Ogólne warunki nakładania administracyjnych kar pieniężnych

Administracyjna kara pieniężna, nakładana przez organ nadzorczy na podstawie GDPR, musi być w każdym indywidualnym przypadku: skuteczna, proporcjonalna i odstraszająca. Kara która nie spełni tych, przewidzianych w art. 83 ust. 1, wymogów, będzie sprzeczna z rozporządzeniem.

Nakładanie administracyjnych kar pieniężnych jest jednym z uprawnień organu nadzorczego. Stosowane są one samodzielnie, lub wspólnie z pozostałymi środkami naprawczymi, zależnie od okoliczności każdego indywidualnego przypadku.

Wykonywanie prawa do nakładania kar przez organ nadzorczy, podlega kontroli sądowej.

Czynniki wpływające na wysokość kary

Organ nadzorczy, decydując czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, musi wziąć pod uwagę:

reklama

1) charakter, wagę i czas trwania naruszenia, przy uwzględnieniu:

a) charakteru, zakresu lub celu danego przetwarzania;

b) liczby poszkodowanych osób, których dane dotyczą; oraz

c) rozmiaru poniesionej przez nie szkody;

2) umyślny lub nieumyślny charakter naruszenia;

3) działania podjęte przez administratora lub procesora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

reklama

4) stopień odpowiedzialności administratora lub procesora, z uwzględnieniem środków technicznych i organizacyjnych, mających zapewnić:

a) ochronę danych w fazie projektowania oraz domyślną ochronę danych; i

b) bezpieczeństwo przetwarzania danych;

5) wszelkie wcześniejsze naruszenia ze strony administratora lub procesora;

6) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

7) kategorie danych osobowych, których dotyczyło naruszenie;

8) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub procesor zgłosili naruszenie;

9) jeżeli wobec administratora lub procesora, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki naprawcze – czy ich przestrzegał;

reklama

10) stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji; oraz

11) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak:

a) korzyści finansowe osiągnięte w związku z naruszeniem; lub

b) uniknięte straty.

Ponadto, motyw 152 wskazuje, że jeżeli administracyjna kara pieniężna jest nakładana na osobę niebędącą przedsiębiorstwem, organ nadzorczy, ustalając właściwą wysokość kary pieniężnej, powinien wziąć pod uwagę:

1) ogólny poziom dochodów w państwie; oraz

2) sytuację ekonomiczną tej osoby.

Całkowita wysokość administracyjnej kary pieniężnej, nie może przekroczyć wysokości kary za najpoważniejsze naruszenie.

Rozporządzenie GDPR, w art. 83 ust. 3, wprowadza karę maksymalną, gdy administrator lub procesor narusza kilka przepisów rozporządzenia GDPR jednocześnie, w ramach tych samych lub powiązanych operacji przetwarzania.  W takiej sytuacji, całkowita wysokość administracyjnej kary pieniężnej, nie przekracza wysokości kary za najpoważniejsze z dokonanych naruszeń.

Rozporządzenie wskazuje wyłączne maksymalne wysokości kar. Zasada autonomii proceduralnej sprawia, że to państwa członkowskie określą ich ostateczne wysokości.

Motyw 150 GDPR wskazuje, iż termin „przedsiębiorstwo”, stosowany jest w rozumieniu Traktatu o Funkcjonowaniu UE.

Administracyjne kary pieniężne

Administracyjne kary pieniężne za lekkie naruszenia rozporządzenia GDPR

Administracyjne kary pieniężne za lekkie naruszenia rozporządzenia GDPR, wynosić mogą do 10 000 000 EUR. Ponadto, w przypadku przedsiębiorstwa, mogą zostać nałożone w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Przy czym, to kwota wyższa, jest kwotą maksymalnej kary dla przedsiębiorstwa.

Jest ona wymierzana, za naruszenia przepisów dotyczących kwestii:

1) obowiązków administratora i procesora, odnośnie:

a) warunków wyrażenia zgody przez dziecko;

b) dokonywania przetwarzania niewymagającego identyfikacji;

c) uwzględniania ochrony danych w fazie projektowania oraz zapewnienia domyślnej ochrona danych;

d) dokonania wspólnych uzgodnień ze współadministratorem;

e) wyznaczenia swojego przedstawiciela w Unii;

f) spełniania odpowiednich warunków, pryz zawieraniu umów powierzenia przetwarzania;

g) zapewniania dokonywania przetwarzania wyłącznie na polecenie administratora;

h) rejestrowania czynności przetwarzania;

i) współpracy z organem nadzorczym;

j) wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa przetwarzania danych osobowych;

k) zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu;

l) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych;

m) dokonania oceny skutków planowanych operacji przetwarzania, dla ochrony danych osobowych;

n) dokonania uprzednich konsultacji z organem nadzorczym;

o) wyznaczenia inspektora ochrony danych;

p) respektowania statusu inspektora ochrony danych;

q) przekazania organowi nadzorczemu wszelkich informacji i wszelkiego dostępu do swoich czynności przetwarzania, niezbędnych do przeprowadzenia procedury certyfikacji;

r) przestrzegania warunków certyfikacji;

2) obowiązków podmiotu certyfikującego;

3) obowiązku podmiotu monitorującego, do podejmowania odpowiednich działań w przypadku naruszenia kodeksu przez administratora lub procesora.

Administracyjne kary pieniężne za ciężkie naruszenia rozporządzenia GDPR

Administracyjne kary pieniężne za ciężkie naruszenia rozporządzenia GDPR, wynosić mogą do 20 000 000 EUR. Ponadto, w przypadku przedsiębiorstwa, mogą zostać nałożone w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Przy czym, to kwota wyższa, jest kwotą maksymalnej kary dla przedsiębiorstwa.

Jest ona wymierzana, za naruszenia przepisów dotyczących kwestii:

1) podstawowych zasad przetwarzania, w tym zajścia:

a) naruszenia ogólnych zasad, dotyczących przetwarzania danych osobowych;

b) przetwarzania danych osobowych, bez spełnienia jednego z warunków zgodności przetwarzania z prawem;

c) przetwarzania danych osobowych, z powołaniem się na zgodę osoby, której dane dotyczą, w sytuacji gdy zgoda ta została uzyskana w sposób niepoprawny;

d) naruszenia zasad przetwarzania, szczególnych kategorii danych osobowych;

2) praw osób, których dane dotyczą:

a) prawa do wypełnienia wobec niej, obowiązku informacyjnego

b) prawa do indywidualnej kontroli

c) prawa dostępu

d) prawa ograniczenia przetwarzania

e) prawa do bycia powiadomionym o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania;

f) prawa do sprostowania i uzupełnienia danych

g) prawa do usunięcia danych

h) prawa do przenoszenia danych; lub

i) prawa sprzeciwu

j) prawa do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu

3) przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;

4) wszelkich obowiązków wynikających z prawa państwa członkowskiego, przyjętego na podstawie upoważnień rozporządzenia GDPR, dotyczących szczególnych sytuacji związanych z przetwarzaniem;

5) nieprzestrzegania nakazu, orzeczonego przez organ nadzorczy, dotyczącego:

a) tymczasowego lub ostatecznego ograniczenia przetwarzania; lub

b) zawieszenia przepływu danych.

6) niezapewnienia dostępu organowi nadzorczemu, skutkujące naruszeniem jego uprawnień w zakresie prowadzonych postępowań

7) nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie jego uprawnień naprawczych.

Nakładanie administracyjnych kar pieniężnych na organy państwa i podmioty publiczne

Państwo może określić, czy i w jakim zakresie administracyjne kary pieniężne, można nakładać na jego organy i podmioty publiczne. W związku z tym, należy cały czas monitorować działania ustawodawcy, który może, w dowolnym momencie, zmienić w taki sposób, zakres zastosowania rozporządzenia GDPR.

Sankcje stanowione przez państwo członkowskie

Państwo może przyjąć przepisy określające sankcje karne za naruszenia rozporządzenia GDPR. Dotyczyć mają one zwłaszcza sytuacji naruszenia krajowych przepisów, przyjętych na jego podstawie.

Ustanowione przez państwo sankcje, nie mogą naruszać zasady niekarania dwa razy w tej samej sprawie (ne bis in idem).

Porównanie przepisów UODO/GDPR

Uodo

GDPR

Art. 2 § 1 i art. 20 § 2 z dnia 17 czerwca 1966 roku o postępowaniu egzekucyjnym w administracji

Artykuł 83 Ogólne warunki nakładania administracyjnych kar pieniężnych

1. Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.

2. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:

a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

b) umyślny lub nieumyślny charakter naruszenia;

c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;

e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

g) kategorie danych osobowych, których dotyczyło naruszenie;

h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;

j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz

k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

3. Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

4. Naruszenia przepisów dotyczących następujących kwesti podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:

a) obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 oraz 43;

b) obowiązków podmiotu certyfikującego, o których mowa w art. 42 oraz 43;

c) obowiązków podmiotu monitorującego, o których mowa w art. 41 ust. 4;

5. Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:

a) podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9;

b) praw osób, których dane dotyczą, o których mowa w art. 12–22;

c) przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44–49;

d) wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX;

e) nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1.

6. Nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega na mocy ust. 2 niniejszego artykułu administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

7. Bez uszczerbku dla uprawnień naprawczych organu nadzorczego, o których mowa w ust. 58 ust. 2, każde państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim.

8. Wykonywanie przez organ nadzorczy uprawnień powierzonych mu na mocy niniejszego artykułu podlega odpowiednim zabezpieczeniom proceduralnym zgodnie z prawem Unii i prawem państwa członkowskiego, obejmującym prawo do skutecznego sądowego środka ochrony prawnej i rzetelnego procesu.

9. Jeżeli ustrój prawny państwa członkowskiego nie przewiduje administracyjnych kar pieniężnych, niniejszy artykuł można stosować w ten sposób, że o zastosowanie kary pieniężnej wnosi właściwy organ nadzorczy, a nakłada ją właściwy sąd krajowy, o ile zapewniona zostaje skuteczność tych rozwiązań prawnych i równoważność ich skutku względem administracyjnej kary pieniężnej nakładanej przez organ nadzorczy. Nakładane kary pieniężne muszą być w każdym przypadku skuteczne, proporcjonalne i odstraszające. W terminie określonym w art. 91 ust. 2 takie państwa członkowskie zawiadamiają Komisję o przepisach swojego prawa, które przyjęły zgodnie z niniejszym ustępem do dnia …[dwa lata od daty wejścia w życie niniejszego rozporządzenia], a następnie niezwłocznie o wszelkich późniejszych aktach zmieniających lub zmianach mających wpływ na te przepisy.

 

Uodo

GDPR

Rozdział 8

Przepisy karne

Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Art. 50. (uchylony)

Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 54a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Artykuł 84 Sankcje

1. Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.

2. Do dnia … [dwa lata od daty wejścia w życie niniejszego rozporządzenia] każde państwo członkowskie zawiadamia Komisję o swoich przepisach przyjętych zgodnie z ust. 1, a następnie niezwłocznie o każdej późniejszej ich zmianie.