Jak wycenić naruszenie zasad ochrony danych osobowych? Holenderski taryfikator kar pieniężnych po polsku.

Ocena skutków dla ochrony danych DPIA

Nie ulega wątpliwości, że kary finansowe stanowią zasadniczy instrument pozwalający właściwym organom nadzorczym na egzekwowanie przepisów prawa ochrony danych osobowych.

Tym niemniej, europejskie regulacje nie wytyczają żadnych zasad, którymi należałoby się kierować przy określaniu wysokości nakładanych kar administracyjnych. Dostrzegając tak istotną lukę, 19 lutego 2019 r. holenderski organ ochrony danych (niderl. Autoriteit Persoonsgegevens) wydał rozporządzeniew sprawie administracyjnych kar pieniężnych, nazywane potocznie „cennikiem” albo „taryfikatorem”.

Zważywszy, że dokument taki jest niezaprzeczalną innowacją na gruncie ochrony danych osobowych, organy nadzorcze innych krajów – w tym Polski – z pewnością będą korzystać z opracowanego cennika. Aby zatem nie dać się zaskoczyć potencjalnym konsekwencjom zaistniałych naruszeń, warto zapoznać się z zamieszczonym poniżej tłumaczeniem rozporządzenia, a także z krótkim podsumowaniem, objaśniającym istotę oraz najważniejsze aspekty   wydanego przez Holendrów aktu.

Więcej:
O tym jak powinniśmy zachować się, jeśli w naszej organizacji dojdzie do naruszenia dowiesz się z artykułu: Zarządzanie naruszeniami – plan działania.  

Ogólne Przepisy Administracyjne Urzędu Ochrony Danych Osobowych z dnia 19 lutego 2019 dotyczące ustalania wysokości administracyjnych kar pieniężnych (Rozporządzenie Urzędu Ochrony Danych Osobowych ws. Administracyjnych Kar Pieniężnych 2019).

Urząd Ochrony Danych Osobowych, w odniesieniu do ustalania wysokości kar pieniężnych, uwzględniając:

  • art. 4:81 i  5:46, ust. 6 Ogólnej Ustawy Administracyjnej
  • art. 83 Ogólnego Rozporządzenia o Ochronie Danych,
  • art. 14, ust. 3, art. 17 i 18 Ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych,
  • art. Z 11a Ustawy Wyborczej,
  • art. 4.1, ust. 1 Ustawy o Powszechnej Ewidencji Ludności,
  • art. 35c Ustawy o Rejestrach Policyjnych,
  • art. 27, 39r, 51, 51d, 51h Ustawy o Rejestrze Sądowym i Rejestrze Karnym,
  • art. 15.4, ust. 3 i 5 Ustawy Prawo Telekomunikacyjne,

zarządza, co następuje:

Rodział 1
Przepisy ogólne

Art. 1 Definicje

Dla celów niniejszego rozporządzenia:

  1. Urząd Ochrony Danych Osobowych oznacza Urząd Ochrony Danych Osobowych, o którym mowa  w art. 6, ust. 1 Ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych,
  2. kwota podstawowa grzywny oznacza kwotę stanowiącą podstawę do obliczenia wysokości nakładanej kary administracyjnej, ustaloną w oparciu o kategorię grzywien dotyczących danego wykroczenia, przed zastosowaniem paragrafu 2.6.
  3. osoba, której dane dotyczą oznacza podmiot, którego dane można traktować w kategoriach danych osobowych, o czym mowa w art. 4, punkt 1 Ogólnego Rozporządzenia o Ochronie Danych
  4. recydywa oznacza okoliczność, gdy przed upływem 5 lat od nałożenia kary administracyjnej przez Urząd Ochrony Danych Osobowych sprawca dopuszcza się takiego samego lub podobnego wykroczenia.

Rodział 2
Wysokość administracyjnych kar pieniężnych

Paragraf 2.1 Naruszenia przepisów podlegające karze pieniężnej w wysokości do 10.000.000 EUR lub 20.000.000 EUR bądź, w przypadku przedsiębiorstw, 2% lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Art. 2 Kategoryzacja naruszeń przepisów a stawki kar pieniężnych

2.1 Przepisy w sprawie wykroczenia, co do którego organ właściwy ds. danych osobowych może nałożyć karę grzywny administracyjnej w wysokości do 10.000.000 € lub – w odniesieniu do przedsiębiorców – do 2% całkowitej wysokości obrotów światowych w skali roku w poprzednim roku księgowym, jeżeli kwota ta jest wyższa, sklasyfikowano w załączniku nr 1 sklasyfikowano w ramach kategorii I, kategorii II lub kategorii III.

2.2 Przepisy regulujące kwestię naruszeń podlegających karze pieniężnej, możliwej do nałożenia przez Urząd Ochrony Danych Osobowych w wysokości do 20.000.000 EUR lub, w przypadku przedsiębiorstwa, do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa, zostały w załączniku 2 podzielone na kategorię I, kategorię II, kategorię III lub kategorię IV.

2.3 Organ właściwy ds. danych osobowych określa wysokość grzywny podstawowej za wykroczenia, co do których ustawowa maksymalna wysokość grzywny wynosi 10.000.000 lub – w odniesieniu do przedsiębiorców – do 2% całkowitej wysokości obrotów światowych w skali roku w poprzednim roku księgowym, jeżeli kwota ta jest wyższa, lub 20.000.000 € lub – w odniesieniu do przedsiębiorców – do 4% całkowitej wysokości obrotów światowych w skali roku w poprzednim roku księgowym, jeżeli kwota ta jest wyższa, w ramach następujących zasad wymiaru kary grzywny:


Kategoria I


Wysokość możliwej grzywny
pomiędzy € 0 a € 200.000


Grzywna podstawowa: € 100.000


Kategoria II


Wysokość możliwej grzywny
pomiędzy € 120.000 a € 500.000


Grzywna podstawowa: € 310.000


Kategoria III


Wysokość możliwej grzywny
pomiędzy € 300.000 a € 750.000


Grzywna podstawowa: € 525.000


Kategoria IV


Wysokość możliwej grzywny
pomiędzy € 450.000 a € 1.000.000


Grzywna podstawowa: € 725.000

2.4 Wysokość grzywny podstawowej ustala się na poziomie minimalnej  kwoty grzywny, powiększonej o połowę wysokości grzywny za wykroczenie związane z określoną kategorią podlegającą karze.

Paragraf 2.2 Naruszenia przepisów podlegające karze pieniężnej w wysokości do 900.000 EUR.

Art. 3 Kategoryzacja naruszeń przepisów a stawki kar pieniężnych

3.1 Przepisy regulujące kwestię naruszeń podlegających karze pieniężnej, możliwej do nałożenia przez Urząd Ochrony Danych Osobowych, w wysokości do 900.000 EUR, zostały w załączniku 3 podzielone na kategorię I, kategorię II lub kategorię III.

3.2 Organ właściwy ds. danych osobowych ustala wysokość grzywny podstawowej za wykroczenia, dla których obowiązuje ustawowa kwota maksymalna grzywny w wysokość 900.000 € w ramach następujących dopuszczalnych wymiarów grzywien:


Kategoria I


Wysokość możliwej grzywny
pomiędzy € 0 a € 250.000


Grzywna podstawowa: € 125.000


Kategoria II


Wysokość możliwej grzywny
pomiędzy € 150.000 a € 600.000


Grzywna podstawowa: € 375.000


Kategoria III


Wysokość możliwej grzywny
pomiędzy € 350.000 a € 900.000


Grzywna podstawowa: € 625.000

 Paragraf 2.3 Naruszenia przepisów podlegające karze pieniężnej w wysokości do € 830.000

Art. 4 Kategoryzacja naruszeń przepisów a stawki kar pieniężnych

4.1 Przepisy dotyczące wykroczenia, w przypadku którego organ właściwy ds. danych osobowych może nałożyć karę grzywny w wysokości odpowiadającej co najwyżej kwocie kary pieniężnej kategorii szóstej określonej w artykule 23 ust. 4 Kodeksu karnego (na dzień 1 stycznia 2018 r. 830.000 €) , w załączniku nr 4 sklasyfikowano w ramach kategorii I, kategorii II lub kategorii III.

4.2 Organ właściwy ds. danych osobowych ustala wysokość grzywny podstawowej za wykroczenia, dla których obowiązuje ustawowa kwota maksymalna grzywny w wysokość 830.000 € w ramach następujących dopuszczalnych wymiarów grzywien:


Kategoria I


Wysokość możliwej grzywny
pomiędzy € 0 a € 200.000


Grzywna podstawowa: € 100.000


Kategoria II

Wysokość możliwej grzywny
pomiędzy € 120.000 a € 500.000

Grzywna podstawowa: € 310.000


Kategoria III


Wysokość możliwej grzywny
pomiędzy € 300.000 a € 830.000


Grzywna podstawowa: € 565.000

4.3 Wysokość grzywny podstawowej ustala się na poziomie minimalnej  kwoty grzywny, powiększonej o połowę wysokości grzywny za wykroczenie związane z określoną kategorią podlegającą karze.

Paragraf 2.5 Naruszenia przepisów podlegające karze pieniężnej w wysokości do 83.000 EUR.

Art. 5 Kategoryzacja naruszeń przepisów a stawki kar pieniężnych

5.1 Przepisy dotyczące wykroczenia, w przypadku którego organ właściwy ds. danych osobowych może nałożyć karę grzywny w wysokości odpowiadającej co najwyżej kwocie kary pieniężnej kategorii piątej określonej w artykule 23 ust. 4 Kodeksu karnego (na dzień 1 stycznia 2018 r. 83.000 €), w załączniku nr 4 sklasyfikowano w ramach kategorii I, kategorii II lub kategorii III.

5.2 Organ właściwy ds. danych osobowych ustala wysokość grzywny podstawowej za wykroczenia, dla których obowiązuje ustawowa kwota maksymalna grzywny w wysokość 83.000 € w ramach następujących dopuszczalnych wymiarów grzywien:


Kategoria I


Wysokość możliwej grzywny
pomiędzy € 0 a € 25.000


Grzywna podstawowa: € 12.500


Kategoria II


Wysokość możliwej grzywny
pomiędzy € 15.000 a € 50.000


Grzywna podstawowa: € 32.500


Kategoria III


Wysokość możliwej grzywny
pomiędzy € 30.000 a € 83.000


Grzywna podstawowa: € 56.500

 Paragraf 2.6 Ustalanie wysokości kary grzywny.

Art. 6 Grzywna podstawowa i jej ewentualne podwyższenie lub obniżenie

Organ właściwy ds. danych osobowych określa wysokość grzywny przez podwyższenie podstawowej kwoty grzywny (do co najwyżej maksymalnego wymiaru grzywny dla kategorii grzywny właściwej dla danego wykroczenia) lub jej obniżenie (maksymalnie do minimalnego wymiaru grzywny dla kategorii grzywny właściwej dla danego wykroczenia). Podstawowa kwota grzywny jest podwyższana lub obniżana w zależności od stopnia, w jakim znajduje to uzasadnienie w oparciu o czynniki określone w artykule 7.

Art. 7 Istotne czynniki

Bez uszczerbku dla stosowania art. 3: 4 i 5:46 Ogólnej ustawy administracyjnej, organ ochrony danych bierze pod uwagę czynniki wymienione w lit. od a do k, o ile ma to zastosowanie w konkretnym przypadku:

  1. charakter, powagę i czas trwania naruszenia, biorąc pod uwagę charakter, zakres lub cel przedmiotowego przetwarzania, a także liczbę dotkniętych osób, których dane dotyczą, oraz zakres poniesionej przez nie szkody;
  2. umyślny lub nieumyślny charakter naruszenia;
  3. środki podjęte przez administratora lub podmiot przetwarzający w celu ograniczenia szkód poniesionych przez osoby, których dane dotyczą;
  4. zakres odpowiedzialności  administratora lub podmiotu przetwarzającego, przy uwzględnieniu środków technicznych i organizacyjnych wdrożonych zgodnie z art. 25 i 32 Ogólnego Rozporządzenia o Ochronie Danych;
  5. wcześniejsze istotne naruszenia popełnione przez administratora lub podmiot przetwarzający;
  6. stopień współpracy z organem nadzorczym w celu zaradzenia naruszeniu i ograniczenia jego ewentualnych negatywnych skutków;g)    kategorie danych osobowych, których dotyczy naruszenie;
  7. kategorie danych osobowych, których dotyczy naruszenie;
  8. sposób, w jaki organ nadzoru dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosił naruszenie;
  9. zgodność z określonymi w art. 58, ust. 2 Ogólnego Rozporządzenia Ochrony Danych środkami, które zostały wcześniej podjęte względem administratora lub podmiotu przetwarzającego w odniesieniu  do tej samej sprawy;
  10. stosowanie zatwierdzonych kodeksów postępowania, zgodnie z art. 40 Ogólnego Rozporządzenia Ochrony Danych lub z zatwierdzonymi mechanizmami certyfikacji zgodnymi z art. 42 Ogólnego Rozporządzenia Ochrony Danych;
  11. wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Art. 8 Wykroczenie poza limit stawek kar pieniężnych oraz zwiększona kara maksymalna dla przedsiębiorstwa

8.1 W przypadku naruszenia przepisów, podlegającego pod kategorię niepozwalającą na nałożenie odpowiedniej do danego wykroczenia kary, Urząd Ochrony Danych Osobowych może zastosować karę w oparciu odpowiednio o kolejno wyższą bądź niższą kategorię.

8.2 W ramach uzupełnienia artykułu 7 lit. e przedmiotowych wytycznych i zastrzeżeniem postanowień artykułu 15.4 ust. 5 ustawy o telekomunikacji, organ właściwy ds. danych osobowych stosuje zasadę podwyższenia kwoty grzywny o 50% w przypadku ponownego dopuszczenia się wykroczenia, chyba że w okolicznościach danej sprawy należy to uznać za nieracjonalne. Organ właściwy ds. danych osobowych może przy tym przekroczyć właściwe ograniczenia dotyczące wymiaru grzywny, z uwzględnieniem ustawowej maksymalnej kwoty kary grzywny.

8.3 Jeżeli w przedmiocie określonego naruszenia, na przedsiębiorstwo może zostać nałożona kara grzywny administracyjnej w kwocie co najwyżej 10.000.000 €, a maksymalna kwota według właściwych przepisów dotyczących wymiaru kary grzywny w ocenie organu ds. ochrony danych nie pozwala na nałożenie kary we właściwej wysokości, to może on na podstawie artykułu 83 ust. 4 Ogólnego rozporządzenia ws. ochrony danych nałożyć na nie karę w wyższej kwocie, do co najwyżej 10.000.000 € lub 2% całkowitej wysokości obrotów światowych w skali roku w roku księgowym poprzedzającym wydanie decyzji w przedmiocie nałożenia kary grzywny administracyjnej, jeżeli kwota ta jest wyższa.   Organ właściwy ds. danych osobowych dokonuje przy tym czynności z pominięciem ograniczeń wymiaru kary grzywny określonych w artykule 2.3.

8.4 Jeżeli w przedmiocie określonego naruszenia, na przedsiębiorstwo może zostać nałożona kara grzywny administracyjnej w kwocie co najwyżej 20.000.000 €, a maksymalna kwota według właściwych przepisów dotyczących wymiaru kary grzywny w ocenie organu ds. ochrony danych nie pozwala na nałożenie kary we właściwej wysokości, to może on na podstawie artykułu 83 ust. 5 i 6 Ogólnego rozporządzenia ws. ochrony danych nałożyć na nie karę w wyższej kwocie, do co najwyżej 20.000.000 € lub 4% całkowitej wysokości obrotów światowych w skali roku w roku księgowym poprzedzającym wydanie decyzji w przedmiocie nałożenia kary grzywny administracyjnej, jeżeli kwota ta jest wyższa. Organ właściwy ds. danych osobowych dokonuje przy tym czynności z pominięciem ograniczeń wymiaru kary grzywny określonych w artykule 2.3.

Paragraf 2.7 Kondycja finansowa.

Art. 9 Kondycja finansowa

Wymierzając administracyjną karę pieniężną, Urząd Ochrony Danych Osobowych bierze pod uwagę kondycję finansową podmiotu. W przypadku ograniczonej bądź niezadowalającej zdolności finansowej osoby dopuszczającej się naruszenia, Urząd Ochrony Danych Osobowych może zmniejszyć karę pieniężną, jeżeli, po zastosowaniu art. 8.1 niniejszego rozporządzenia, uzna nałożenie kary w wysokości mieszczącej się w limicie niższej kategorii za nieproporcjonalnie wysoką.

Paragraf 2.8 Naruszenie kilku przepisów.

Art. 10 Kary za naruszenia kilku przepisów

W przypadku naruszenia kilku przepisów w ramach tych samych lub powiązanych operacji przetwarzania całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

Rodział 3
Przepisy przejściowe i końcowe

Art. 11 Kary za naruszenia kilku przepisów

W przypadku naruszeń przepisów, w odniesieniu do których Urząd Ochrony Danych Osobowych stwierdza, iż zostały popełnione przed obowiązywaniem Ogólnego Rozporządzenia o Ochronie Danych oraz przed wejściem w życie Ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych dnia 25 maja 2018, zastosowanie ma  obowiązujące wcześniejsze Rozporządzenie Urzędu Ochrony Danych Osobowych ws. Administracyjnych Kar Pieniężnych 2016.

Art. 12 Kary za naruszenia kilku przepisów

Rozporządzenie Urzędu Ochrony Danych Osobowych ws. Administracyjnych Kar Pieniężnych 2016 zostaje uchylone.

Art. 13 Wejście w życie

Rozporządzenie Urzędu Ochrony Danych Osobowych ws. Administracyjnych Kar Pieniężnych 2016 zostaje uchylone.

Art. 14 Tytuł

Tytuł niniejszego rozporządzenia otrzymuje brzmienie: Rozporządzenie Urzędu Ochrony Danych Osobowych ws. Administracyjnych Kar Pieniężnych 2019.

Art. 14 Niniejsze rozporządzenie wraz z notami objaśniającymi zostanie opublikowane w Dzienniku Urzędowym.

Tytuł niniejszego rozporządzenia otrzymuje brzmienie: Rozporządzenie Urzędu Ochrony Danych Osobowych ws. Administracyjnych Kar Pieniężnych 2019.

Haga, 19 luty 2019

Urząd Ochrony

Danych Osobowych

A. Wolfsen

Prezes

Załącznik 1 do art. 2
Rozporządzenia Urzędu Ochrony Danych Osobowych
ws. Administracyjnych Kar Pieniężnych 2019

Naruszenia przepisów podlegające karze pieniężnej w wysokości do 10.000.000 EU bądź, w przypadku przedsiębiorstw, 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.


Artykuł


Opis



Kategoria


Ogólne Rozporządzenie o Ochronie Danych

   

art. 8


Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego.

 II

art. 11

Przetwarzanie niewymagające identyfikacji.  I

art. 25

Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych.  II

art. 26

Współadministratorzy.  I

art. 27, z zastrzeżeniem ust. 3

Przedstawiciele administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii.  III

art. 27, ust. 3

Przedstawiciele administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii.   II

art. 28, z zastrzeżeniem ust. 9

Podmiot przetwarzający.  II

art. 28, ust.

Podmiot przetwarzający.  I

art. 29

Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego. I: jeśli naruszający przepisy jest osobą fizyczną;
II: jeśli naruszający przepisy jest osobą prawną lub częścią osoby prawnej.

art. 30, z zastrzeżeniem ust. 3

Rejestr czynności przetwarzania danych osobowych.  II

art. 30, ust. 3

Rejestr czynności przetwarzania danych osobowych.  I

art. 31

Współpraca z organem nadzorczym.  III

art. 32

Bezpieczeństwo przetwarzania.  II

art. 33, z zastrzeżeniem ust. 3

Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu.  III

art. 33, ust. 3

Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu.  II

art. 34, z zastrzeżeniem ust. 2

Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych.  III

art. 34, ust. 2

Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych.  II

art. 35, z zastrzeżeniem ust. 9

Ocena skutków w zakresie ochrony danych.  II

art. 35, ust. 9

Ocena skutków w zakresie ochrony danych.  I

art. 36

Uprzednia konsultacja.  II

art. 37, z zastrzeżeniem ust. 7

Wyznaczenie inspektora ochrony danych.  II

art. 37, ust.7

Wyznaczenie inspektora ochrony danych.  I

art. 38, z zastrzeżeniem ust. 2 i 6

Status inspektora ochrony danych.  II

art. 38, ust. 2 i 6

Status inspektora ochrony danych.  I

art. 39

Zadania inspektora ochrony danych.  II

art. 41, ust. 4

Monitorowanie zatwierdzonych kodeksów postępowania.  I

art. 42, z zastrzeżeniem ust. 3 i 6

Certyfikacja.  II

art. 42, ust. 3

 Certyfikacja.  I

art. 42, ust. 6

 Certyfikacja.  III

art. 43

 Podmioty certyfikujące.  I

Ustawa - Przepisy wprowadzające ustawę o ochronie danych osobowych

   

art. 18, ust. 1


Administracyjna kara pieniężna nakładana na instytucje rządowe.


I, II lub III, w zależności od klasyfikacji podstawowych przepisów.

Załącznik 2 do art. 2
Rozporządzenia Urzędu Ochrony Danych Osobowych
ws. Administracyjnych Kar Pieniężnych 2019

Naruszenia przepisów podlegające karze pieniężnej w wysokości do 20.000.000 EUR bądź, w przypadku przedsiębiorstw, 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.


Artykuł


Opis



Kategoria


Ogólne Rozporządzenie o Ochronie Danych

   

art. 5, ust. 1, z zastrzeżeniem pkt. a

Zasady dotyczące przetwarzania danych osobowych. III

art. 5, ust. 1, pkt. a, i ust. 2

Zasady dotyczące przetwarzania danych osobowych. I, II lub III, w zależności od klasyfikacji podstawowych przepisów.

art. 6

Zgodność z prawem każdego przetwarzania danych. III

art. 7

Warunki udzielenia zgody. III

art. 9

Przetwarzanie szczególnych kategorii danych osobowych. IV

art. 12, z zastrzeżeniem ust. 3-5

Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą. III

art. 12, ust. 3-5

Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą. II

art. 13

Informacje podawane w przypadku zbierania danych osobowych od osoby, której dane dotyczą. III

art. 14

Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą. III

art. 15

Prawo dostępu przysługujące osobie, której dane dotyczą. III

art. 16

Prawo do poprawiania danych. III

art. 17

Prawo do usunięcia danych. III

art. 18, z zastrzeżeniem ust. 3

Prawo do ograniczenia przetwarzania. III

art. 18, ust. 3

Prawo do ograniczenia przetwarzania. II

art. 19

Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania. II

art. 20

Prawo do przenoszenia danych. III

art. 21, z zastrzeżeniem ust. 4

Prawo sprzeciwu. III

art. 21, ust. 4

Prawo sprzeciwu. II

art. 22

Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach (w tym profilowanie). IV

art. 44

Ogólne zasady przekazywania. III

art. 45

Przekazywanie na podstawie decyzji stwierdzającej odpowiedni poziom ochrony. III

art. 46

Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń. III

art. 47

Wiążące reguły korporacyjne. III

art. 48

Przekazywanie lub ujawnianie niedozwolone na mocy prawa Unii. III

art. 49

Wyjątki w szczególnych sytuacjach. III

wszystkie obowiązki wynikające z prawa ustanowionego przez państwa członkowskiego, przyjęte na podstawie rozdziału IX rozporządzenia, np.

  I, II lub III lub IV w zależności od klasyfikacji podstawowych przepisów.

art. 87 Ogólnego Rozporządzenie o Ochronie Danych  w związku  z art. 46 , ust. 1 Ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych,

Przetwarzanie krajowego numeru identyfikacyjnego. IV

art. 89 Ogólnego Rozporządzenie o Ochronie Danych  w związku  z art. 45 Ustawy - Ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych,

Przetwarzanie krajowego numeru identyfikacyjnego. III

art. 89 Ogólnego Rozporządzenie o Ochronie Danych  w związku  z art. 45 Ustawy - Ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych,

Zabezpieczenia i wyjątki mające zastosowanie do przetwarzania do celów archiwalnych w interesie publicznym, do celów badań. III

nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienie dostępu skutkującego naruszeniem art. 58 ust. 1.

  IV

nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2

  IV

Ustawa - Przepisy wprowadzające ustawę o ochronie danych osobowych.

   

art. 17, ust. 1

Administracyjna kara pieniężna o charakterze karnym za niezgodne z prawem przetwarzanie danych osobowych. IV

art. 18, ust. 1

Administracyjna kara pieniężna nakładana na instytucje rządowe. I, II lub III lub IV w zależności od klasyfikacji podstawowych przepisów.

Załącznik 3 do art. 2
Rozporządzenia Urzędu Ochrony Danych Osobowych
ws. Administracyjnych Kar Pieniężnych 2019

Naruszenia przepisów podlegające karze pieniężnej w wysokości do 900.000 EUR


Artykuł


Opis



Kategoria


Ustawa Prawo Telekomunikacyjne

   

art. 11.3a, z zastrzeżeniem ust. 3 i 7


Obowiązek zgłaszania naruszeń danych przez dostawców publicznie dostępnych usług łączności elektronicznej.

 II

art. 11.3a, ust. 3 i 7

Obowiązek zgłaszania naruszeń danych przez dostawców publicznie dostępnych usług łączności elektronicznej.  I

art. 11.5b

Przetwarzanie danych osobowych przez dostawców usług zaufania.  II

art. 18.15a

Wytyczne dotyczące dostarczanych danych przy powiadamianiu o naruszeniu bezpieczeństwa lub utracie integralności.  I

Rozporządzenie (UE) nr 910/2014 (rozporządzenie eIDAS)

   

art. 19, ust. 2

Obowiązek zgłaszania naruszeń danych w rozporządzeniu eIDAS.   II

Ogólne prawo administracyjne

   

art. 5:20, ust. 1

Obowiązek współpracy (monitorowanie zgodności z ustawą Prawo Telekomunikacyjne) .  III

Załącznik 4 do art. 2
Rozporządzenia Urzędu Ochrony Danych Osobowych
ws. Administracyjnych Kar Pieniężnych 2019

Naruszenia przepisów podlegające karze pieniężnej w wysokości do 830.000 EUR.


Artykuł


Opis



Kategoria


Ustawa o Rejestrach Policyjnych

   

art. 5

Szczególne kategorie rejestrów policyjnych.  

art. 7a

Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach. III

art. 24a, z zastrzeżeniem ust. 2 i 3

Przekazanie informacji osobie, której dane dotyczą. II

art. 24a, ust. 2 i 3

Przekazanie informacji osobie, której dane dotyczą. I

art. 24b

Udzielenie informacji osobie, której dane dotyczą. II

art. 25, ust. 1

Prawo dostępu II

art. 25, ust. 2

Prawo dostępu I

art. 28, ust. 1 i 2

Prawo do poprawiania i usunięcia danych z rejestrów policyjnych. II

art. 28, ust. 3, 4 i 5

Prawo do poprawiania i usunięcia danych z rejestrów policyjnych. I

Ustawa o Rejestrze Sądowym i Rejestrze Karnym

   

art. 7e

Zautomatyzowane przetwarzanie (w tym profilowanie) III

art. 17a

Informacja dla osoby, której dane dotyczą. II

art. 17b, z zastrzeżeniem ust. 2

Udzielenie informacji osobie, której dane dotyczą. II

art. 17b, ust. 2

Udzielenie informacji osobie, której dane dotyczą. I

art. 18

Prawo dostępu. II

art. 22, z zastrzeżeniem ust. 4 i 5

Prawo do poprawiania,  usunięcia lub zablokowania danych. II

art. 22, ust. 4 i 5

Prawo do poprawiania,  usunięcia lub zablokowania danych. I

art. 24

Obowiązek zgłoszenia poprawy, usunięcia lub zablokowania danych I

art. 39c, ust. 1 w związku z art. 7e

Zautomatyzowane przetwarzanie (w tym profilowanie). III

art. 40, ust. 3 w związku z art. 7e

Zautomatyzowane przetwarzanie (w tym profilowanie)Uwaga! Akt prawny mówi o art. „40a, ust. 3”. III

art. 42b, z zastrzeżeniem analogicznego zastosowania art. 17b, ust. 2

Przekazanie informacji osobie, której dane dotyczą. II

art. 42b, w odniesieniu do analogicznego zastosowania art. 17b, ust. 2

Przekazanie informacji osobie, której dane dotyczą. I

art. 43

Prawo dostępu II

art. 46, z zastrzeżeniem ust. 4 oraz analogicznego zastosowania art. 22, ust. 5

Prawo do poprawiania,  usunięcia lub zablokowania danych. II

art. 46, ust. 4 oraz w odniesieniu do analogicznego zastosowania art. 22, ust. 5

Prawo do poprawiania,  usunięcia lub zablokowania danych. I

art. 48

Obowiązek zgłoszenia poprawy, usunięcia lub zablokowania danych. I

art. 51b, ust. 1 w związku z art. 7e

Zautomatyzowane przetwarzanie (w tym profilowanie). III

art. 51b, ust. 1 w związku z 17a

Informacja dla osoby, której dane dotyczą. II

art. 51b, ust. 1 w związku z art. 17b, z zastrzeżeniem ust. 2 tego artykułu

Udzielenie informacji osobie, której dane dotyczą. II

art. 51b, ust. 1 w związku z art. 17b, ust. 2

Udzielenie informacji osobie, której dane dotyczą. I

art. 51b, ust. 1 w związku z art. 22, z zastrzeżeniem ust. 4 i 5 tego artykułu

Prawo do poprawiania,  usunięcia lub zablokowania danych. II

art. 51b, ust. 1 w związku z art. 22, ust. 4 i 5

Prawo do poprawiania,  usunięcia lub zablokowania danych. I

art. 51b, ust. 1 w związku z art. 24

Obowiązek zgłoszenia poprawy, usunięcia lub zablokowania danych. I

art. 51b, ust. 2 w związku z art. 18

Prawo dostępu. II

art. 51f, ust. 1 w związku z art. 7e

Zautomatyzowane przetwarzanie (w tym profilowanie). III

art. 51f, ust. 1 w związku z art. 17a

Informacja dla osoby, której dane dotyczą. II

art. 51f, ust. 1 w związku z art. 17b, z zastrzeżeniem ust. 2 tego artykułu

Udzielenie informacji osobie, której dane dotyczą. II

art. 51f, ust. 1 w związku z art. 17b, ust. 2

Udzielenie informacji osobie, której dane dotyczą. I

art. 51f, ust. 1 w związku z art. 18

Prawo dostępu. II

art. 51f, ust. 1 w związku z art. 22, z zastrzeżeniem ust. 4 i 5 tego artykułu

Prawo do poprawiania,  usunięcia lub zablokowania danych. II

art. 51f, ust. 1 w związku z art. 22, ust. 4 i 5

Prawo do poprawiania,  usunięcia lub zablokowania danych I

art. 51f, ust. 1 w związku z art. 24

Obowiązek zgłoszenia poprawy, usunięcia lub zablokowania danych I

Załącznik 5 do art. 2
Rozporządzenia Urzędu Ochrony Danych Osobowych
ws. Administracyjnych Kar Pieniężnych 2019

Naruszenia przepisów podlegające karze pieniężnej w wysokości do 83.000 EUR


Artykuł


Opis



Kategoria


Ustawa o Rejestrach Policyjnych

   
 
art. 4a

 Ochrona danych w fazie projektowania  III

art. 4b

 Domyślna ochrona danych.  III

art. 4c

 Ocena skutków w zakresie ochrony danych.  III

art. 6c

 Podmiot przetwarzający.  III

art. 31d

 Rejestr.  III

art. 32

 Dokumentacja.  II

art. 33a

 Zgłaszanie naruszeń danych.  III

art. 33b

 Uprzednia konsultacja z Urzędem Ochrony Danych Osobowych.  III

art. 36

 Inspektor ochrony danych. III

Ustawa o Rejestrze Sądowym i Rejestrze Karnym

   

art. 7

Obowiązki administratora i podmiotu przetwarzającego oraz bezpieczeństwo danych.  III

art. 7a

 Ochrona danych w fazie projektowania i domyślna ochrona danych.  III

art. 7b

 Ocena skutków w zakresie ochrony danych.  III

art. 7d

Podmiot przetwarzający.  III

art. 19, ust. 1

 Obowiązek rejestracji i archiwizowania wniosków o wgląd do rejestru sądowego.  II

art. 26c

Rejestr.  III

art. 26f

Inspektor ochrony danych.  III

art. 26g

Zgłaszanie naruszenia bezpieczeństwa.  III

art. 26h

Uprzednia konsultacja z Urzędem Ochrony Danych Osobowych.  III

art. 39c, ust. 1 w związku z art. 7

 Obowiązki administratora oraz bezpieczeństwo danych.  III

art. 39c, ust. 1 w związku z art. 7a

Ochrona danych w fazie projektowania i domyślna ochrona danych.  III

art. 39c, ust. 1 w związku z art. 7b

 Ocena skutków w zakresie ochrony danych.  III

art. 39c, ust. 1 w związku z art. 7d

 Podmiot przetwarzający.  II

art. 39r, ust. 1 w związku z art. 26c

 Rejestr  III

art. 39r, ust. 1 w związku z art. 26g

 Zgłaszanie naruszenia bezpieczeństwa.  III

art. 39r, ust. 1 w związku z art. 26h

   III

art. 40, ust. 3 w związku z art. 7

 Obowiązki administratora oraz bezpieczeństwo danych. Uwaga! Akt prawny mówi o art. „40a, ust. 3”.  III

art. 40, ust. 3 w związku z art. 7a

 Ochrona danych w fazie projektowania i domyślna ochrona danych. Uwaga! Akt prawny mówi o art. „40a, ust. 3”.  III

art. 40, ust. 3 w związku z art. 7b

 Ocena skutków w zakresie ochrony danych. Uwaga! Akt prawny mówi o art. „40a, ust. 3”.  III

art. 40, ust. 3 w związku z art. 7d

 Podmiot przetwarzający. Uwaga! Akt prawny mówi o art. „40a, ust. 3”.  III

art. 51, ust. 1 w związku z art. 26c

 Rejestr.  III

art. 51, ust. 1 w związku z art. 26f

 Inspektor ochrony danych.  III

art. 51, ust. 1 w związku z art. 26g

Zgłaszanie naruszenia bezpieczeństwa.  III

art. 51, ust. 1 w związku z art. 26h

Uprzednia konsultacja z Urzędem Ochrony Danych Osobowych  III

art. 51b, ust. 1 w związku z art. 7

Obowiązki administratora oraz bezpieczeństwo danych.  III

art. 51b, ust. 1 w związku z art. 7a

Ochrona danych w fazie projektowania i domyślna ochrona danych .  III

art. 51b, ust. 1 w związku z art. 7b

Ocena skutków w zakresie ochrony danych  III

art. 51b, ust. 1 w związku z art. 7d

Podmiot przetwarzający.  III

art. 51d, ust. 1 w związku z art. 26c

Rejestr.  III

art. 51d, ust. 1 w związku z art. 26f

Inspektor ochrony danych .  III

art. 51d, ust. 1 w związku z art. 26g

Zgłaszanie naruszenia bezpieczeństwa.  III

art. 51d, ust. 1 w związku z art. 26h.

Uprzednia konsultacja z Urzędem Ochrony Danych Osobowych.  III

art. 51f, ust. 1 w związku z art. 7

Obowiązki administratora oraz bezpieczeństwo danych.  III

art. 51f, ust. 1 w związku z art. 7a

Ochrona danych w fazie projektowania i domyślna ochrona danych.  III

art. 51f, ust. 1 w związku z art. 7b

Ocena skutków w zakresie ochrony danych.  III

art. 51f, ust. 1 w związku z art. 7d

Podmiot przetwarzający.  III

art. 51h, ust. 1 w związku z art. 26c.

RejestrUwaga! W odniesieniu do sądowych rejestrów karnych art. 1h, ust. 3, pkt. c  błędnie odnosi się do „art. 51d, ust. 1 w odniesieniu do analogicznego zastosowania art. 26c, 26g i 26h w tym ustępie” zamiast „pierwszy ustęp, w odniesieniu do (…)” (por. art. 51).  III

art. 51h, ust. 1 w związku z art. 26g

Inspektor ochrony danychUwaga! W odniesieniu do sądowych rejestrów karnych art. 1h, ust. 3, pkt. c  błędnie odnosi się do „art. 51d, ust. 1 w odniesieniu do analogicznego zastosowania art. 26c, 26g i 26h w tym ustępie” zamiast „pierwszy ustęp, w odniesieniu do (…)” (por. art. 51).  III

art. 51h, ust. 1 w związku z ar. 26h

Zgłaszanie naruszenia bezpieczeństwaUwaga! W odniesieniu do sądowych rejestrów karnych art. 1h, ust. 3, pkt. c  błędnie odnosi się do „art. 51d, ust. 1 w odniesieniu do analogicznego zastosowania art. 26c, 26g i 26h w tym ustępie” zamiast „pierwszy ustęp, w odniesieniu do (…)” (por. art. 51).  III

Noty objaśniające do Rozporządzenia

Ogólne uwagi

Urząd Ochrony Danych Osobowych jest niezależnym organem nadzorczym, mającym za zadanie sprawować nadzór prawny nad przetwarzaniem danych osobowych. Zadania oraz uprawnienia Urzędu wynikają w głównej mierze bezpośrednio z Ogólnego Rozporządzenia o Ochronie Danych (zwanego dalej: RODO) , a zostały dalej doprecyzowane  w Ustawie - Przepisy wprowadzające ustawę o ochronie danych osobowych, (zwanej dalej: Przepisy wprowadzające RODO).

Uprawnienia Urzędu do nakładania kar pieniężnych

Na mocy uchylonej 25 maja 2018 roku Ustawy o ochronie danych osobowych (zwanej dalej Wbp) Urząd Ochrony Danych Osobowych uprawniony był do nakładania administracyjnych kar pieniężnych w przypadku naruszenia przepisów tej ustawy. W celu stosowania tego uprawnienia, Urząd Ochrony Danych Osobowych ustanowił wytyczne, Rozporządzenie Urzędu Ochrony Danych Osobowych ws. Administracyjnych Kar Pieniężnych 2016.

W związku z ostatnim rozszerzeniem kompetencji Urzędu do nakładania kar pieniężnych na podstawie Wbp powstał system egzekwowania prawa, mający zastosowanie od dnia 25 maja 2018 RODO, który zastąpił Wbp. RODO zapewnia krajowym organom nadzorczym szerokie uprawnienia ws. nakładania kar, wynikających z rozporządzenia. Na podstawie art. 14, ust. 3 tej Ustawy uprawnienia te przydzielone zostały Urzędowi Ochrony Danych Osobowych. Na mocy artykułu 18 Ustawy Urząd może również nałożyć karę pieniężną na instytucje rządowe bądź inne organy władzy publicznej z tytułu naruszenia RODO.

3 października 2017 ówczesna Grupa Robocza ds. Ochrony Danych przyjęła Artykuł 29 „Wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia (UE) nr 2016/679”.  Wytyczne te zostały 25 maja 2018 zatwierdzone przez Europejską Radę Ochrony Danych (European Data Protection Board; zwaną dalej: EROD). W dokumencie tym ustanowiono przepisy i zasady regulujące stosowanie uprawnień do nakładania kar pieniężnych na podstawie RODO.

W związku z tym, że EROD nie ustanowiła jeszcze wspólnych zasad obliczania kar pieniężnych, Urząd Ochrony Danych Osobowych skłania się ku temu, by ustalić regulacje w zakresie wdrożenia uprawnień do nakładania kar na podstawie RODO i Przepisów wprowadzających RODO. Regulacje te odnoszą się do określania wysokości kar pieniężnych, w imię zasad równości i pewności prawa. EROD ma na celu wypracowanie wspólnych zasad dotyczących obliczania kar pieniężnych z tytułu naruszeń RODO. Ustanawiane przez Urząd Ochrony Danych Osobowych regulacje mają zatem w tym zakresie co do zasady charakter tymczasowy. W związku z powyższym Urząd, dostosowując swoją politykę do naruszeń RODO, podjął decyzję o zachowaniu struktury przedstawionej w niniejszym dokumencie, jaką jest kategoryzacja naruszeń przepisów a stawki kar pieniężnych. Oprócz kompetencji do nakładania kar pieniężnych wynikających z RODO oraz Przepisów Wprowadzających RODO, Urząd Ochrony Danych Osobowych na podstawie art. 15.4, ust. 4 Ustawy Prawo Telekomunikacyjne (zwanej dalej Tw)  jest uprawniony do nałożenia kary pieniężnej za naruszenie przepisów, o których mowa w art. 15.1, ust. 2 tejże ustawy (obowiązek zgłaszania naruszeń danych w art. 11.3a Tw), oraz przepisów art. 18.15a Tw, art. 19, ust. 2 Rozporządzenia eIDAS i art. 5:20 Ogólnej Ustawy Administracyjnej (zwanej dalej Awb), nadzorując przestrzeganie przepisów Tw.

Ponadto Urząd ma prawo, na podstawie art. 35c, ust. 1 Ustawy o Rejestrach Policyjnych (zwanej dalej Wpg) oraz art. 27, ust. 4, art. 39r, ust. 3, art. 51, ust. 3, 51d, ust. 3 i art. 51h, ust. 3  Ustawy o Rejestrze Sądowym i Rejestrze Karnym (zwanej dalej Wjsg) nałożyć karę pieniężną za naruszenia przepisów wynikających z powyższych ustaw.

Przepisy wymienionych powyżej ustaw, których naruszenie grozi karą grzywny, zostały sklasyfikowane wg maksymalnej wysokości kary, są też wymienione i opisane w załącznikach 1-5 w niniejszym rozporządzeniu. 

Należy przy tym zaznaczyć, że nowelizacja Wpg i Wjsg wdrażająca europejską dyrektywę o ochronie danych do celów wykrywania i ścigania czynów zabronionych zawiera pewne nieprawidłowe odniesienia.

Dotyczy to odniesień do artykułów ustaw Wpg oraz Wjsg, których nieprzestrzeganie przez administratora może skutkować nałożeniem kary administracyjnej. Zostało to wyraźnie wskazane przez rząd w odpowiedzi skierowanej do Pierwszej Izby  Zapewniono, że wszystkie nieprawidłowości zostaną skorygowane możliwie jak najszybciej w oddzielnym wniosku legislacyjnym.

Ustalanie wysokości administracyjnych kar pieniężnych

Ustalając wysokość kary Urząd Ochrony Danych Osobowych musi  zastosować się do m.in. ustawowo maksymalnej wysokości kary pieniężnej, obowiązujących przepisów (rozdział 5) Awb oraz ogólnych zasad dobrej administracji.

Zgodnie z Rozporządzeniem ws. Administracyjnych Kar Pieniężnych 2016  Urząd Ochrony Danych Osobowych z w pierwszej kolejności umożliwia zrozumienie czynników określających wysokość kary pieniężnej. Z drugiej strony przepisy te zapewniają Urzędowi odpowiednią elastyczność, pozwalającą na dostosowanie odpowiednich rozwiązań w indywidualnych przypadkach.

Zgodnie z art. 4:84 Awb Urząd Ochrony Danych Osobowych może odstąpić od przepisów dotyczących ustalania wysokości kar pieniężnych w przypadku sytuacji o charakterze szczególnym, które nie zostały uwzględnione w rozporządzeniu (możliwość odstąpienia od nałożenia administracyjnej kary pieniężnej).

Struktura Rozporządzenia ws. Administracyjnych Kar Pieniężnych

W celu ogólnego objaśnienia struktury kategoryzacji naruszeń przepisów a stawek kar pieniężnych Urząd Ochrony Danych Osobowych odsyła w pierwszej kolejności do not objaśniających przy Rozporządzeniu ws. Administracyjnych Kar Pieniężnych 2016 (Dziennik Urzędowy 2016, 2043).Ustalając kategoryzację, Urząd Ochrony Danych Osobowych postanowił przyjąć podział naruszeń przepisów na 3 kategorie, powiązane z odpowiednio wysokimi administracyjnymi  karami pieniężnymi.

Wyjątek od powyższego stanowią przepisy dotyczące naruszenia, za które Urząd Ochrony Danych Osobowych ma prawo nałożyć administracyjną karę pieniężną w wysokości do 20.000.000 EUR bądź, w przypadku przedsiębiorstw, 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wykroczenia, w przypadku których kara ta ma zastosowanie, zostały podzielone w załączniku 2 na 4 kategorie.

Ustalając klasyfikację przepisów w kategoriach kar, Urząd o Ochronie Danych Osobowych ocenił wagę naruszonej normy. Dotyczy to zarówno wartości przepisów, jak i ich miejsca w hierarchii w zakresie  ustawodawstwa i rozporządzeń w ramach prawa ochrony danych, z uwzględnieniem realizowanych przez nie celów i interesów publicznych, których przepisy mają za zadanie chronić.

Każdej kategorii odpowiadają stawki kar pieniężnych, które Urząd Ochrony Danych Osobowych uznał za odpowiednie i konieczne. Oznacza to, że wysokość kary musi być proporcjonalna i wystarczająco odstraszająca zarówno dla sprawcy (prewencja szczególna), jak i dla potencjalnych sprawców (prewencja ogólna). Urząd Ochrony Danych w ramach każdej kategorii stawek ustala kwotę podstawową grzywny, będącą kwotą wyjściową do obliczania odpowiednich kar pieniężnych. Urząd Ochrony Danych Osobowych ustala kwotę podstawową grzywny na poziomie 50% stawki odpowiadającej kategorii, przypisanej do odpowiedniego naruszenia.

Nakładając karę pieniężna, Urząd Ochrony Danych Osobowych uwzględnia czynniki wymienione w art.7. Czynniki te oparte są na art. 83, ust. 2 RODO. Oprócz czynników określonych w art. 7, lit. a- j, przepisy z art. 7 lit. k przewidują możliwość uwzględnienia innych, mających zastosowanie do okoliczności sprawy, czynników. Mogą one m.in., choć nie wyłącznie, dotyczyć zysków finansowych. Wysokość nakładanej kary jest w dalszej kolejności dostosowywana na podstawie stosownych okoliczności łagodzących bądź obciążających w ramach stawek odpowiadających danej kategorii. Innymi słowy uwzględniana jest waga danego naruszenia oraz stopień, w jakim naruszenie można przypisać sprawcy. Urząd Ochrony Danych Osobowych może przy tym, w stosownych przypadkach oraz zależnie od stopnia, w jakim czynniki określone w art. 7 mają swoje uzasadnienie, odpowiednio zmniejszyć bądź zwiększyć karę, dopasowując ją do kolejno wyższej lub niższej kategorii (art. 8, ust. 1). Rozpatrywane może być również wykroczenie poza ustalone limity w przypadku, gdy wysokość kary, uwzględniając okoliczności konkretnego przypadku, nie zadziała wystarczająco prewencyjnie bądź jest nieproporcjonalnie wysoka. Ponadto podwyższenie nakładanej kary w przypadku recydywy może także skutkować wykraczaniem poza ustalone limity w stosownych przypadkach.

Stawki odpowiadające kategoriom naruszeń ustaw Tw, Wpg oraz Wjsg bazują w najwyższej kategorii na ustawowo maksymalnej karze pieniężnej.  W odniesieniu do stawek przypisanych odpowiednim kategoriom naruszeń zgodnie z RODO postanowiono  podzielić te naruszenia na 4 kategorie, przy czym stawka maksymalna przy najwyższej kategorii wynosi 1.000.000 EUR. Klasyfikacja ta uznana jest przez Urząd Ochrony Danych Osobowych za odpowiednią z punktu widzenia prewencji. Urząd bierze w szczególności pod uwagę fakt, iż kwota podstawowa kary w kategorii 4 (725.000 EUR) dotyczy sankcji, która - niezależnie od okoliczności szczególnych przypadków - jest odpowiednia, zważywszy na wagę naruszonej normy. Jeśli naruszenie zostało popełnione przez przedsiębiorstwo, a najwyższa kwota w odpowiedniej kategorii stawek kar pieniężnych nie pozwala w tym konkretnym przypadku w ocenie Urzędu na odpowiednią karę - przy czym można wziąć pod uwagę wagę firmy, wyrażoną w rocznym obrocie - wówczas art. 8, ust. 3 i 4 niniejszego rozporządzenia stanowi, że Urząd Ochrony Danych Osobowych może wykroczyć poza limit określonych w art. 2, ust. 3, kategorii stawek i nałożyć karę równą ustawowo maksymalnej karze zgodnie z RODO,  art. 83, ust. 4, 5, 6.

Zastosowanie zasady proporcjonalności nakłada na Urząd Ochrony Danych Osobowych obowiązek uwzględniania sytuacji finansowej sprawcy przy ustalaniu wysokości kary. W przypadku ustalenia przez Urząd ograniczonej bądź niezadowalającej zdolności finansowej osoby, która dopuściła się naruszenia, może on zmniejszyć karę pieniężną w oparciu o art. 9. W tym kontekście Urząd odwołuje się również do art. 2a Ustawy - Przepisów Wprowadzających RODO, który nakłada wymóg uwzględniania potrzeb małych, średnich i mikroprzedsiębiorstw.

W celu przybliżenia najistotniejszych elementów powyższego rozporządzenia, polecamy zapoznanie się z artykułem pt. Cennik kar, czyli ile dokładnie zapłacimy za naruszenie zasad ochrony danych osobowych.

-
Najpopularniejsze

Najnowsze


Joanna Ożóg
06 maja 2019
Biuletyn
informacyjny
Biuletyn ODO 24

Raz w miesiącu wysyłamy subiektywny przegląd najważniejszych informacji i wydarzeń oraz naszych promocji i nowości. Wystarczy poniżej podać swój adres e-mail.

Zobacz poprzednie wydanie.