożą – obok upomnień, nakazów określonego postępowania i innych środków określonych w RODO – także kary pieniężne. I to niemałe!

Założeniem jest, że kara ma być skuteczna, proporcjonalna i odstraszająca. Przy wymierzaniu kary organ bierze pod uwagę w szczególności takie czynniki jak:

  • charakter, wagę, czas trwania naruszenia,
  • liczbę poszkodowanych osób, kategorie danych osobowych,
  • rozmiar szkody,
  • umyślność/nieumyślność naruszenia, stopień przyczynienia się administratora lub podmiotu przetwarzającego do naruszenia (m.in. w kontekście stosowanych środków technicznych i organizacyjnych).

dowiedz się więcej

Znaczenie dla wysokości kary ma także:

  • skąd organ nadzorczy dowiedział się o naruszeniu (czy administrator dokonał zgłoszenia, czy organ dowiedział się o nim z innych źródeł),
  • czy organizacja podjęła działania mające na celu minimalizację szkody,
  • czy wcześniej u tego administratora lub podmiotu przetwarzającego dochodziło do naruszeń, czy organizacja przestrzegała środków przewidzianych RODO, jeśli takowe były wcześniej na nią nakładane,
  • w jakim stopniu organizacja współpracuje z rganem w celu usunięcia naruszenia i złagodzenia jego ewentualnych skutków,
  • oraz inne czynniki mające wpływ na okoliczności sprawy, takie jak osiągnięte z naruszenia, choćby pośrednio, korzyści lub uniknięte straty.

Górne granice kar wyznacza RODO

Naruszenia ochrony danych zagrożone są (w zależności od rodzaju naruszenia przepisów RODO) karą do 10 000 000 EUR lub 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% lub do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota jest wyższa), stąd wysokość kar może być tak bardzo zróżnicowana. Inna bowiem jest baza do obliczenia kary dla małego, lokalnego przedsiębiorstwa, a inna - dla organizacji o międzynarodowym zasięgu.

Ostatnia aktualizacja: 16 kwietnia 2024 r.

Ukarany podmiot (link) Data
decyzji		 Naruszone
przepisy		 Istota
decyzji		 Wysokość
kary (zł)		 WSA NSA

Zestawienie kar finansowych RODO

- + Jakie są maksymalne kary finansowe za naruszenie RODO?

Organem uprawnionym do nakładania kar finansowych za naruszenia ochrony danych osobowych jest Prezes UODO. Kara może wynosić do 20 milionów euro lub do 4% całkowitego rocznego obrotu na całym świecie z poprzedniego roku, w zależności od tego, która kwota jest wyższa.

- + Jak jest obliczana kara finansowa za naruszenie RODO?

Przy wymierzaniu kary organ bierze pod uwagę w szczególności takie czynniki jak:

  • charakter, wagę, czas trwania naruszenia,
  • liczbę poszkodowanych osób, kategorie danych osobowych,
  • rozmiar szkody,
  • umyślność/nieumyślność naruszenia, stopień przyczynienia się administratora lub podmiotu przetwarzającego do naruszenia (m.in. w kontekście stosowanych środków technicznych i organizacyjnych).

Przed nałożeniem kary, Prezes UODO przeprowadza postępowanie, podczas którego ocenia te czynniki.

- + Czy wielkość mojej firmy wpływa na wysokość kary finansowej za naruszenie RODO?

Tak, pośrednio wielkość Twojej firmy może wpłynąć na wysokość kary za naruszenie RODO, bowiem wysokość maksymalnej kary uzależniona jest od obrotu. Maksymalna kara może wynosić do 20 milionów euro lub do 4% całkowitego rocznego obrotu na całym świecie z poprzedniego roku, w zależności od tego, która kwota jest wyższa.

- + Jakie są najczęstsze powody nałożenia kar finansowych na podstawie RODO?

Do najczęstszych powodów nałożenia kar finansowych zaliczyć można:

  • nieadekwatne zabezpieczenia (26%),
  • niezgłoszenie naruszenia (19%),
  • brak współpracy UODO (15%)
  • brak umowy powierzenia (11%),
  • brak podstaw prawnych przetwarzania (10%)
  • brak rozliczalności (10%)
  • inne (10%)

- + Czy istnieją jakieś metody na zmniejszenie ryzyka nałożenia kary finansowej na podstawie RODO?

Tak, istnieje wiele metod i sprawdzonych praktyk, które zmniejszają ryzyko nałożenia kary finansowej na podstawie RODO. Zalecane jest planowanie i podejmowanie działań tego typu w sposób kompleksowy i komplementarny, aby ryzyko nałożenia kary było możliwie najniższe:

  • Wdrożenie i stosowanie RODO – organizacja jako całość powinna realizować cel, jakim jest zapewnienie zgodności z RODO.
  • Audyty – powinny być przeprowadzane w sposób cykliczny, aby zapewnić odpowiednią jakość monitorowania zgodności z RODO.
  • Analiza Ryzyka - powinna być przeprowadzona i cyklicznie weryfikowana, aby uprzednio zidentyfikować potencjalne słabości w systemach i procesach związanych z przetwarzaniem danych osobowych.
  • Środki bezpieczeństwa - odpowiednie techniczne i organizacyjne środki bezpieczeństwa powinny być dobrane z uwzględnieniem zidentyfikowanego ryzyka.
  • Szkolenie personelu – regularne szkolenie pracowników jest niezbędne nawet przy wdrożeniu najlepszych środków bezpieczeństwa.
  • Polityki i procedury – powinny być jasne i zrozumiałe, aby zapewnić ich rzeczywiste stosowanie.
  • Współpraca z organem nadzorczym – otwartość na współpracę z Prezesem UODO może w istotny sposób zmniejszyć ryzyko lub wysokość kary.
  • Reakcja na incydent - jeśli dojdzie do naruszenia, rekcja powinna być natychmiastowa. Tylko niezwłoczne działanie umożliwia sprawne wyeliminowanie źródeł naruszenia, a w razie potrzeby, także spełnienie obowiązków: zgłoszenia incydentu do organu oraz zawiadomienia osób, których dane dotyczą.
  • Powołanie inspektora ochrony danych (IOD) – powołanie inspektora może pomóc w monitorowaniu zgodności i ułatwić kontakt z organem nadzorczym.
  • Udokumentowane działanie – dokumentacja podejmowanych działań ułatwi wykazanie zgodności z RODO w przypadku czynności wyjaśniających lub kontrolnych.
  • Prawidłowe relacje z podwykonawcami – zawierane umowy powinny spełniać wymagania RODO oraz zapewniać, że podwykonawcy również będą działać w zgodzie z RODO.

- + Czy możliwe jest uniknięcie kary finansowej, jeśli szybko naprawię naruszenie RODO?

Możliwość uniknięcia kary finansowej za naruszenie RODO zależy od wielu czynników i jest oceniana indywidualnie przez organ nadzorczy. Szybka reakcja i naprawa naruszenia to na pewno działania, które mogą wpłynąć na bardziej przychylną decyzję organu nadzorczego. W niektórych przypadkach może to pomóc w uniknięciu kary finansowej lub przynajmniej w jej zmniejszeniu.

Jednak ważne jest, aby zrozumieć, że w niektórych przypadkach samo naprawienie naruszenia nie wystarczy, zwłaszcza jeśli naruszenie było poważne, miało miejsce przez długi czas, dotyczyło dużej liczby osób lub było wynikiem braku odpowiednich procedur i kontroli.

- + Czy kary finansowe za naruszenie RODO są różne w różnych krajach Unii Europejskiej?

RODO jest rozporządzeniem Unii Europejskiej, co oznacza, że jest bezpośrednio stosowane we wszystkich krajach członkowskich UE bez potrzeby transponowania go do prawa krajowego. Dlatego zasady dotyczące kar za naruszenie RODO są takie same we wszystkich krajach członkowskich.

Sposób, w jaki te kary są stosowane w poszczególnych państwach członkowskich może się nieco różnić, ponieważ organy nadzorcze w każdym państwie mają pewną swobodę w ocenie każdego przypadku i decydowaniu o wysokości kary. To oznacza, że w praktyce kary mogą się różnić pomiędzy państwami w zależności od interpretacji i podejścia organów nadzorczych. Mogą również występować różnice w praktykach egzekwowania przepisów pomiędzy państwami.

- + Jakie działania mogą podjąć organy nadzorcze oprócz nałożenia kary finansowej na podstawie RODO?

Oprócz nałożenia kary finansowej, organy nadzorcze mają do dyspozycji szereg innych środków, które mogą zastosować w przypadku stwierdzenia naruszenia RODO. Obejmują one:

  • Wydawanie ostrzeżeń i upomnień: W przypadku drobnych naruszeń, organ nadzorczy może wydać upomnienie, zalecając poprawę procedur lub praktyk związanych z przetwarzaniem danych.
  • Nakazy: Organ nadzorczy może wydać nakaz określonego postępowania, np. poprzez zaprzestanie przetwarzania danych bądź dostosowanie, zmianę lub zakończenie konkretnych działań związanych z przetwarzaniem danych.
  • Ograniczenie przetwarzania: Organ nadzorczy może tymczasowe lub trwałe ograniczenia co do przetwarzania danych, w tym zastosować zakaz przetwarzania.
  • Zawieszenie przekazywania danych W przypadku zagranicznego transferu danych, organ nadzorczy może uchylić decyzję, która umożliwiła transfer bądź zawiesić przekazywanie danych do określonego odbiorcy w państwie trzecim (lub organizacji międzynarodowej).
  • Zawiadomienie osób, których dane dotyczą: W niektórych przypadkach organ nadzorczy może nakazać administratorowi, aby poinformował o incydencie osoby, których dane dotyczą.

- + Czy kara finansowa za naruszenie RODO jest jednorazowa, czy może być nałożona wielokrotnie?

Co do zasady, kara finansowa za naruszenie RODO w konkretnym przypadku i w danym okresie jest nakładana jednokrotnie.

W przypadku powtarzających się naruszeń przepisów RODO, organ nadzorczy może stosować kary finansowe o zwiększającej się wysokości, aż do maksymalnej kwoty przewidzianej w RODO. W tym sensie kara finansowa za naruszenia RODO może być nałożona wielokrotnie, za kolejne naruszenia, np. w postaci utrzymującego się stanu niezgodności z RODO.

- + Jak mogę zaskarżyć decyzję o nałożeniu kary finansowej za naruszenie RODO?

Decyzja Prezesa Urzędu Ochrony Danych Osobowych może być zaskarżona skargą do Wojewódzkiego Sądu Administracyjnego. Skargę do WSA wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych, a więc w pierwszej kolejności skarga jest adresowana do Prezesa UODO, który może uwzględnić skargę i wydać nową decyzję, bądź odmówić jej uwzględnienia i przekazać skargę do WSA.

Skargę należy wnieść w terminie 30 dni od otrzymania decyzji. Skarga powinna czynić zadość wymaganiom pisma w postępowaniu sądowym, a ponadto zawierać wskazanie zaskarżonej decyzji i organu, który ją wydał, oraz określenie naruszenia prawa lub interesu prawnego (art. 57 § 1 p.p.s.a.).

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziesz w wiadomości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).

Zamknij
Szukaj w ODO24.pl

Zapisz się na biuletyn ODO 24

Każdy czytelnik naszego biuletunu otrzymuje pakiet 4 bezpłatnych poradników i 4 mikroszkoleń RODO.

Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziesz w wiadomości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).