Maksymalna kara za złamanie RODO może być bardzo dotkliwa dla przedsiębiorcy. Ile wynosi? Co grozi za złamanie RODO i jak uniknąć sankcji? O tym w poniższym artykule.
Jak zgodnie z RODO przetwarzać dane osobowe?
RODO, czyli unijne Rozporządzenie o Ochronie Danych Osobowych, zaczęło obowiązywać w Polsce 25 maja 2018 roku. Celem jego wprowadzenia było wzmocnienie ochrony danych w krajach unijnych i ujednolicenie polityki w tym zakresie.
RODO dotyczy regulacji dotyczących przetwarzania i archiwizowania, a nawet niszczenia praktycznie wszystkich danych osobowych, tj. takich, które pozwalają bezpośrednio lub pośrednio zidentyfikować konkretną osobę fizyczną. Administratorzy muszą zapewnić bezpieczne przechowywanie danych, a RODO jest swoistym kierunkowskazem. Jeżeli wymogi rozporządzenia nie zostaną spełnione, przedsiębiorcy muszą liczyć się z konsekwencjami. Przechowywanie dokumentów w miejscu, które nie zapewnia odpowiedniego poziomu bezpieczeństwa, jak i wszelkie zaniedbania w zakresie archiwizowania danych osobowych grożą odpowiedzialnością karną.
Kiedy następuje złamanie RODO?
Do złamania RODO dochodzi, kiedy dany podmiot nieprawidłowo realizuje archiwizację dokumentów, udostępnia osobom trzecim dane lub w sposób nieuprawniony ujawnia je. Naruszenie ochrony danych osobowych to także działania, których skutkiem jest zniszczenie, utracenie, zmodyfikowanie czy złamanie zasad bezpieczeństwa takich danych. Przepisy RODO znajdują także zastosowanie, gdy trzeba zniszczyć dokumentację. Musi to prowadzić do nieodwracalnego usunięcia danych i nośników danych, aby uniemożliwić ponowne ich odtworzenie.
RODO nie określa, w jaki sposób należy utylizować dokumenty. Podmiot gromadzący dane może samodzielnie o to zadbać lub zlecić takie działanie wyspecjalizowanym firmom, takim jak Rhenus Office Systems Poland. Dokumenty niszczone natychmiastowo będą skutecznie chronione przed dostępem niepowołanych osób.
Przepisy określają, że osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego ich usunięcia, jeśli m.in. nie są już niezbędne do celów, w jakich były zebrane, albo wycofuje ona zgodę na ich przetwarzanie. Brak reakcji oznaczałby naruszenie zasad RODO.
Co grozi za złamanie RODO?
Istnieją dwie kategorie sankcji finansowych nakładanych za złamanie przepisów RODO. Jaka kara grozi administratorowi danych? Może być pieniężna lub niepieniężna.
W przypadku naruszenia RODO kara pieniężna wynosi:
- do 10 lub 20 mln euro,
- do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku.
Prezes UODO może zdecydować także o nałożeniu za złamanie RODO kary niepieniężnej, ale ostateczny jej rodzaj i wysokość uzależnione są od wielu czynników:
- charakteru i wagi popełnionego czynu,
- czasu naruszenia RODO,
- liczby poszkodowanych osób,
- rozmiaru poniesionej przez poszkodowanych szkody,
- kategorii danych osobowych, których dotyczyło naruszenie lub złamanie RODO,
- rodzaju działań, które podjął administrator w celu zminimalizowania zaistniałej szkody,
- stopnia, w jakim odpowiedzialność za naruszenie ponosi administrator danych lub podmiot przetwarzające dane,
- stopnia współpracy danego podmiotu z organem nadzorczym,
- sposobu, w jaki UODO dowiedział się o naruszeniu.
Przykładowa kara za złamanie RODO
W 2024 roku Bank Santander został ukarany przez UODO finansową karą z RODO w wysokości 1 440 000 zł za niezgłoszenie incydentu naruszenia przepisów o ochronie danych osobowych.
Jedną z pierwszych kar za RODO w Polsce była sankcja z 26 marca 2019 roku dla Bisnode Polska Sp. z o.o. Spółka została ukarana za pozyskiwanie danych z ogólnodostępnych rejestrów publicznych, ale bez poinformowania o tym fakcie osób, których dane przetwarzała. Pierwszą karę UODO nałożył w kwocie 220 000 euro.
Natomiast najwyższa dotychczas sankcja za naruszenie RODO w Polsce, z 2022 roku, wyniosła ponad 4,9 mln zł, czyli ponad 1 mln euro. Nałożona została na Fortum Marketing and Sales Polska S.A., czyli spółkę zajmującą się sprzedażą energii elektrycznej i paliwa gazowego. Ukarano ją za niezastosowanie odpowiednich środków technicznych oraz organizacyjnych, które mogłyby zagwarantować bezpieczeństwo danych osobowych. Pierwsze kary RODO w Polsce niestety nie odstraszyły innych firm przed łamaniem przepisów.
Sekcja Q&A
Jakie są maksymalne kary za złamanie RODO?
Maksymalna kara RODO wynieść może do 4% rocznych przychodów firmy lub do 20 mln euro. Nieprawidłowe przechowywanie akt, nienależyte zabezpieczenie danych czy niszczenie dokumentów bez zachowania ich bezpieczeństwa, to działania, które narażają podmiot na wysokie sankcje.
Kto nakłada kary za nieprzestrzeganie RODO?
W Polsce kara za nieprzestrzeganie RODO, złamanie lub naruszenie przepisów RODO zostaje nałożona przez Urząd Ochrony Danych Osobowych, w skrócie UODO.
Podmiot podejrzewany o złamanie RODO jest zawiadamiany przez urząd o wszczęciu postępowania w jego sprawie. UODO kontaktuje się z administratorem danych osobowych lub procesorem, czyli podmiotem, który przetwarza takie dane w imieniu i na rzecz administratora.
Podmiot objęty kontrolą może przedstawić swoje stanowisko dotyczące stanu faktycznego i prawnego sprawy, zanim urząd wyda decyzję administracyjną i nałożona zostanie kara za naruszenie danych osobowych. W Polsce wszczynanych jest wiele takich postępowań rocznie, ale tylko część wiąże się rzeczywiście z nałożeniem w związku z RODO kary. UODO często stosuje środki naprawcze w formie upomnienia.
Jak uniknąć kary za złamanie RODO?
Można uniknąć kary za złamanie RODO, odwołując się od niej do sądu administracyjnego. Podmiot kontrolowany ma na to 14 dni od chwili uprawomocnienia się orzeczenia. Może również złożyć wniosek o odroczenie płatności lub rozłożenie jej na raty.
Aby nie została nałożona kara z RODO, dane wrażliwe muszą być zabezpieczone. Konieczne jest takie przetwarzanie takich danych, przechowywanie akt czy niszczenie dokumentacji, które jest w pełni zgodne z przepisami. Dobrą praktykę stanowi korzystanie przy tym z usług wykwalifikowanych podmiotów, takich jak Rhenus Office Systems Poland. Dajemy gwarancję przechowywania danych zgodnie z najwyższymi standardami bezpieczeństwa. Oferowane przez nas rozwiązania eliminują ryzyko wysokich kar finansowych.