Kary za naruszenie przepisów RODO

Pod koniec maja bieżącego roku świętować będziemy szóstą rocznicę obowiązywania najistotniejszego aktu prawnego z zakresu ochrony danych osobowych na terytorium Unii Europejskiej czyli tzw. RODO. 25 maja 2018 r. weszły bowiem w życie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego powszechnie RODO. Ten akt prawny w sposób rewolucyjny zmienił postrzeganie kwestii ochrony danych osobowych
na terytorium Unii Europejskiej, jednocześnie niosąc za sobą określonego rodzaju obowiązki dla podmiotów przetwarzających dane, których niespełnienie niejednokrotnie wiązać się może z poważnymi konsekwencjami finansowymi.

Choć przepisy Rozporządzenia nie określają wyłącznie sankcji finansowych za naruszenia związane z przetwarzaniem danych osobowych, z punktu widzenia podmiotów przetwarzających dane osobowe właśnie potencjalne kary finansowe mogą stanowić instrument najbardziej mobilizujący je do realizacji obowiązków z zakresu ochrony danych osobowych. Zgodnie z przepisami RODO kary za naruszenia dokonane w procesie przetwarzania danych osobowych ujęte zostały przez określenie ich górnej granicy, każdorazowo pozostawiając jednak organowi nadzoru dyskrecjonalną decyzję
o maksymalnej wysokości kary, uzależniając jej wysokość od całokształtu okoliczności sprawy, w tym w szczególności rodzaju naruszenia oraz podmiotu za naruszenie odpowiedzialnego. Precyzując, zgodnie z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. najwyższa możliwa kara jaka może zostać nałożona na podmiot przetwarzający dane osobowe wynosi 20 mln euro lub do 4 % rocznego całkowitego światowego obrotu (liczonego z poprzedniego roku obrotowego) jeżeli odpowiedzialnym za naruszenie jest przedsiębiorstwo. Niezależnie
od powyższego, RODO przewiduje również możliwość nałożenia kar o połowę niższych
tj. do 10 mln euro, a w przypadku przedsiębiorstwa do 2 % rocznego całkowitego obrotu (liczonego z poprzedniego roku obrotowego).

Wysokość grożącej kary uzależniona jest w szczególności od rodzaju naruszenia.
Kara w wysokość odpowiednio do 20 milionów euro lub 4 % rocznego obrotu grozić może podmiotowi przetwarzającemu z największym prawdopodobieństwem za naruszenie przepisów art. 6 lub art. 9 RODO czyli podstawowych zasad przetwarzania danych. Rozporządzenie przewiduje również możliwość nałożenia kary w omawianej wysokości m. in. za nieprawidłową realizację obowiązków informacyjnych, o których mowa
art. 12 – 14 RODO, nieprawidłowości w przekazywaniu danych poza obszar Europejskiego Obszaru Gospodarczego, nieumożliwienie realizacji praw osobom, których dane podlegają przetwarzaniu (np. odmowa dostępu, usunięcia, sprostowania danych) czy niestosowanie się do niefinansowych kar organu nadzoru.

W pewnym uproszczeniu przyjąć natomiast można, że kary w wysokości odpowiednio
10 mln euro lub 2 % rocznego obrotu mogą zostać nałożone przez organ nadzoru
w przypadku dopuszczenia się przez podmiot przetwarzający naruszeń o mniejszym ciężarze gatunkowym. Przykładami takich naruszeń byłyby nieprawidłowa realizacja obowiązków o których mowa w art. 28 – 36 RODO, czy nieuwzględnienie w procesie przetwarzania zasady design i privacy by default.

Niezależnie od kar finansowych, organ nadzorczy może również wydawać wiążące nakazy przywrócenia zgodności z RODO, włącznie z nakazami ograniczenia przetwarzania danych wyłącznie do ich przechowywania.

Przewidziane w przepisach Rozporządzenia kary nakładane są w trybie decyzji administracyjnej przez właściwy krajowy organ nadzoru nad przestrzeganiem przepisów
z zakresu ochrony danych osobowych. W Polsce organem nadzoru jest Prezes Urzędu Ochrony Danych Osobowych.

Statystyki pokazują, że kary nakładane przez polski organ nadzoru traktować należy mimo wszystko jako zdarzenia jednostkowe. Natomiast tendencja wydawania decyzji karnych (precyzyjnie mówiąc – nakładających administracyjne kary pieniężne) ma charakter wzrostowy. W 2019 r. Prezes UODO wydał bowiem jedynie 8 decyzji, a łączna suma kar którymi obciążone zostały podmioty przetwarzające wyniosła 4 mln zł. W kolejnym roku
tj. 2020 r. suma decyzji nieznacznie wzrosła (do 10 decyzji), a wysokość kar nawet spadła (łącznie ok. 3,5 mln zł). Tendencja wzrostowa w zakresie ilości decyzji utrzymała się
w 2021 r., w którym wydano 14 decyzji, których skutkiem było obciążenie administracyjną karą pieniężną na łączne kwoty 2,2 mln zł. Najwyższa łączna suma kar, którymi w oparciu o 13 decyzji obciążone zostały podmioty przetwarzające miała miejsce w 2021 r. tj. łącznie ponad 6,15 mln zł. Natomiast w poprzednim 2023 r. wydano aż 20 decyzji, jednak łączna suma kar wyniosła „jedynie” 656.089 zł.

Aktualnie najwyższą karą nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych jest kara w wysokości niemal 5 milionów złotych (dokładnie 4.911.732 zł) nałożona na spółkę Fortum Marketing and Sales Polska SA. Naruszenie przepisów RODO, które powodowało nałożenie przez organ nadzorczy kary pieniężnej w tak dużej wysokości polegało
na nieprawidłowościach w toku zmian w bazie danych klientów spółki. Drugą najwyższą karą za naruszenie przepisów RODO była kara w wysokości 2,8 mln zł nałożona na spółkę prowadzącą sklep internetowy morele.net, która na skutek nieodpowiednich środków organizacyjnych i technicznych doprowadziła do wycieku danych osobowych (imienia
i nazwiska, numeru telefonu, adresu e-mail czy adresu do doręczeń) przeszło 2 milionów osób. Co ciekawe, spółka odwołała się od ww. decyzji, a następnie złożyła stosowną skargę najpierw do sądu administracyjnego I instancji, a następnie do Naczelnego Sądu Administracyjnego, który uchylił decyzję i nakazał Prezesowi Urzędu Ochrony Danych Osobowych ponownie przeprowadzić postępowanie. W wyniku przeprowadzonego ponownie postępowania kara nie tylko nie została uchylona czy obniżona, ale podwyższona do kwoty 3,8 mln zł (co w dalszym ciągu stanowi drugą najwyższą karę w Polsce).

Analiza wyłącznie dwóch najkosztowniejszych przypadków naruszeń przepisów RODO jednoznacznie wskazuje jak istotne jest prawidłowe wdrożenie, a następnie realizacja pozornie mało istotnych obowiązków w zakresie ochrony danych osobowych w bieżącej praktyce funkcjonowania podmiotów przetwarzających dane osobowe. Szczególnego znaczenia nabierają w tym kontekście stosowane w danej organizacji polityki, procedury oraz zasady postępowania, które powinny zostać wdrożone w ramach stosowania przepisów RODO. Należy przy tym pamiętać, że całokształt odpowiedzialności zarówno
za samo wdrożenie określonego rodzaju instrumentów prawnych (polityk, procedur, zasad) jak również za ich następczą efektywność (nie będzie wystarczającym samo przyjęcie
w danej organizacji jakiekolwiek dokumentu wewnętrznego regulującego przetwarzanie danych osobowych, bez jego następczego praktycznego zastosowania) spoczywa na danej organizacji – podmiocie przetwarzającym dane. Charakter przepisów Rozporządzenia przenosi bowiem właśnie na przetwarzającego zarówno decyzję w zakresie tego jakiego rodzaju instrumenty prawne powinien on wdrożyć, jak również jej następcze skuteczne wykonanie. Sam regulator – w polskim przypadku Prezes Urzędu Ochrony Danych Osobowych – może pociągnąć jedynie dany podmiot do odpowiedzialności w przypadku ustalenia nieprawidłowości w ramach przetwarzania danych osobowych. Przy tym RODO nie określa żadnych wzorów dokumentów, instrukcji postępowania, modeli zachowań oczekiwanych od podmiotów przetwarzających. Sam akt prawny ma charakter nader ogólny, bez jakichkolwiek następczych aktów prawnych o charakterze precyzującym, wykonawczym.

Zastrzec przy tym należy, że polski regulator RODO na tle organów nadzoru innych krajów Unii Europejskiej wydaje się co najmniej powściągliwy w wydawaniu decyzji nakładających kary finansowe. Kary finansowa o najwyższej łącznej wysokości wydawane są przez regulatora Republiki Irlandii – Komisję ds. Ochrony Danych Osobowych, która wydała
m. in. decyzje nakładające na firmę Meta – właściciela m. in. Facebooka czy Instagrama kary w łącznej wysokości 1 mld euro. Właściwość ww. organu do nałożenia kary wynikała z faktu umiejscowienia siedziby Meta właśnie w Irlandii. Praktyka nakładania kar
za naruszenia przepisów RODO jasno pokazuje, że najczęściej, w najwyższych wysokościach są nimi obciążani tzw. giganci technologiczni – tak z uwagi na ogromną ilość i zakres przetwarzanych danych, a więc również obowiązków do spełnienia, jak i z uwagi na fakt, że nieoficjalnie są oni głównym adresatem obowiązujących przepisów. Stąd statystyki pokazujące, że prym w nakładaniu kar finansowych wiodą regulatorzy z krajów UE, w których znajdują się siedziby największych podmiotów technologicznych tj. Irlandia, Francja czy Luksemburg.

Analiza kar nakładanych przez polski organ nadzoru wskazuje, że nawet w przypadku nałożenia administracyjnej kary finansowej, jej wysokość w przeważającej większości przypadków znacząco odbiega od wskazanych w przepisach Rozporządzenia górnych granic wspomnianych kar. Najczęściej kary nakładane przez Prezesa Ochrony Danych Osobowych oscylują wokół kilkunastu czy kilkudziesięciu złotych. Praktyka ta może jednak ulegać zmianom, potencjalnie wraz z wzrostem czynności przetwarzania danych oraz podmiotów przetwarzających dane osobowe, co pozostaje w oczywisty sposób w związku z rozwojem technologicznym i ekonomicznym państw Unii Europejskiej.

Dotychczasowa praktyka nakładania kar przez polski organ nadzoru jasno pokazuje jednak,
że kary można uniknąć w przypadku szybkiej i prawidłowej reakcji podmiotu przetwarzającego w przypadku odnotowania naruszenia oraz następczego współdziałania
z organem nadzoru i wdrożenia rozwiązań, które zminimalizują wystąpienie analogicznego naruszenia w przyszłości. Najgorszym z możliwych pomysłów jest przemilczenie faktu naruszenia i założenie, że być może nie spowoduje ono jakichkolwiek negatywnych konsekwencji. Pamiętać należy, że wystąpienie naruszenia może mieć miejsce nawet
w najlepiej zorganizowanych podmiotach, które na co dzień realizują maksymalnie spoczywające na nich obowiązki i ograniczają możliwość naruszenia danych osobowych
do minimum. Praktyka pokazuje, że niejednokrotnie naruszenie RODO stanowi efekt błędu ludzkiego, omyłki czy też zdarzenia niezależnego od podmiotu przetwarzającego. Niezależnie jednak od przyczyny naruszenia, na podmiocie przetwarzającym spoczywają obowiązki w zakresie – najczęściej – poinformowania o wystąpieniu zdarzenia organu nadzoru, wdrożenia odpowiednich działań następczych w celu zminimalizowania skutków naruszenia oraz możliwości wystąpienia takiego naruszenia w przyszłości oraz ewentualnej współpracy z organem nadzoru. Realizacja opisanych powyżej działań znacząco ogranicza prawdopodobieństwo obciążenia karą finansową, a nawet w przypadku wydania decyzji obciążającej, wysokość takiej kary.

Pamiętać przy tym należy, że obciążenie administracyjną karą finansową przez organ nadzoru odbywa się w trybie postępowania administracyjnego, skutkiem czego podmiotowi obciążonemu karą przysługują wszelkie uprawnienia strony w postępowaniu administracyjnym, a także prawo do wniesienia skargi od decyzji ostatecznej do sądu administracyjnego i dwuinstancyjna, sądowo administracyjna kontrola decyzji.

autor: Krzysztof Żołyński – adwokat