Tym niemniej, europejskie regulacje nie wytyczają żadnych zasad, którymi należałoby się kierować przy określaniu wysokości nakładanych kar administracyjnych. Dostrzegając tak istotną lukę, 19 lutego 2019 r. holenderski organ ochrony danych (niderl. Autoriteit Persoonsgegevens) wydał rozporządzeniew sprawie administracyjnych kar pieniężnych, nazywane potocznie „cennikiem” albo „taryfikatorem”.
Zważywszy, że dokument taki jest niezaprzeczalną innowacją na gruncie ochrony danych osobowych, organy nadzorcze innych krajów – w tym Polski – z pewnością będą korzystać z opracowanego cennika. Aby zatem nie dać się zaskoczyć potencjalnym konsekwencjom zaistniałych naruszeń, warto zapoznać się z zamieszczonym poniżej tłumaczeniem rozporządzenia, a także z krótkim podsumowaniem, objaśniającym istotę oraz najważniejsze aspekty wydanego przez Holendrów aktu.
Ogólne Przepisy Administracyjne Urzędu Ochrony Danych Osobowych z dnia 19 lutego 2019 dotyczące ustalania wysokości administracyjnych kar pieniężnych (Rozporządzenie Urzędu Ochrony Danych Osobowych ws. Administracyjnych Kar Pieniężnych 2019).
Urząd Ochrony Danych Osobowych, w odniesieniu do ustalania wysokości kar pieniężnych, uwzględniając:
- art. 4:81 i 5:46, ust. 6 Ogólnej Ustawy Administracyjnej
- art. 83 Ogólnego Rozporządzenia o Ochronie Danych,
- art. 14, ust. 3, art. 17 i 18 Ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych,
- art. Z 11a Ustawy Wyborczej,
- art. 4.1, ust. 1 Ustawy o Powszechnej Ewidencji Ludności,
- art. 35c Ustawy o Rejestrach Policyjnych,
- art. 27, 39r, 51, 51d, 51h Ustawy o Rejestrze Sądowym i Rejestrze Karnym,
- art. 15.4, ust. 3 i 5 Ustawy Prawo Telekomunikacyjne,
zarządza, co następuje:
Rodział 1
Przepisy ogólne
Art. 1 Definicje
Dla celów niniejszego rozporządzenia:
- Urząd Ochrony Danych Osobowych oznacza Urząd Ochrony Danych Osobowych, o którym mowa w art. 6, ust. 1 Ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych,
- kwota podstawowa grzywny oznacza kwotę stanowiącą podstawę do obliczenia wysokości nakładanej kary administracyjnej, ustaloną w oparciu o kategorię grzywien dotyczących danego wykroczenia, przed zastosowaniem paragrafu 2.6.
- osoba, której dane dotyczą oznacza podmiot, którego dane można traktować w kategoriach danych osobowych, o czym mowa w art. 4, punkt 1 Ogólnego Rozporządzenia o Ochronie Danych
- recydywa oznacza okoliczność, gdy przed upływem 5 lat od nałożenia kary administracyjnej przez Urząd Ochrony Danych Osobowych sprawca dopuszcza się takiego samego lub podobnego wykroczenia.
Rodział 2
Wysokość administracyjnych kar pieniężnych
Paragraf 2.1 Naruszenia przepisów podlegające karze pieniężnej w wysokości do 10.000.000 EUR lub 20.000.000 EUR bądź, w przypadku przedsiębiorstw, 2% lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Art. 2 Kategoryzacja naruszeń przepisów a stawki kar pieniężnych
2.1 Przepisy w sprawie wykroczenia, co do którego organ właściwy ds. danych osobowych może nałożyć karę grzywny administracyjnej w wysokości do 10.000.000 € lub – w odniesieniu do przedsiębiorców – do 2% całkowitej wysokości obrotów światowych w skali roku w poprzednim roku księgowym, jeżeli kwota ta jest wyższa, sklasyfikowano w załączniku nr 1 sklasyfikowano w ramach kategorii I, kategorii II lub kategorii III.
2.2 Przepisy regulujące kwestię naruszeń podlegających karze pieniężnej, możliwej do nałożenia przez Urząd Ochrony Danych Osobowych w wysokości do 20.000.000 EUR lub, w przypadku przedsiębiorstwa, do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa, zostały w załączniku 2 podzielone na kategorię I, kategorię II, kategorię III lub kategorię IV.
2.3 Organ właściwy ds. danych osobowych określa wysokość grzywny podstawowej za wykroczenia, co do których ustawowa maksymalna wysokość grzywny wynosi 10.000.000 lub – w odniesieniu do przedsiębiorców – do 2% całkowitej wysokości obrotów światowych w skali roku w poprzednim roku księgowym, jeżeli kwota ta jest wyższa, lub 20.000.000 € lub – w odniesieniu do przedsiębiorców – do 4% całkowitej wysokości obrotów światowych w skali roku w poprzednim roku księgowym, jeżeli kwota ta jest wyższa, w ramach następujących zasad wymiaru kary grzywny:
Kategoria I |
Wysokość możliwej grzywny pomiędzy € 0 a € 200.000 |
Grzywna podstawowa: € 100.000 |
Kategoria II |
Wysokość możliwej grzywny pomiędzy € 120.000 a € 500.000 |
Grzywna podstawowa: € 310.000 |
Kategoria III |
Wysokość możliwej grzywny pomiędzy € 300.000 a € 750.000 |
Grzywna podstawowa: € 525.000 |
Kategoria IV |
Wysokość możliwej grzywny pomiędzy € 450.000 a € 1.000.000 |
Grzywna podstawowa: € 725.000 |
2.4 Wysokość grzywny podstawowej ustala się na poziomie minimalnej kwoty grzywny, powiększonej o połowę wysokości grzywny za wykroczenie związane z określoną kategorią podlegającą karze.
Paragraf 2.2 Naruszenia przepisów podlegające karze pieniężnej w wysokości do 900.000 EUR.
Art. 3 Kategoryzacja naruszeń przepisów a stawki kar pieniężnych
3.1 Przepisy regulujące kwestię naruszeń podlegających karze pieniężnej, możliwej do nałożenia przez Urząd Ochrony Danych Osobowych, w wysokości do 900.000 EUR, zostały w załączniku 3 podzielone na kategorię I, kategorię II lub kategorię III.
3.2 Organ właściwy ds. danych osobowych ustala wysokość grzywny podstawowej za wykroczenia, dla których obowiązuje ustawowa kwota maksymalna grzywny w wysokość 900.000 € w ramach następujących dopuszczalnych wymiarów grzywien:
Kategoria I |
Wysokość możliwej grzywny pomiędzy € 0 a € 250.000 |
Grzywna podstawowa: € 125.000 |
Kategoria II |
Wysokość możliwej grzywny pomiędzy € 150.000 a € 600.000 |
Grzywna podstawowa: € 375.000 |
Kategoria III |
Wysokość możliwej grzywny pomiędzy € 350.000 a € 900.000 |
Grzywna podstawowa: € 625.000 |
Paragraf 2.3 Naruszenia przepisów podlegające karze pieniężnej w wysokości do € 830.000
Art. 4 Kategoryzacja naruszeń przepisów a stawki kar pieniężnych
4.1 Przepisy dotyczące wykroczenia, w przypadku którego organ właściwy ds. danych osobowych może nałożyć karę grzywny w wysokości odpowiadającej co najwyżej kwocie kary pieniężnej kategorii szóstej określonej w artykule 23 ust. 4 Kodeksu karnego (na dzień 1 stycznia 2018 r. 830.000 €) , w załączniku nr 4 sklasyfikowano w ramach kategorii I, kategorii II lub kategorii III.
4.2 Organ właściwy ds. danych osobowych ustala wysokość grzywny podstawowej za wykroczenia, dla których obowiązuje ustawowa kwota maksymalna grzywny w wysokość 830.000 € w ramach następujących dopuszczalnych wymiarów grzywien:
Kategoria I |
Wysokość możliwej grzywny pomiędzy € 0 a € 200.000 |
Grzywna podstawowa: € 100.000 |
Kategoria II |
Wysokość możliwej grzywny pomiędzy € 120.000 a € 500.000 |
Grzywna podstawowa: € 310.000 |
Kategoria III |
Wysokość możliwej grzywny pomiędzy € 300.000 a € 830.000 |
Grzywna podstawowa: € 565.000 |
4.3 Wysokość grzywny podstawowej ustala się na poziomie minimalnej kwoty grzywny, powiększonej o połowę wysokości grzywny za wykroczenie związane z określoną kategorią podlegającą karze.
Paragraf 2.5 Naruszenia przepisów podlegające karze pieniężnej w wysokości do 83.000 EUR.
Art. 5 Kategoryzacja naruszeń przepisów a stawki kar pieniężnych
5.1 Przepisy dotyczące wykroczenia, w przypadku którego organ właściwy ds. danych osobowych może nałożyć karę grzywny w wysokości odpowiadającej co najwyżej kwocie kary pieniężnej kategorii piątej określonej w artykule 23 ust. 4 Kodeksu karnego (na dzień 1 stycznia 2018 r. 83.000 €), w załączniku nr 4 sklasyfikowano w ramach kategorii I, kategorii II lub kategorii III.
5.2 Organ właściwy ds. danych osobowych ustala wysokość grzywny podstawowej za wykroczenia, dla których obowiązuje ustawowa kwota maksymalna grzywny w wysokość 83.000 € w ramach następujących dopuszczalnych wymiarów grzywien:
Kategoria I |
Wysokość możliwej grzywny pomiędzy € 0 a € 25.000 |
Grzywna podstawowa: € 12.500 |
Kategoria II |
Wysokość możliwej grzywny pomiędzy € 15.000 a € 50.000 |
Grzywna podstawowa: € 32.500 |
Kategoria III |
Wysokość możliwej grzywny pomiędzy € 30.000 a € 83.000 |
Grzywna podstawowa: € 56.500 |
Paragraf 2.6 Ustalanie wysokości kary grzywny.
Art. 6 Grzywna podstawowa i jej ewentualne podwyższenie lub obniżenie
Organ właściwy ds. danych osobowych określa wysokość grzywny przez podwyższenie podstawowej kwoty grzywny (do co najwyżej maksymalnego wymiaru grzywny dla kategorii grzywny właściwej dla danego wykroczenia) lub jej obniżenie (maksymalnie do minimalnego wymiaru grzywny dla kategorii grzywny właściwej dla danego wykroczenia). Podstawowa kwota grzywny jest podwyższana lub obniżana w zależności od stopnia, w jakim znajduje to uzasadnienie w oparciu o czynniki określone w artykule 7.
Art. 7 Istotne czynniki
Bez uszczerbku dla stosowania art. 3: 4 i 5:46 Ogólnej ustawy administracyjnej, organ ochrony danych bierze pod uwagę czynniki wymienione w lit. od a do k, o ile ma to zastosowanie w konkretnym przypadku:
- charakter, powagę i czas trwania naruszenia, biorąc pod uwagę charakter, zakres lub cel przedmiotowego przetwarzania, a także liczbę dotkniętych osób, których dane dotyczą, oraz zakres poniesionej przez nie szkody;
- umyślny lub nieumyślny charakter naruszenia;
- środki podjęte przez administratora lub podmiot przetwarzający w celu ograniczenia szkód poniesionych przez osoby, których dane dotyczą;
- zakres odpowiedzialności administratora lub podmiotu przetwarzającego, przy uwzględnieniu środków technicznych i organizacyjnych wdrożonych zgodnie z art. 25 i 32 Ogólnego Rozporządzenia o Ochronie Danych;
- wcześniejsze istotne naruszenia popełnione przez administratora lub podmiot przetwarzający;
- stopień współpracy z organem nadzorczym w celu zaradzenia naruszeniu i ograniczenia jego ewentualnych negatywnych skutków;g) kategorie danych osobowych, których dotyczy naruszenie;
- kategorie danych osobowych, których dotyczy naruszenie;
- sposób, w jaki organ nadzoru dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosił naruszenie;
- zgodność z określonymi w art. 58, ust. 2 Ogólnego Rozporządzenia Ochrony Danych środkami, które zostały wcześniej podjęte względem administratora lub podmiotu przetwarzającego w odniesieniu do tej samej sprawy;
- stosowanie zatwierdzonych kodeksów postępowania, zgodnie z art. 40 Ogólnego Rozporządzenia Ochrony Danych lub z zatwierdzonymi mechanizmami certyfikacji zgodnymi z art. 42 Ogólnego Rozporządzenia Ochrony Danych;
- wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
Art. 8 Wykroczenie poza limit stawek kar pieniężnych oraz zwiększona kara maksymalna dla przedsiębiorstwa
8.1 W przypadku naruszenia przepisów, podlegającego pod kategorię niepozwalającą na nałożenie odpowiedniej do danego wykroczenia kary, Urząd Ochrony Danych Osobowych może zastosować karę w oparciu odpowiednio o kolejno wyższą bądź niższą kategorię.
8.2 W ramach uzupełnienia artykułu 7 lit. e przedmiotowych wytycznych i zastrzeżeniem postanowień artykułu 15.4 ust. 5 ustawy o telekomunikacji, organ właściwy ds. danych osobowych stosuje zasadę podwyższenia kwoty grzywny o 50% w przypadku ponownego dopuszczenia się wykroczenia, chyba że w okolicznościach danej sprawy należy to uznać za nieracjonalne. Organ właściwy ds. danych osobowych może przy tym przekroczyć właściwe ograniczenia dotyczące wymiaru grzywny, z uwzględnieniem ustawowej maksymalnej kwoty kary grzywny.
8.3 Jeżeli w przedmiocie określonego naruszenia, na przedsiębiorstwo może zostać nałożona kara grzywny administracyjnej w kwocie co najwyżej 10.000.000 €, a maksymalna kwota według właściwych przepisów dotyczących wymiaru kary grzywny w ocenie organu ds. ochrony danych nie pozwala na nałożenie kary we właściwej wysokości, to może on na podstawie artykułu 83 ust. 4 Ogólnego rozporządzenia ws. ochrony danych nałożyć na nie karę w wyższej kwocie, do co najwyżej 10.000.000 € lub 2% całkowitej wysokości obrotów światowych w skali roku w roku księgowym poprzedzającym wydanie decyzji w przedmiocie nałożenia kary grzywny administracyjnej, jeżeli kwota ta jest wyższa. Organ właściwy ds. danych osobowych dokonuje przy tym czynności z pominięciem ograniczeń wymiaru kary grzywny określonych w artykule 2.3.
8.4 Jeżeli w przedmiocie określonego naruszenia, na przedsiębiorstwo może zostać nałożona kara grzywny administracyjnej w kwocie co najwyżej 20.000.000 €, a maksymalna kwota według właściwych przepisów dotyczących wymiaru kary grzywny w ocenie organu ds. ochrony danych nie pozwala na nałożenie kary we właściwej wysokości, to może on na podstawie artykułu 83 ust. 5 i 6 Ogólnego rozporządzenia ws. ochrony danych nałożyć na nie karę w wyższej kwocie, do co najwyżej 20.000.000 € lub 4% całkowitej wysokości obrotów światowych w skali roku w roku księgowym poprzedzającym wydanie decyzji w przedmiocie nałożenia kary grzywny administracyjnej, jeżeli kwota ta jest wyższa. Organ właściwy ds. danych osobowych dokonuje przy tym czynności z pominięciem ograniczeń wymiaru kary grzywny określonych w artykule 2.3.
Paragraf 2.7 Kondycja finansowa.
Art. 9 Kondycja finansowa
Wymierzając administracyjną karę pieniężną, Urząd Ochrony Danych Osobowych bierze pod uwagę kondycję finansową podmiotu. W przypadku ograniczonej bądź niezadowalającej zdolności finansowej osoby dopuszczającej się naruszenia, Urząd Ochrony Danych Osobowych może zmniejszyć karę pieniężną, jeżeli, po zastosowaniu art. 8.1 niniejszego rozporządzenia, uzna nałożenie kary w wysokości mieszczącej się w limicie niższej kategorii za nieproporcjonalnie wysoką.
Paragraf 2.8 Naruszenie kilku przepisów.
Art. 10 Kary za naruszenia kilku przepisów
W przypadku naruszenia kilku przepisów w ramach tych samych lub powiązanych operacji przetwarzania całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
Rodział 3
Przepisy przejściowe i końcowe
Art. 11 Kary za naruszenia kilku przepisów
W przypadku naruszeń przepisów, w odniesieniu do których Urząd Ochrony Danych Osobowych stwierdza, iż zostały popełnione przed obowiązywaniem Ogólnego Rozporządzenia o Ochronie Danych oraz przed wejściem w życie Ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych dnia 25 maja 2018, zastosowanie ma obowiązujące wcześniejsze Rozporządzenie Urzędu Ochrony Danych Osobowych ws. Administracyjnych Kar Pieniężnych 2016.
Art. 12 Kary za naruszenia kilku przepisów
Rozporządzenie Urzędu Ochrony Danych Osobowych ws. Administracyjnych Kar Pieniężnych 2016 zostaje uchylone.
Art. 13 Wejście w życie
Rozporządzenie Urzędu Ochrony Danych Osobowych ws. Administracyjnych Kar Pieniężnych 2016 zostaje uchylone.
Art. 14 Tytuł
Tytuł niniejszego rozporządzenia otrzymuje brzmienie: Rozporządzenie Urzędu Ochrony Danych Osobowych ws. Administracyjnych Kar Pieniężnych 2019.
Art. 14 Niniejsze rozporządzenie wraz z notami objaśniającymi zostanie opublikowane w Dzienniku Urzędowym.
Tytuł niniejszego rozporządzenia otrzymuje brzmienie: Rozporządzenie Urzędu Ochrony Danych Osobowych ws. Administracyjnych Kar Pieniężnych 2019.
Haga, 19 luty 2019
Urząd Ochrony
Danych Osobowych
A. Wolfsen
Prezes
Załącznik 1 do art. 2
Rozporządzenia Urzędu Ochrony Danych Osobowych
ws. Administracyjnych Kar Pieniężnych 2019
Naruszenia przepisów podlegające karze pieniężnej w wysokości do 10.000.000 EU bądź, w przypadku przedsiębiorstw, 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Artykuł |
Opis |
Kategoria |
Ogólne Rozporządzenie o Ochronie Danych |
||
art. 8 |
Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego. |
II |
art. 11 |
Przetwarzanie niewymagające identyfikacji. | I |
art. 25 |
Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych. | II |
art. 26 |
Współadministratorzy. | I |
art. 27, z zastrzeżeniem ust. 3 |
Przedstawiciele administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii. | III |
art. 27, ust. 3 |
Przedstawiciele administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii. | II |
art. 28, z zastrzeżeniem ust. 9 |
Podmiot przetwarzający. | II |
art. 28, ust. |
Podmiot przetwarzający. | I |
art. 29 |
Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego. | I: jeśli naruszający przepisy jest osobą fizyczną; II: jeśli naruszający przepisy jest osobą prawną lub częścią osoby prawnej. |
art. 30, z zastrzeżeniem ust. 3 |
Rejestr czynności przetwarzania danych osobowych. | II |
art. 30, ust. 3 |
Rejestr czynności przetwarzania danych osobowych. | I |
art. 31 |
Współpraca z organem nadzorczym. | III |
art. 32 |
Bezpieczeństwo przetwarzania. | II |
art. 33, z zastrzeżeniem ust. 3 |
Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu. | III |
art. 33, ust. 3 |
Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu. | II |
art. 34, z zastrzeżeniem ust. 2 |
Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. | III |
art. 34, ust. 2 |
Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. | II |
art. 35, z zastrzeżeniem ust. 9 |
Ocena skutków w zakresie ochrony danych. | II |
art. 35, ust. 9 |
Ocena skutków w zakresie ochrony danych. | I |
art. 36 |
Uprzednia konsultacja. | II |
art. 37, z zastrzeżeniem ust. 7 |
Wyznaczenie inspektora ochrony danych. | II |
art. 37, ust.7 |
Wyznaczenie inspektora ochrony danych. | I |
art. 38, z zastrzeżeniem ust. 2 i 6 |
Status inspektora ochrony danych. | II |
art. 38, ust. 2 i 6 |
Status inspektora ochrony danych. | I |
art. 39 |
Zadania inspektora ochrony danych. | II |
art. 41, ust. 4 |
Monitorowanie zatwierdzonych kodeksów postępowania. | I |
art. 42, z zastrzeżeniem ust. 3 i 6 |
Certyfikacja. | II |
art. 42, ust. 3 |
Certyfikacja. | I |
art. 42, ust. 6 |
Certyfikacja. | III |
art. 43 |
Podmioty certyfikujące. | I |
Ustawa - Przepisy wprowadzające ustawę o ochronie danych osobowych |
||
art. 18, ust. 1 |
Administracyjna kara pieniężna nakładana na instytucje rządowe. |
I, II lub III, w zależności od klasyfikacji podstawowych przepisów. |
Załącznik 2 do art. 2
Rozporządzenia Urzędu Ochrony Danych Osobowych
ws. Administracyjnych Kar Pieniężnych 2019
Naruszenia przepisów podlegające karze pieniężnej w wysokości do 20.000.000 EUR bądź, w przypadku przedsiębiorstw, 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Artykuł |
Opis |
Kategoria |
Ogólne Rozporządzenie o Ochronie Danych |
||
art. 5, ust. 1, z zastrzeżeniem pkt. a |
Zasady dotyczące przetwarzania danych osobowych. | III |
art. 5, ust. 1, pkt. a, i ust. 2 |
Zasady dotyczące przetwarzania danych osobowych. | I, II lub III, w zależności od klasyfikacji podstawowych przepisów. |
art. 6 |
Zgodność z prawem każdego przetwarzania danych. | III |
art. 7 |
Warunki udzielenia zgody. | III |
art. 9 |
Przetwarzanie szczególnych kategorii danych osobowych. | IV |
art. 12, z zastrzeżeniem ust. 3-5 |
Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą. | III |
art. 12, ust. 3-5 |
Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą. | II |
art. 13 |
Informacje podawane w przypadku zbierania danych osobowych od osoby, której dane dotyczą. | III |
art. 14 |
Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą. | III |
art. 15 |
Prawo dostępu przysługujące osobie, której dane dotyczą. | III |
art. 16 |
Prawo do poprawiania danych. | III |
art. 17 |
Prawo do usunięcia danych. | III |
art. 18, z zastrzeżeniem ust. 3 |
Prawo do ograniczenia przetwarzania. | III |
art. 18, ust. 3 |
Prawo do ograniczenia przetwarzania. | II |
art. 19 |
Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania. | II |
art. 20 |
Prawo do przenoszenia danych. | III |
art. 21, z zastrzeżeniem ust. 4 |
Prawo sprzeciwu. | III |
art. 21, ust. 4 |
Prawo sprzeciwu. | II |
art. 22 |
Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach (w tym profilowanie). | IV |
art. 44 |
Ogólne zasady przekazywania. | III |
art. 45 |
Przekazywanie na podstawie decyzji stwierdzającej odpowiedni poziom ochrony. | III |
art. 46 |
Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń. | III |
art. 47 |
Wiążące reguły korporacyjne. | III |
art. 48 |
Przekazywanie lub ujawnianie niedozwolone na mocy prawa Unii. | III |
art. 49 |
Wyjątki w szczególnych sytuacjach. | III |
wszystkie obowiązki wynikające z prawa ustanowionego przez państwa członkowskiego, przyjęte na podstawie rozdziału IX rozporządzenia, np. |
I, II lub III lub IV w zależności od klasyfikacji podstawowych przepisów. | |
art. 87 Ogólnego Rozporządzenie o Ochronie Danych w związku z art. 46 , ust. 1 Ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych, |
Przetwarzanie krajowego numeru identyfikacyjnego. | IV |
art. 89 Ogólnego Rozporządzenie o Ochronie Danych w związku z art. 45 Ustawy - Ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych, |
Przetwarzanie krajowego numeru identyfikacyjnego. | III |
art. 89 Ogólnego Rozporządzenie o Ochronie Danych w związku z art. 45 Ustawy - Ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych, |
Zabezpieczenia i wyjątki mające zastosowanie do przetwarzania do celów archiwalnych w interesie publicznym, do celów badań. | III |
nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienie dostępu skutkującego naruszeniem art. 58 ust. 1. |
IV | |
nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 |
IV | |
Ustawa - Przepisy wprowadzające ustawę o ochronie danych osobowych. |
||
art. 17, ust. 1 |
Administracyjna kara pieniężna o charakterze karnym za niezgodne z prawem przetwarzanie danych osobowych. | IV |
art. 18, ust. 1 |
Administracyjna kara pieniężna nakładana na instytucje rządowe. | I, II lub III lub IV w zależności od klasyfikacji podstawowych przepisów. |
Załącznik 3 do art. 2
Rozporządzenia Urzędu Ochrony Danych Osobowych
ws. Administracyjnych Kar Pieniężnych 2019
Naruszenia przepisów podlegające karze pieniężnej w wysokości do 900.000 EUR
Artykuł |
Opis |
Kategoria |
Ustawa Prawo Telekomunikacyjne |
||
art. 11.3a, z zastrzeżeniem ust. 3 i 7 |
Obowiązek zgłaszania naruszeń danych przez dostawców publicznie dostępnych usług łączności elektronicznej. |
II |
art. 11.3a, ust. 3 i 7 |
Obowiązek zgłaszania naruszeń danych przez dostawców publicznie dostępnych usług łączności elektronicznej. | I |
art. 11.5b |
Przetwarzanie danych osobowych przez dostawców usług zaufania. | II |
art. 18.15a |
Wytyczne dotyczące dostarczanych danych przy powiadamianiu o naruszeniu bezpieczeństwa lub utracie integralności. | I |
Rozporządzenie (UE) nr 910/2014 (rozporządzenie eIDAS) |
||
art. 19, ust. 2 |
Obowiązek zgłaszania naruszeń danych w rozporządzeniu eIDAS. | II |
Ogólne prawo administracyjne |
||
art. 5:20, ust. 1 |
Obowiązek współpracy (monitorowanie zgodności z ustawą Prawo Telekomunikacyjne) . | III |
Załącznik 4 do art. 2
Rozporządzenia Urzędu Ochrony Danych Osobowych
ws. Administracyjnych Kar Pieniężnych 2019
Naruszenia przepisów podlegające karze pieniężnej w wysokości do 830.000 EUR.
Artykuł |
Opis |
Kategoria |
Ustawa o Rejestrach Policyjnych |
||
art. 5 |
Szczególne kategorie rejestrów policyjnych. | |
art. 7a |
Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach. | III |
art. 24a, z zastrzeżeniem ust. 2 i 3 |
Przekazanie informacji osobie, której dane dotyczą. | II |
art. 24a, ust. 2 i 3 |
Przekazanie informacji osobie, której dane dotyczą. | I |
art. 24b |
Udzielenie informacji osobie, której dane dotyczą. | II |
art. 25, ust. 1 |
Prawo dostępu | II |
art. 25, ust. 2 |
Prawo dostępu | I |
art. 28, ust. 1 i 2 |
Prawo do poprawiania i usunięcia danych z rejestrów policyjnych. | II |
art. 28, ust. 3, 4 i 5 |
Prawo do poprawiania i usunięcia danych z rejestrów policyjnych. | I |
Ustawa o Rejestrze Sądowym i Rejestrze Karnym |
||
art. 7e |
Zautomatyzowane przetwarzanie (w tym profilowanie) | III |
art. 17a |
Informacja dla osoby, której dane dotyczą. | II |
art. 17b, z zastrzeżeniem ust. 2 |
Udzielenie informacji osobie, której dane dotyczą. | II |
art. 17b, ust. 2 |
Udzielenie informacji osobie, której dane dotyczą. | I |
art. 18 |
Prawo dostępu. | II |
art. 22, z zastrzeżeniem ust. 4 i 5 |
Prawo do poprawiania, usunięcia lub zablokowania danych. | II |
art. 22, ust. 4 i 5 |
Prawo do poprawiania, usunięcia lub zablokowania danych. | I |
art. 24 |
Obowiązek zgłoszenia poprawy, usunięcia lub zablokowania danych | I |
art. 39c, ust. 1 w związku z art. 7e |
Zautomatyzowane przetwarzanie (w tym profilowanie). | III |
art. 40, ust. 3 w związku z art. 7e |
Zautomatyzowane przetwarzanie (w tym profilowanie)Uwaga! Akt prawny mówi o art. „40a, ust. 3”. | III |
art. 42b, z zastrzeżeniem analogicznego zastosowania art. 17b, ust. 2 |
Przekazanie informacji osobie, której dane dotyczą. | II |
art. 42b, w odniesieniu do analogicznego zastosowania art. 17b, ust. 2 |
Przekazanie informacji osobie, której dane dotyczą. | I |
art. 43 |
Prawo dostępu | II |
art. 46, z zastrzeżeniem ust. 4 oraz analogicznego zastosowania art. 22, ust. 5 |
Prawo do poprawiania, usunięcia lub zablokowania danych. | II |
art. 46, ust. 4 oraz w odniesieniu do analogicznego zastosowania art. 22, ust. 5 |
Prawo do poprawiania, usunięcia lub zablokowania danych. | I |
art. 48 |
Obowiązek zgłoszenia poprawy, usunięcia lub zablokowania danych. | I |
art. 51b, ust. 1 w związku z art. 7e |
Zautomatyzowane przetwarzanie (w tym profilowanie). | III |
art. 51b, ust. 1 w związku z 17a |
Informacja dla osoby, której dane dotyczą. | II |
art. 51b, ust. 1 w związku z art. 17b, z zastrzeżeniem ust. 2 tego artykułu |
Udzielenie informacji osobie, której dane dotyczą. | II |
art. 51b, ust. 1 w związku z art. 17b, ust. 2 |
Udzielenie informacji osobie, której dane dotyczą. | I |
art. 51b, ust. 1 w związku z art. 22, z zastrzeżeniem ust. 4 i 5 tego artykułu |
Prawo do poprawiania, usunięcia lub zablokowania danych. | II |
art. 51b, ust. 1 w związku z art. 22, ust. 4 i 5 |
Prawo do poprawiania, usunięcia lub zablokowania danych. | I |
art. 51b, ust. 1 w związku z art. 24 |
Obowiązek zgłoszenia poprawy, usunięcia lub zablokowania danych. | I |
art. 51b, ust. 2 w związku z art. 18 |
Prawo dostępu. | II |
art. 51f, ust. 1 w związku z art. 7e |
Zautomatyzowane przetwarzanie (w tym profilowanie). | III |
art. 51f, ust. 1 w związku z art. 17a |
Informacja dla osoby, której dane dotyczą. | II |
art. 51f, ust. 1 w związku z art. 17b, z zastrzeżeniem ust. 2 tego artykułu |
Udzielenie informacji osobie, której dane dotyczą. | II |
art. 51f, ust. 1 w związku z art. 17b, ust. 2 |
Udzielenie informacji osobie, której dane dotyczą. | I |
art. 51f, ust. 1 w związku z art. 18 |
Prawo dostępu. | II |
art. 51f, ust. 1 w związku z art. 22, z zastrzeżeniem ust. 4 i 5 tego artykułu |
Prawo do poprawiania, usunięcia lub zablokowania danych. | II |
art. 51f, ust. 1 w związku z art. 22, ust. 4 i 5 |
Prawo do poprawiania, usunięcia lub zablokowania danych | I |
art. 51f, ust. 1 w związku z art. 24 |
Obowiązek zgłoszenia poprawy, usunięcia lub zablokowania danych | I |
Załącznik 5 do art. 2
Rozporządzenia Urzędu Ochrony Danych Osobowych
ws. Administracyjnych Kar Pieniężnych 2019
Naruszenia przepisów podlegające karze pieniężnej w wysokości do 83.000 EUR
Artykuł |
Opis |
Kategoria |
Ustawa o Rejestrach Policyjnych |
||
| art. 4a |
Ochrona danych w fazie projektowania | III |
art. 4b |
Domyślna ochrona danych. | III |
art. 4c |
Ocena skutków w zakresie ochrony danych. | III |
art. 6c |
Podmiot przetwarzający. | III |
art. 31d |
Rejestr. | III |
art. 32 |
Dokumentacja. | II |
art. 33a |
Zgłaszanie naruszeń danych. | III |
art. 33b |
Uprzednia konsultacja z Urzędem Ochrony Danych Osobowych. | III |
art. 36 |
Inspektor ochrony danych. | III |
Ustawa o Rejestrze Sądowym i Rejestrze Karnym |
||
art. 7 |
Obowiązki administratora i podmiotu przetwarzającego oraz bezpieczeństwo danych. | III |
art. 7a |
Ochrona danych w fazie projektowania i domyślna ochrona danych. | III |
art. 7b |
Ocena skutków w zakresie ochrony danych. | III |
art. 7d |
Podmiot przetwarzający. | III |
art. 19, ust. 1 |
Obowiązek rejestracji i archiwizowania wniosków o wgląd do rejestru sądowego. | II |
art. 26c |
Rejestr. | III |
art. 26f |
Inspektor ochrony danych. | III |
art. 26g |
Zgłaszanie naruszenia bezpieczeństwa. | III |
art. 26h |
Uprzednia konsultacja z Urzędem Ochrony Danych Osobowych. | III |
art. 39c, ust. 1 w związku z art. 7 |
Obowiązki administratora oraz bezpieczeństwo danych. | III |
art. 39c, ust. 1 w związku z art. 7a |
Ochrona danych w fazie projektowania i domyślna ochrona danych. | III |
art. 39c, ust. 1 w związku z art. 7b |
Ocena skutków w zakresie ochrony danych. | III |
art. 39c, ust. 1 w związku z art. 7d |
Podmiot przetwarzający. | II |
art. 39r, ust. 1 w związku z art. 26c |
Rejestr | III |
art. 39r, ust. 1 w związku z art. 26g |
Zgłaszanie naruszenia bezpieczeństwa. | III |
art. 39r, ust. 1 w związku z art. 26h |
III | |
art. 40, ust. 3 w związku z art. 7 |
Obowiązki administratora oraz bezpieczeństwo danych. Uwaga! Akt prawny mówi o art. „40a, ust. 3”. | III |
art. 40, ust. 3 w związku z art. 7a |
Ochrona danych w fazie projektowania i domyślna ochrona danych. Uwaga! Akt prawny mówi o art. „40a, ust. 3”. | III |
art. 40, ust. 3 w związku z art. 7b |
Ocena skutków w zakresie ochrony danych. Uwaga! Akt prawny mówi o art. „40a, ust. 3”. | III |
art. 40, ust. 3 w związku z art. 7d |
Podmiot przetwarzający. Uwaga! Akt prawny mówi o art. „40a, ust. 3”. | III |
art. 51, ust. 1 w związku z art. 26c |
Rejestr. | III |
art. 51, ust. 1 w związku z art. 26f |
Inspektor ochrony danych. | III |
art. 51, ust. 1 w związku z art. 26g |
Zgłaszanie naruszenia bezpieczeństwa. | III |
art. 51, ust. 1 w związku z art. 26h |
Uprzednia konsultacja z Urzędem Ochrony Danych Osobowych | III |
art. 51b, ust. 1 w związku z art. 7 |
Obowiązki administratora oraz bezpieczeństwo danych. | III |
art. 51b, ust. 1 w związku z art. 7a |
Ochrona danych w fazie projektowania i domyślna ochrona danych . | III |
art. 51b, ust. 1 w związku z art. 7b |
Ocena skutków w zakresie ochrony danych | III |
art. 51b, ust. 1 w związku z art. 7d |
Podmiot przetwarzający. | III |
art. 51d, ust. 1 w związku z art. 26c |
Rejestr. | III |
art. 51d, ust. 1 w związku z art. 26f |
Inspektor ochrony danych . | III |
art. 51d, ust. 1 w związku z art. 26g |
Zgłaszanie naruszenia bezpieczeństwa. | III |
art. 51d, ust. 1 w związku z art. 26h. |
Uprzednia konsultacja z Urzędem Ochrony Danych Osobowych. | III |
art. 51f, ust. 1 w związku z art. 7 |
Obowiązki administratora oraz bezpieczeństwo danych. | III |
art. 51f, ust. 1 w związku z art. 7a |
Ochrona danych w fazie projektowania i domyślna ochrona danych. | III |
art. 51f, ust. 1 w związku z art. 7b |
Ocena skutków w zakresie ochrony danych. | III |
art. 51f, ust. 1 w związku z art. 7d |
Podmiot przetwarzający. | III |
art. 51h, ust. 1 w związku z art. 26c. |
RejestrUwaga! W odniesieniu do sądowych rejestrów karnych art. 1h, ust. 3, pkt. c błędnie odnosi się do „art. 51d, ust. 1 w odniesieniu do analogicznego zastosowania art. 26c, 26g i 26h w tym ustępie” zamiast „pierwszy ustęp, w odniesieniu do (…)” (por. art. 51). | III |
art. 51h, ust. 1 w związku z art. 26g |
Inspektor ochrony danychUwaga! W odniesieniu do sądowych rejestrów karnych art. 1h, ust. 3, pkt. c błędnie odnosi się do „art. 51d, ust. 1 w odniesieniu do analogicznego zastosowania art. 26c, 26g i 26h w tym ustępie” zamiast „pierwszy ustęp, w odniesieniu do (…)” (por. art. 51). | III |
art. 51h, ust. 1 w związku z ar. 26h |
Zgłaszanie naruszenia bezpieczeństwaUwaga! W odniesieniu do sądowych rejestrów karnych art. 1h, ust. 3, pkt. c błędnie odnosi się do „art. 51d, ust. 1 w odniesieniu do analogicznego zastosowania art. 26c, 26g i 26h w tym ustępie” zamiast „pierwszy ustęp, w odniesieniu do (…)” (por. art. 51). | III |
Noty objaśniające do Rozporządzenia
Ogólne uwagi
Urząd Ochrony Danych Osobowych jest niezależnym organem nadzorczym, mającym za zadanie sprawować nadzór prawny nad przetwarzaniem danych osobowych. Zadania oraz uprawnienia Urzędu wynikają w głównej mierze bezpośrednio z Ogólnego Rozporządzenia o Ochronie Danych (zwanego dalej: RODO) , a zostały dalej doprecyzowane w Ustawie - Przepisy wprowadzające ustawę o ochronie danych osobowych, (zwanej dalej: Przepisy wprowadzające RODO).
Uprawnienia Urzędu do nakładania kar pieniężnych
Na mocy uchylonej 25 maja 2018 roku Ustawy o ochronie danych osobowych (zwanej dalej Wbp) Urząd Ochrony Danych Osobowych uprawniony był do nakładania administracyjnych kar pieniężnych w przypadku naruszenia przepisów tej ustawy. W celu stosowania tego uprawnienia, Urząd Ochrony Danych Osobowych ustanowił wytyczne, Rozporządzenie Urzędu Ochrony Danych Osobowych ws. Administracyjnych Kar Pieniężnych 2016.
W związku z ostatnim rozszerzeniem kompetencji Urzędu do nakładania kar pieniężnych na podstawie Wbp powstał system egzekwowania prawa, mający zastosowanie od dnia 25 maja 2018 RODO, który zastąpił Wbp. RODO zapewnia krajowym organom nadzorczym szerokie uprawnienia ws. nakładania kar, wynikających z rozporządzenia. Na podstawie art. 14, ust. 3 tej Ustawy uprawnienia te przydzielone zostały Urzędowi Ochrony Danych Osobowych. Na mocy artykułu 18 Ustawy Urząd może również nałożyć karę pieniężną na instytucje rządowe bądź inne organy władzy publicznej z tytułu naruszenia RODO.
3 października 2017 ówczesna Grupa Robocza ds. Ochrony Danych przyjęła Artykuł 29 „Wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia (UE) nr 2016/679”. Wytyczne te zostały 25 maja 2018 zatwierdzone przez Europejską Radę Ochrony Danych (European Data Protection Board; zwaną dalej: EROD). W dokumencie tym ustanowiono przepisy i zasady regulujące stosowanie uprawnień do nakładania kar pieniężnych na podstawie RODO.
W związku z tym, że EROD nie ustanowiła jeszcze wspólnych zasad obliczania kar pieniężnych, Urząd Ochrony Danych Osobowych skłania się ku temu, by ustalić regulacje w zakresie wdrożenia uprawnień do nakładania kar na podstawie RODO i Przepisów wprowadzających RODO. Regulacje te odnoszą się do określania wysokości kar pieniężnych, w imię zasad równości i pewności prawa. EROD ma na celu wypracowanie wspólnych zasad dotyczących obliczania kar pieniężnych z tytułu naruszeń RODO. Ustanawiane przez Urząd Ochrony Danych Osobowych regulacje mają zatem w tym zakresie co do zasady charakter tymczasowy. W związku z powyższym Urząd, dostosowując swoją politykę do naruszeń RODO, podjął decyzję o zachowaniu struktury przedstawionej w niniejszym dokumencie, jaką jest kategoryzacja naruszeń przepisów a stawki kar pieniężnych. Oprócz kompetencji do nakładania kar pieniężnych wynikających z RODO oraz Przepisów Wprowadzających RODO, Urząd Ochrony Danych Osobowych na podstawie art. 15.4, ust. 4 Ustawy Prawo Telekomunikacyjne (zwanej dalej Tw) jest uprawniony do nałożenia kary pieniężnej za naruszenie przepisów, o których mowa w art. 15.1, ust. 2 tejże ustawy (obowiązek zgłaszania naruszeń danych w art. 11.3a Tw), oraz przepisów art. 18.15a Tw, art. 19, ust. 2 Rozporządzenia eIDAS i art. 5:20 Ogólnej Ustawy Administracyjnej (zwanej dalej Awb), nadzorując przestrzeganie przepisów Tw.
Ponadto Urząd ma prawo, na podstawie art. 35c, ust. 1 Ustawy o Rejestrach Policyjnych (zwanej dalej Wpg) oraz art. 27, ust. 4, art. 39r, ust. 3, art. 51, ust. 3, 51d, ust. 3 i art. 51h, ust. 3 Ustawy o Rejestrze Sądowym i Rejestrze Karnym (zwanej dalej Wjsg) nałożyć karę pieniężną za naruszenia przepisów wynikających z powyższych ustaw.
Przepisy wymienionych powyżej ustaw, których naruszenie grozi karą grzywny, zostały sklasyfikowane wg maksymalnej wysokości kary, są też wymienione i opisane w załącznikach 1-5 w niniejszym rozporządzeniu.
Należy przy tym zaznaczyć, że nowelizacja Wpg i Wjsg wdrażająca europejską dyrektywę o ochronie danych do celów wykrywania i ścigania czynów zabronionych zawiera pewne nieprawidłowe odniesienia.
Dotyczy to odniesień do artykułów ustaw Wpg oraz Wjsg, których nieprzestrzeganie przez administratora może skutkować nałożeniem kary administracyjnej. Zostało to wyraźnie wskazane przez rząd w odpowiedzi skierowanej do Pierwszej Izby Zapewniono, że wszystkie nieprawidłowości zostaną skorygowane możliwie jak najszybciej w oddzielnym wniosku legislacyjnym.
Ustalanie wysokości administracyjnych kar pieniężnych
Ustalając wysokość kary Urząd Ochrony Danych Osobowych musi zastosować się do m.in. ustawowo maksymalnej wysokości kary pieniężnej, obowiązujących przepisów (rozdział 5) Awb oraz ogólnych zasad dobrej administracji.
Zgodnie z Rozporządzeniem ws. Administracyjnych Kar Pieniężnych 2016 Urząd Ochrony Danych Osobowych z w pierwszej kolejności umożliwia zrozumienie czynników określających wysokość kary pieniężnej. Z drugiej strony przepisy te zapewniają Urzędowi odpowiednią elastyczność, pozwalającą na dostosowanie odpowiednich rozwiązań w indywidualnych przypadkach.
Zgodnie z art. 4:84 Awb Urząd Ochrony Danych Osobowych może odstąpić od przepisów dotyczących ustalania wysokości kar pieniężnych w przypadku sytuacji o charakterze szczególnym, które nie zostały uwzględnione w rozporządzeniu (możliwość odstąpienia od nałożenia administracyjnej kary pieniężnej).
Struktura Rozporządzenia ws. Administracyjnych Kar Pieniężnych
W celu ogólnego objaśnienia struktury kategoryzacji naruszeń przepisów a stawek kar pieniężnych Urząd Ochrony Danych Osobowych odsyła w pierwszej kolejności do not objaśniających przy Rozporządzeniu ws. Administracyjnych Kar Pieniężnych 2016 (Dziennik Urzędowy 2016, 2043).Ustalając kategoryzację, Urząd Ochrony Danych Osobowych postanowił przyjąć podział naruszeń przepisów na 3 kategorie, powiązane z odpowiednio wysokimi administracyjnymi karami pieniężnymi.
Wyjątek od powyższego stanowią przepisy dotyczące naruszenia, za które Urząd Ochrony Danych Osobowych ma prawo nałożyć administracyjną karę pieniężną w wysokości do 20.000.000 EUR bądź, w przypadku przedsiębiorstw, 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wykroczenia, w przypadku których kara ta ma zastosowanie, zostały podzielone w załączniku 2 na 4 kategorie.
Ustalając klasyfikację przepisów w kategoriach kar, Urząd o Ochronie Danych Osobowych ocenił wagę naruszonej normy. Dotyczy to zarówno wartości przepisów, jak i ich miejsca w hierarchii w zakresie ustawodawstwa i rozporządzeń w ramach prawa ochrony danych, z uwzględnieniem realizowanych przez nie celów i interesów publicznych, których przepisy mają za zadanie chronić.
Każdej kategorii odpowiadają stawki kar pieniężnych, które Urząd Ochrony Danych Osobowych uznał za odpowiednie i konieczne. Oznacza to, że wysokość kary musi być proporcjonalna i wystarczająco odstraszająca zarówno dla sprawcy (prewencja szczególna), jak i dla potencjalnych sprawców (prewencja ogólna). Urząd Ochrony Danych w ramach każdej kategorii stawek ustala kwotę podstawową grzywny, będącą kwotą wyjściową do obliczania odpowiednich kar pieniężnych. Urząd Ochrony Danych Osobowych ustala kwotę podstawową grzywny na poziomie 50% stawki odpowiadającej kategorii, przypisanej do odpowiedniego naruszenia.
Nakładając karę pieniężna, Urząd Ochrony Danych Osobowych uwzględnia czynniki wymienione w art.7. Czynniki te oparte są na art. 83 , ust. 2 RODO. Oprócz czynników określonych w art. 7, lit. a- j, przepisy z art. 7 lit. k przewidują możliwość uwzględnienia innych, mających zastosowanie do okoliczności sprawy, czynników. Mogą one m.in., choć nie wyłącznie, dotyczyć zysków finansowych. Wysokość nakładanej kary jest w dalszej kolejności dostosowywana na podstawie stosownych okoliczności łagodzących bądź obciążających w ramach stawek odpowiadających danej kategorii. Innymi słowy uwzględniana jest waga danego naruszenia oraz stopień, w jakim naruszenie można przypisać sprawcy. Urząd Ochrony Danych Osobowych może przy tym, w stosownych przypadkach oraz zależnie od stopnia, w jakim czynniki określone w art. 7 mają swoje uzasadnienie, odpowiednio zmniejszyć bądź zwiększyć karę, dopasowując ją do kolejno wyższej lub niższej kategorii (art. 8, ust. 1). Rozpatrywane może być również wykroczenie poza ustalone limity w przypadku, gdy wysokość kary, uwzględniając okoliczności konkretnego przypadku, nie zadziała wystarczająco prewencyjnie bądź jest nieproporcjonalnie wysoka. Ponadto podwyższenie nakładanej kary w przypadku recydywy może także skutkować wykraczaniem poza ustalone limity w stosownych przypadkach.
Stawki odpowiadające kategoriom naruszeń ustaw Tw, Wpg oraz Wjsg bazują w najwyższej kategorii na ustawowo maksymalnej karze pieniężnej. W odniesieniu do stawek przypisanych odpowiednim kategoriom naruszeń zgodnie z RODO postanowiono podzielić te naruszenia na 4 kategorie, przy czym stawka maksymalna przy najwyższej kategorii wynosi 1.000.000 EUR. Klasyfikacja ta uznana jest przez Urząd Ochrony Danych Osobowych za odpowiednią z punktu widzenia prewencji. Urząd bierze w szczególności pod uwagę fakt, iż kwota podstawowa kary w kategorii 4 (725.000 EUR) dotyczy sankcji, która - niezależnie od okoliczności szczególnych przypadków - jest odpowiednia, zważywszy na wagę naruszonej normy. Jeśli naruszenie zostało popełnione przez przedsiębiorstwo, a najwyższa kwota w odpowiedniej kategorii stawek kar pieniężnych nie pozwala w tym konkretnym przypadku w ocenie Urzędu na odpowiednią karę - przy czym można wziąć pod uwagę wagę firmy, wyrażoną w rocznym obrocie - wówczas art. 8, ust. 3 i 4 niniejszego rozporządzenia stanowi, że Urząd Ochrony Danych Osobowych może wykroczyć poza limit określonych w art. 2, ust. 3, kategorii stawek i nałożyć karę równą ustawowo maksymalnej karze zgodnie z RODO, art. 83, ust. 4, 5, 6.
Zastosowanie zasady proporcjonalności nakłada na Urząd Ochrony Danych Osobowych obowiązek uwzględniania sytuacji finansowej sprawcy przy ustalaniu wysokości kary. W przypadku ustalenia przez Urząd ograniczonej bądź niezadowalającej zdolności finansowej osoby, która dopuściła się naruszenia, może on zmniejszyć karę pieniężną w oparciu o art. 9. W tym kontekście Urząd odwołuje się również do art. 2a Ustawy - Przepisów Wprowadzających RODO, który nakłada wymóg uwzględniania potrzeb małych, średnich i mikroprzedsiębiorstw.
W celu przybliżenia najistotniejszych elementów powyższego rozporządzenia, polecamy zapoznanie się z artykułem pt. Cennik kar, czyli ile dokładnie zapłacimy za naruszenie zasad ochrony danych osobowych.