Odpowiedzialność karna a RODO

Czy brak wdrożenia RODO w organizacji może skutkować odpowiedzialnością karną kierownictwa organizacji? Czy pracownik organizacji, zobowiązany do ochrony danych osobowych, może zostać pociągnięty do odpowiedzialności karnej? Na jakie sankcje narażony jest pracownik, który narusza przepisy ochrony danych osobowych? Zasada rozliczalności jako obrona przed odpowiedzialnością karną.

Pomimo tego, iż Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/ 679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/ 46/ WE (ogólne rozporządzenie o ochronie danych, dalej: RODO) nie wprowadza  sankcji karnych za niezgodne z prawem przetwarzanie danych osobowych, nie oznacza to że prawodawca europejski nie przewidział możliwości ich wprowadzenia przez poszczególne państwa członkowskie. Zgodnie z art. 84 ust 1 RODO „państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.”

 

W motywie 149 RODO znajduje się odwołanie wprost do sankcji karnych. Zgodnie z tym motywem „państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie RODO, w tym za naruszenie krajowych przepisów przyjętych na jego mocy i w jego granicach.” Należy jednak mieć na uwadze, że zgodnie z wykładnią Trybunału Sprawiedliwości Unii Europejskiej (por. wyroki w sprawach C-524/ 15 Luca Menci, C-537/ 16 Garlsson Real Estate SA i in./ Commissione Nazionale per le Società e la Borsa (Consob) oraz w sprawach połączonych C-596/ 16 Enzo Di Puma/ Consob i C-597/ 16 Consob/ Antonio Zecca), nałożenie sankcji za naruszenie przepisów krajowych i nałożenie kar administracyjnych nie może ograniczać zasady ne bis in idem, czyli ta sama osoba nie może być ponownie sądzona lub ukarana za to samo przestępstwo w postępowaniu karnym, a także w zbiegu postępowań karnych z administracyjnymi (szerzej na ten temat: Arkadiusz LACH, Sankcje administracyjne i karne a zakaz podwójnego karania w świetle najnowszego orzecznictwa ETPCz i TS [1]).

 

Ustawodawca krajowy uregulował odpowiedzialność karną za naruszenie przepisów o ochronie danych osobowych w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: UODO). Art. 107 i 108 tejże ustawy statuują odpowiedzialność karną w następujących przypadkach:

  • Przetwarzanie danych osobowych jest niezgodne z prawem (art. 107 ust. 1 in principium UODO).
  • Przetwarzanie danych osobowych odbywa się przez osobę do tego nieuprawnioną (art. 107 ust. 2 in fine UODO).
  • Udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych albo niedostarczanie danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarczanie danych, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej (art. 108 ust. 1 i 2 UODO).

 

Zgodnie z UODO, powyższe występki zagrożone są karami grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch, w przypadku zaś, gdy czyn, określony w art. 107 ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

 

Zgodnie z treścią art. 1 § 1 kodeksu karnego „odpowiedzialności karnej podlega ten tylko, kto popełnia czyn zabroniony pod groźbą kary przez ustawę obowiązującą w czasie jego popełnienia, odpowiedzialność karną za naruszenie przepisów ochrony danych osobowych może ponosić wyłącznie pracownik organizacji, w tym również członek jej kierownictwa.

 

Występki określone w art. 107 UODO należą do kategorii przestępstw powszechnych, mogą one zostać popełnione przez każdą osobę, której można przypisać zdolność do odpowiedzialności karnej, są przestępstwami ściganymi z urzędu, z oskarżenia publicznego.

 

Odpowiedzialności karnej za niedopuszczalne lub niezgodne z prawem przetwarzanie danych podlega ten, kto:

  • Przetwarza dane osobowe.
  • Czyni to w sposób niedopuszczalny w danym stanie faktycznym lub nie posiada uprawnienia do takiego przetwarzania.
  • Przetwarza dane w sposób umyślny.

 

Warto zwrócić w tym miejscu uwagę na fakt, iż przestępstw niezgodnego z prawem lub nieuprawnionego przetwarzania danych można dokonać niezależnie od tego, czy do przetwarzania danych sprawca zobowiązany był do stosowania przepisów RODO czy nie. Przetwarzanie danych osobowych, nawet, jeśli nie mają do niego zastosowania przepisy RODO, wciąż pozostaje przetwarzaniem danych osobowych. Przykładami tego typu przetwarzania jest np. nielegalne wejście sprawcy w posiadanie danych osobowych, nielegalne wykorzystanie przez niego danych osobowych lub ich przetwarzanie w ramach czynności o czysto osobistym lub domowym charakterze, np. gdy zostały pozyskane wskutek pomyłki nadawcy wiadomości, zawierającej takie dane.

 

Obok przestępstw opisanych w UODO, może także dojść do przestępstw przeciwko ochronie informacji, wskazanych w rozdziale XXXIII kodeksu karnego. Pomimo tego, że obie kategorie przestępstw są od siebie niezależne, sprawca jednym działaniem może popełnić przestępstwa określone w kilku przepisach karnych. Może się tak bowiem zdarzyć, że osoba, działając bez uprawnienia  uzyska dostęp do informacji dla niego nieprzeznaczonej, wypełniając swoim działaniem znamiona dwóch przestępstw, tj. art. 267 § 1 kk oraz art. 107 ust. 1 UODO.

 

Zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 RODO, na administratorze (lub na podmiocie przetwarzającym) ciąży obowiązek wykazania zgodności przetwarzania danych z przepisami RODO lub konieczność wykazania, że nie ponosi on winy za wyrządzoną szkodę. Kluczowa, z punktu widzenia RODO, zasada rozliczalności jest faktycznie przeciwieństwem zasady domniemania niewinności, wynikającym z art. 5 § 1 kodeksu karnego (dalej kk). W zakresie odpowiedzialności karnej za niezgodne z prawem przetwarzanie danych osobowych nie pozostaje ona jednak bez wpływu na ewentualną odpowiedzialność karną sprawcy naruszenia.

 

Stosując zasadę rozliczalności można przypisać sprawcy odpowiedzialność karną. Aby udowodnić sprawcy popełnienie przestępstwa, prokurator może wnieść zarzut o niedopuszczalności lub niezgodności z prawem przetwarzania danych osobowych. Milczenie sprawcy działa na w tym przypadku na jego niekorzyść. Jeśli nie potrafi on wykazać (rozliczyć się), iż przetwarza dane osobowe w sposób legalny, przyjmuje się, że albo nie zna on podstawy prawnej przetwarzania danych osobowych albo stara się ją ukryć. A contrario, zasada rozliczalności stanowi więc kluczowy element dla obrony przed podejrzeniem o popełnienie przestępstwa. Dokumentowanie procesów przetwarzania danych osobowych, wskazujących na ich zgodność z prawem okazuje się więc kluczowe dla obrony przez podejrzeniem o popełnienie przestępstwa. Brak takich dowodów może bowiem negatywnie wpłynąć na ocenę działań podejmowanych przez sprawcę.

 

Obok zasady rozliczalności warto także wspomnieć o zasadzie minimalizacji (art. 25 ust. 2 RODO). Organizacje, które stosują łącznie obie powyższe zasady są dużo bardziej odporne na uniknięcie odpowiedzialności karnej za podejrzenie o przetwarzaniu danych osobowych bez uprawnień. Właściwe stosowanie tych zasad pozwala na łatwiejszą identyfikację osób, którym przydzielono konkretny zakres uprawnień do przetwarzania danych osobowych, co pozwala na przypisanie konkretnej odpowiedzialności.

 

Zasada rozliczalności pomaga również wykazać umyślność popełnienia przestępstwa, szczególnie jeżeli sprawca działał w zamiarze ewentualnym. Ten typ zamiaru polega bowiem na tym, że sprawca wie o tym, że jego działanie może być przestępstwem, jednakże godzi się na taką konsekwencję (art. 9 § 1 in fine kk).

 

Podsumowując, brak wdrożenia RODO w organizacji jest z pewnością przesłanką obciążającą jej kierownictwo i może skutkować jego odpowiedzialnością karną. W poprawnie funkcjonującej organizacji łatwo jest wskazać osoby odpowiedzialne za przetwarzanie danych osobowych, a co za tym idzie także osoby odpowiedzialne za popełnienie jednego z opisywanych powyżej przestępstw.  Wdrożenie RODO oraz odpowiednie przeszkolenie osób bezpośrednio odpowiedzialnych za przetwarzanie danych osobowych zwalnia kierownictwo organizacji od poniesienia odpowiedzialności karnej. Osobom upoważnionym do przetwarzania danych osobowych, które dodatkowo przeszły szkolenie RODO trudniej jest bowiem wytłumaczyć się niewiedzą.

[1] https://pk.gov.pl/wp-content/uploads/2017/09/fd6d39319302d20826f35d00015c463b.doc

Postępowanie administracyjne przed Prezesem UODO – o karach pieniężnych i innych sankcjach na gruncie RODO

W niniejszym artykule przedstawię problematykę kar pieniężnych, a także innych narzędzi prawnych, jakimi dysponuje organ nadzorczy w ramach postępowania administracyjnego na gruncie RODO1. Administracyjne kary pieniężne są zasadniczym elementem systemu egzekwowania wprowadzonego na mocy RODO, stanowiąc tym samym wraz z innymi środkami przewidzianymi w art. 58 RODO istotną część zestawu narzędzi umożliwiających egzekwowanie prawa przez organy nadzorcze.

Widmo kar to z pewnością dla wielu przedsiębiorstw czynnik motywujący do podjęcia działań w kierunku zapewnienia zgodności z RODO. Istotne jest to, by znać zasady na jakich organ nadzorczy (w Polsce: Prezes Urzędu Ochrony Danych Osobowych, dalej „Prezes UODO”) może nałożyć kary finansowe, a także kiedy może poprzestać na łagodniejszych środkach, takich jak np. upomnienie. W ramach niniejszego artykułu zaprezentuję jakie czynniki decydują o nałożonej sankcji i co ma wpływ na jej wymiar.

Kilka słów o postępowaniu administracyjnym przed Prezesem UODO

Postępowanie administracyjne przed Prezesem UODO może zostać wszczęte zarówno z urzędu, jak i na skutek skargi osoby, której dane dotyczą. Po wszczęciu postępowania organ nadzoru musi dokonać ustaleń w zakresie stanu faktycznego, zestawić je z obowiązującym stanem prawnym, a następnie wydać decyzję administracyjną. Administracyjne kary pieniężne organ nadzorczy nakłada zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków naprawczych, o których mowa w art. 58 ust. 2 lit. a)-h) oraz j) RODO. Na decyzję organu nadzorczego można złożyć skargę do sądu administracyjnego.

Warto wspomnieć również, że jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes UODO, w celu zapobieżenia tym skutkom, może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych, wskazując dopuszczalny zakres tego przetwarzania. W takim postanowieniu Prezes UODO określa termin obowiązywania ograniczenia przetwarzania danych osobowych nie dłuższy niż do dnia wydania decyzji kończącej postępowanie w sprawie. Na wspomniane postanowienie służy skarga do sądu administracyjnego.

Jakie zasady w zakresie wymiaru kar pieniężnych obowiązują?

W RODO określone są maksymalne wysokości kar za poszczególne naruszenia, co oznacza, że sankcje nie mogą przekroczyć tych górnych granic.

Wyższe progi kar (do 20 mln euro, a w przypadku przedsiębiorstwa – do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego) obowiązują m.in. za naruszenie podstawowych zasad przetwarzania, w tym warunków uzyskania zgody, kwestii związanych z realizacją praw osób, których dane dotyczą, czy też przepisów dotyczących zasad przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej.

Niższe progi (do 10 mln euro, a w przypadku przedsiębiorstwa – do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego), są przewidziane np. za naruszenie obowiązków administratora i podmiotu przetwarzającego dotyczących spełnienia warunków wyrażenia zgody dziecka w przypadku usług społeczeństwa informacyjnego czy nieuwzględnienie zasad ochrony danych w fazie projektowania, czyli tzw. zasady privacy by design.

Dodatkowo należy zaznaczyć, że jako górna granica zagrożenia zawsze będzie brana pod uwagę wyższa kwota, np. że jeżeli na podstawie wyliczenia 4 % z obrotu światowego przedsiębiorstwa można nałożyć wyższą karę niż 20 mln euro to właśnie ta wyższa wartość będzie stanowiła górną granicę albo jeżeli wyższą kwotą w porównaniu do 2 % obrotu światowego przedsiębiorstwa jest kwota 10 mln euro to wówczas ta kwota znajdzie zastosowanie.

Warto pamiętać, że każdy kraj członkowski mógł w drodze ustawodawstwa krajowego obniżyć administracyjne kary pieniężne dla sektora publicznego, z czego skorzystał polski ustawodawca, wprowadzając próg maksymalny kary do 100 000 złotych w przypadku kary dla jednostek sektora finansów publicznych, instytutów badawczych lub Narodowego Banku Polskiego oraz próg maksymalny do 10 000 zł w przypadku sankcji pieniężnej nakładanej na państwowe i samorządowe instytucje kultury.

RODO rozstrzyga sytuację zbiegu naruszeń, tzn. w sytuacji gdy administrator lub podmiot przetwarzający narusza w ramach tych samych operacji przetwarzania kilka przepisów, całkowita wysokość administracyjnej kary finansowej nie może przekroczyć kary za najpoważniejsze naruszenie.

Należy wskazać, że w przypadku podjęcia decyzji o nałożeniu kary nie może być ona określona przez organ dowolnie – stosownie do art. 83 ust. 1 RODO administracyjna kara pieniężna musi łącznie spełniać 3 kryteria:

1) Musi być skuteczna.

2) Musi być proporcjonalna.

3) Musi być odstraszająca.

Brak spełnienia któregokolwiek z nich może być przesłanką do uchylenia decyzji organu, zaskarżonej przez administratora lub podmiot przetwarzający. Będzie to miało istotne znaczenie zwłaszcza, jeśli wysokość kary mogłaby doprowadzić do zakończenia działalności gospodarczej przedsiębiorstwa.

Okoliczności podlegające ocenie w postępowaniu administracyjnym przed organem nadzorczym

Decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, organ nadzorczy zwraca w każdym indywidualnym przypadku należytą uwagę na:

• Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody.

• Umyślny lub nieumyślny charakter naruszenia.

• Działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.

• Stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych.

• Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego; • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.

• Kategorie danych osobowych, których dotyczyło naruszenie.

• Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.

• Jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 RODO – przestrzeganie tych środków.

• Stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji.

• Oraz wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Jak widać lista okoliczności, które powinny być brane pod uwagę przez organ nadzorczy jest pokaźna. Wszystkie z tych czynników oczywiście mogą mieć znaczenie. Na przykładzie decyzji polskiego organu nadzorczego można zauważyć jakie przełożenie na wymiar kary finansowej mają występujące w danej sprawie okoliczności obciążające i łagodzące.

Tytułem przykładu warto przywołać decyzję organu nadzorczego z dnia 03 grudnia 2020 r w sprawie Virgin Mobile Polska Sp. z o.o. z siedzibą w Warszawie2. Prezes UODO nałożył na Virgin Mobile Polska Sp. z o.o. administracyjną karę pieniężną w wysokości ponad 1,9 mln zł za naruszenie polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do nieuprawnionego dostępu do tych danych przez osobę lub osoby nieuprawnione. W kręgu osób dotkniętych naruszeniem znalazło się ponad 123 tys. abonentów usług przedpłaconych, a dane osobowe, których naruszenie dotyczyło to przede wszystkim imiona, nazwiska, numery PESEL, serie i numery dowodów tożsamości, numery telefonów.

Wśród okoliczności, które organ uznał za obciążające znalazły się w szczególności charakter i waga naruszenia, liczba poszkodowanych osób, rozmiar szkody poniesionej przez osoby, których dotyczyło naruszenie i czas trwania naruszenia. Sam okres, w którym osoba lub osoby nieuprawnione miały dostęp do danych osobowych przetwarzanych przez spółkę, był stosunkowo krótki, to jednak stan naruszenia był długotrwały, ponieważ powstał przed dniem rozpoczęcia stosowania RODO, a usunięty został ostatecznie – w trakcie postępowania zakończonego wydaniem decyzji przez Prezesa UODO. Dodać należy, że na negatywną ocenę zdaniem organu zasłużył także fakt, że spółka nie przeprowadziła testu pod kątem poprawności działania systemu zgodnie z założonymi wymaganiami. Zdaniem Prezesa UODO brak w przyjętych przez Spółkę procedurach uregulowań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych przyczynił się do wystąpienia naruszenia ochrony danych osobowych.

Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą spółki z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Poza prawidłowym wywiązywaniem się z ciążących na spółce obowiązków procesowych zarówno w trakcie postępowania kontrolnego jak i w postępowaniu administracyjnym zakończonym wydaniem decyzji, spółka Virgin Mobile Polska Sp. z o.o. w pełnym zakresie zrealizowała zalecenia Prezesa UODO dotyczące uzupełnienia powiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu.

W kontekście kar finansowych i okoliczności podlegających ocenie organu nadzorczego warto także nadmienić sprawę spółki Morele.net Sp. z o.o., która w związku z niewystarczającym zastosowaniem środków technicznych i organizacyjnych, skutkującym dwukrotnym dostępem osoby bądź osób nieuprawnionych do danych jej klientów, na mocy decyzji Prezesa UODO z dnia 10 września 2019 r. została obciążona karą administracyjną w wysokości ponad 2, 8 mln złotych3. Naruszenie dotyczyło około dwóch milionów dwustu tysięcy użytkowników sklepów internetowych spółki Morele.net. Sp. z o.o. Efektem uzyskania nieuprawnionego dostępu było zagrożenie polegające na zastosowaniu metody zwanej phishingiem, mającej na celu wyłudzenie danych, m.in. uwierzytelniających do konta bankowego. Klienci spółki otrzymywali wiadomości SMS wzywające do dokonania dodatkowej opłaty w wysokości 1 PLN, w celu dokończenia realizacji zamówienia wraz z linkiem odsyłającym do fałszywej bramki płatności elektronicznej DotPay.

Przechodząc do kwestii okoliczności obciążających spółkę, należy przede wszystkim wskazać, że zdaniem organu zastosowane przez spółkę środki organizacyjne i techniczne, w tym jednoetapowa autoryzacja do panelu pracownika okazały się nieadekwatne do poziomu ryzyka, a spółka nie dopełniła obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, by zapewnić stopień bezpieczeństwa odpowiadający ryzyku nieuprawnionego dostępu do danych osobowych jej klientów. Ponadto organ stwierdził, że naruszenie ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla ok. dwóch milionów dwustu tysięcy osób, do których danych dostęp miała osoba bądź osoby nieuprawnione i pociąga za sobą potencjalną, ale realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli tych osób. Negatywnie został również oceniony fakt braku zapewnienia ciągłości monitorowania ruchu sieciowego.

Prezes UODO uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, w szczególności podjęcie przez spółkę wszelkich możliwych działań, mających na celu usunięcie naruszenia oraz dobrą współpracę ze strony spółki, która zarówno w toku przeprowadzonej kontroli, jak i w trakcie trwania postępowania współpracowała z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, w wyznaczonym terminie przesłała wyjaśnienia i udzieliła odpowiedzi na wystąpienie Prezesa UODO.

Należy wspomnieć, że Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 3 września 2020 r. oddalił skargę spółki Morele.net sp. z o.o. na decyzję Prezesa UODO, podzielając stanowisko organu nadzorczego w przedmiocie nałożonej administracyjnej kary pieniężnej4.

Podane przykłady pokazują, że organ nadzorczy zwraca uwagę zarówno na występujące w sprawie okoliczności obciążające, jak i łagodzące. To, czy zostały podjęte działania w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, a także stopień współpracy z organem w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków mogą wpłynąć na złagodzenie wymiaru kary administracyjnej, dlatego nawet, jeżeli już dojdzie do naruszenia wskazane jest, by podejmować działania zmierzające do zminimalizowania szkody oraz postawić na dobrą współpracę z organem nadzorczym. Oczywiście, w przypadku poważnych naruszeń wspomniane okoliczności łagodzące nie przyczynią się do całkowitego odstąpienia przez organ od obciążania karą finansową, niemniej zawsze mogą odnieść korzystny wpływ na jej wymiar.

Kara pieniężna czy inna sankcja?

Trzeba zaznaczyć, że Prezes UODO w ramach swoich kompetencji, rozstrzygając o odpowiedzialności za naruszenie RODO nie musi uciekać się wyłącznie do sankcji pieniężnych. W przypadku mniej istotnych naruszeń RODO, organ nadzoru dysponuje uprawnieniami naprawczymi, których katalog zawarty jest w art. 58 ust. 2 lit. a)-h) oraz j) RODO. Katalog ten przewiduje między innymi wydawanie przez organ nadzorczy ostrzeżeń dotyczących możliwości naruszenia przepisów przez planowane operacje, udzielanie upomnień w przypadku naruszenia przepisów RODO, spełnienie żądania osoby, której dane dotyczą, nakazanie dostosowania operacji przetwarzania do przepisów rozporządzenia oraz wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania.

Jak zatem można zauważyć, Prezes UODO dysponuje mechanizmami pozwalającymi na usunięcie skutków naruszeń danych osobowych bez konieczności finansowego obciążania danej organizacji. Jak wynika z art. 58 ust. 2 lit. i) RODO, administracyjne kary pieniężne mogą być nakładane zamiast powyższych środków naprawczych, jak i łącznie z nimi, zaś ocena w tym zakresie należy już do organu nadzorczego.

Z motywu 148 RODO wynikają wskazówki co zastosowania przez organ nadzorczy upomnienia i nieobciążania karą pieniężną:

„(…)Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia (…)”.

W motywie 148 RODO ustawodawca unijny posłużył się pojęciem „niewielkich naruszeń”. Takie naruszenia mogą dotyczyć pogwałcenia jednego lub kilku przepisów rozporządzenia wymienionych w art. 83 ust. 4 lub 5 RODO. W tym przypadku ocena wszystkich okoliczności pozwoli jednak na uznanie, że są „niewielkie”, ponieważ na przykład nie stanowią poważnego zagrożenia dla praw osób, których dane dotyczą oraz nie wpływają na istotę danego obowiązku. Zaznaczyć należy, że w motywie 148 RODO nie przewiduje się obowiązku zastępowania przez organ nadzorczy kary pieniężnej upomnieniem w przypadku każdorazowego niewielkiego naruszenia, a raczej wskazuje się na możliwość, z której można skorzystać po dokonaniu konkretnej oceny wszystkich okoliczności sprawy. Motyw 148 kreuje możliwość zastąpienia kary pieniężnej upomnieniem również w przypadku, gdy administratorem danych jest osoba fizyczna, a grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie. Kluczowa jest tutaj ocena organu nadzorczego, czy — w świetle istniejących okoliczności sprawy — nałożenie kary jest konieczne. Jeżeli organ tak uzna, jest zobligowany również ocenić, czy grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie5.

Podsumowując, system odpowiedzialności administracyjnej wprowadzony przez ustawodawcę unijnego ma na celu zapewnienie skuteczności regulacji. Należy przy tym pamiętać o rozbudowanym wachlarzu środków naprawczych jakie przysługują organowi nadzorczemu w ramach postępowania administracyjnego, wobec czego nie zawsze kończy się ono nałożeniem kary finansowej. Zależy to od okoliczności sprawy, która powinna być wnikliwie oceniona. Istotne jest to, że zastosowany środek naprawczy powinien odpowiadać charakterowi, wadze i konsekwencjom naruszenia. Przy wymierzaniu kar kluczowe dla organów nadzorczych jest zapewnienie ich skuteczności, proporcjonalności i odstraszającego charakteru. Trzeba bowiem wskazać, że kara nałożona na dany podmiot powinna mieć również wpływ na innych administratorów i procesorów działających na rynku, odnosząc skutek prewencyjny i edukacyjny. Organ dokonuje bowiem w uzasadnieniu interpretacji przepisów, które w przyszłości mogą być wskazówką tak dla ukaranego, jak i dla innych podmiotów.


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[2] https://www.uodo.gov.pl/decyzje/DKN.5112.1.2020

[3] https://uodo.gov.pl/decyzje/ZSPR.421.2.2019

[4] Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 września 2020 r., sygn. II SA/Wa 2559/19, LEX nr 3077973

[5] Wytyczne Grupy Roboczej art. 29  w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (W 253)