Postępowanie administracyjne przed Prezesem UODO – o karach pieniężnych i innych sankcjach na gruncie RODO

W niniejszym artykule przedstawię problematykę kar pieniężnych, a także innych narzędzi prawnych, jakimi dysponuje organ nadzorczy w ramach postępowania administracyjnego na gruncie RODO1. Administracyjne kary pieniężne są zasadniczym elementem systemu egzekwowania wprowadzonego na mocy RODO, stanowiąc tym samym wraz z innymi środkami przewidzianymi w art. 58 RODO istotną część zestawu narzędzi umożliwiających egzekwowanie prawa przez organy nadzorcze.

Widmo kar to z pewnością dla wielu przedsiębiorstw czynnik motywujący do podjęcia działań w kierunku zapewnienia zgodności z RODO. Istotne jest to, by znać zasady na jakich organ nadzorczy (w Polsce: Prezes Urzędu Ochrony Danych Osobowych, dalej „Prezes UODO”) może nałożyć kary finansowe, a także kiedy może poprzestać na łagodniejszych środkach, takich jak np. upomnienie. W ramach niniejszego artykułu zaprezentuję jakie czynniki decydują o nałożonej sankcji i co ma wpływ na jej wymiar.

Kilka słów o postępowaniu administracyjnym przed Prezesem UODO

Postępowanie administracyjne przed Prezesem UODO może zostać wszczęte zarówno z urzędu, jak i na skutek skargi osoby, której dane dotyczą. Po wszczęciu postępowania organ nadzoru musi dokonać ustaleń w zakresie stanu faktycznego, zestawić je z obowiązującym stanem prawnym, a następnie wydać decyzję administracyjną. Administracyjne kary pieniężne organ nadzorczy nakłada zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków naprawczych, o których mowa w art. 58 ust. 2 lit. a)-h) oraz j) RODO. Na decyzję organu nadzorczego można złożyć skargę do sądu administracyjnego.

Warto wspomnieć również, że jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes UODO, w celu zapobieżenia tym skutkom, może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych, wskazując dopuszczalny zakres tego przetwarzania. W takim postanowieniu Prezes UODO określa termin obowiązywania ograniczenia przetwarzania danych osobowych nie dłuższy niż do dnia wydania decyzji kończącej postępowanie w sprawie. Na wspomniane postanowienie służy skarga do sądu administracyjnego.

Jakie zasady w zakresie wymiaru kar pieniężnych obowiązują?

W RODO określone są maksymalne wysokości kar za poszczególne naruszenia, co oznacza, że sankcje nie mogą przekroczyć tych górnych granic.

Wyższe progi kar (do 20 mln euro, a w przypadku przedsiębiorstwa – do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego) obowiązują m.in. za naruszenie podstawowych zasad przetwarzania, w tym warunków uzyskania zgody, kwestii związanych z realizacją praw osób, których dane dotyczą, czy też przepisów dotyczących zasad przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej.

Niższe progi (do 10 mln euro, a w przypadku przedsiębiorstwa – do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego), są przewidziane np. za naruszenie obowiązków administratora i podmiotu przetwarzającego dotyczących spełnienia warunków wyrażenia zgody dziecka w przypadku usług społeczeństwa informacyjnego czy nieuwzględnienie zasad ochrony danych w fazie projektowania, czyli tzw. zasady privacy by design.

Dodatkowo należy zaznaczyć, że jako górna granica zagrożenia zawsze będzie brana pod uwagę wyższa kwota, np. że jeżeli na podstawie wyliczenia 4 % z obrotu światowego przedsiębiorstwa można nałożyć wyższą karę niż 20 mln euro to właśnie ta wyższa wartość będzie stanowiła górną granicę albo jeżeli wyższą kwotą w porównaniu do 2 % obrotu światowego przedsiębiorstwa jest kwota 10 mln euro to wówczas ta kwota znajdzie zastosowanie.

Warto pamiętać, że każdy kraj członkowski mógł w drodze ustawodawstwa krajowego obniżyć administracyjne kary pieniężne dla sektora publicznego, z czego skorzystał polski ustawodawca, wprowadzając próg maksymalny kary do 100 000 złotych w przypadku kary dla jednostek sektora finansów publicznych, instytutów badawczych lub Narodowego Banku Polskiego oraz próg maksymalny do 10 000 zł w przypadku sankcji pieniężnej nakładanej na państwowe i samorządowe instytucje kultury.

RODO rozstrzyga sytuację zbiegu naruszeń, tzn. w sytuacji gdy administrator lub podmiot przetwarzający narusza w ramach tych samych operacji przetwarzania kilka przepisów, całkowita wysokość administracyjnej kary finansowej nie może przekroczyć kary za najpoważniejsze naruszenie.

Należy wskazać, że w przypadku podjęcia decyzji o nałożeniu kary nie może być ona określona przez organ dowolnie – stosownie do art. 83 ust. 1 RODO administracyjna kara pieniężna musi łącznie spełniać 3 kryteria:

1) Musi być skuteczna.

2) Musi być proporcjonalna.

3) Musi być odstraszająca.

Brak spełnienia któregokolwiek z nich może być przesłanką do uchylenia decyzji organu, zaskarżonej przez administratora lub podmiot przetwarzający. Będzie to miało istotne znaczenie zwłaszcza, jeśli wysokość kary mogłaby doprowadzić do zakończenia działalności gospodarczej przedsiębiorstwa.

Okoliczności podlegające ocenie w postępowaniu administracyjnym przed organem nadzorczym

Decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, organ nadzorczy zwraca w każdym indywidualnym przypadku należytą uwagę na:

• Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody.

• Umyślny lub nieumyślny charakter naruszenia.

• Działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.

• Stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych.

• Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego; • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.

• Kategorie danych osobowych, których dotyczyło naruszenie.

• Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.

• Jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 RODO – przestrzeganie tych środków.

• Stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji.

• Oraz wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Jak widać lista okoliczności, które powinny być brane pod uwagę przez organ nadzorczy jest pokaźna. Wszystkie z tych czynników oczywiście mogą mieć znaczenie. Na przykładzie decyzji polskiego organu nadzorczego można zauważyć jakie przełożenie na wymiar kary finansowej mają występujące w danej sprawie okoliczności obciążające i łagodzące.

Tytułem przykładu warto przywołać decyzję organu nadzorczego z dnia 03 grudnia 2020 r w sprawie Virgin Mobile Polska Sp. z o.o. z siedzibą w Warszawie2. Prezes UODO nałożył na Virgin Mobile Polska Sp. z o.o. administracyjną karę pieniężną w wysokości ponad 1,9 mln zł za naruszenie polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do nieuprawnionego dostępu do tych danych przez osobę lub osoby nieuprawnione. W kręgu osób dotkniętych naruszeniem znalazło się ponad 123 tys. abonentów usług przedpłaconych, a dane osobowe, których naruszenie dotyczyło to przede wszystkim imiona, nazwiska, numery PESEL, serie i numery dowodów tożsamości, numery telefonów.

Wśród okoliczności, które organ uznał za obciążające znalazły się w szczególności charakter i waga naruszenia, liczba poszkodowanych osób, rozmiar szkody poniesionej przez osoby, których dotyczyło naruszenie i czas trwania naruszenia. Sam okres, w którym osoba lub osoby nieuprawnione miały dostęp do danych osobowych przetwarzanych przez spółkę, był stosunkowo krótki, to jednak stan naruszenia był długotrwały, ponieważ powstał przed dniem rozpoczęcia stosowania RODO, a usunięty został ostatecznie – w trakcie postępowania zakończonego wydaniem decyzji przez Prezesa UODO. Dodać należy, że na negatywną ocenę zdaniem organu zasłużył także fakt, że spółka nie przeprowadziła testu pod kątem poprawności działania systemu zgodnie z założonymi wymaganiami. Zdaniem Prezesa UODO brak w przyjętych przez Spółkę procedurach uregulowań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych przyczynił się do wystąpienia naruszenia ochrony danych osobowych.

Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą spółki z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Poza prawidłowym wywiązywaniem się z ciążących na spółce obowiązków procesowych zarówno w trakcie postępowania kontrolnego jak i w postępowaniu administracyjnym zakończonym wydaniem decyzji, spółka Virgin Mobile Polska Sp. z o.o. w pełnym zakresie zrealizowała zalecenia Prezesa UODO dotyczące uzupełnienia powiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu.

W kontekście kar finansowych i okoliczności podlegających ocenie organu nadzorczego warto także nadmienić sprawę spółki Morele.net Sp. z o.o., która w związku z niewystarczającym zastosowaniem środków technicznych i organizacyjnych, skutkującym dwukrotnym dostępem osoby bądź osób nieuprawnionych do danych jej klientów, na mocy decyzji Prezesa UODO z dnia 10 września 2019 r. została obciążona karą administracyjną w wysokości ponad 2, 8 mln złotych3. Naruszenie dotyczyło około dwóch milionów dwustu tysięcy użytkowników sklepów internetowych spółki Morele.net. Sp. z o.o. Efektem uzyskania nieuprawnionego dostępu było zagrożenie polegające na zastosowaniu metody zwanej phishingiem, mającej na celu wyłudzenie danych, m.in. uwierzytelniających do konta bankowego. Klienci spółki otrzymywali wiadomości SMS wzywające do dokonania dodatkowej opłaty w wysokości 1 PLN, w celu dokończenia realizacji zamówienia wraz z linkiem odsyłającym do fałszywej bramki płatności elektronicznej DotPay.

Przechodząc do kwestii okoliczności obciążających spółkę, należy przede wszystkim wskazać, że zdaniem organu zastosowane przez spółkę środki organizacyjne i techniczne, w tym jednoetapowa autoryzacja do panelu pracownika okazały się nieadekwatne do poziomu ryzyka, a spółka nie dopełniła obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, by zapewnić stopień bezpieczeństwa odpowiadający ryzyku nieuprawnionego dostępu do danych osobowych jej klientów. Ponadto organ stwierdził, że naruszenie ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla ok. dwóch milionów dwustu tysięcy osób, do których danych dostęp miała osoba bądź osoby nieuprawnione i pociąga za sobą potencjalną, ale realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli tych osób. Negatywnie został również oceniony fakt braku zapewnienia ciągłości monitorowania ruchu sieciowego.

Prezes UODO uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, w szczególności podjęcie przez spółkę wszelkich możliwych działań, mających na celu usunięcie naruszenia oraz dobrą współpracę ze strony spółki, która zarówno w toku przeprowadzonej kontroli, jak i w trakcie trwania postępowania współpracowała z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, w wyznaczonym terminie przesłała wyjaśnienia i udzieliła odpowiedzi na wystąpienie Prezesa UODO.

Należy wspomnieć, że Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 3 września 2020 r. oddalił skargę spółki Morele.net sp. z o.o. na decyzję Prezesa UODO, podzielając stanowisko organu nadzorczego w przedmiocie nałożonej administracyjnej kary pieniężnej4.

Podane przykłady pokazują, że organ nadzorczy zwraca uwagę zarówno na występujące w sprawie okoliczności obciążające, jak i łagodzące. To, czy zostały podjęte działania w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, a także stopień współpracy z organem w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków mogą wpłynąć na złagodzenie wymiaru kary administracyjnej, dlatego nawet, jeżeli już dojdzie do naruszenia wskazane jest, by podejmować działania zmierzające do zminimalizowania szkody oraz postawić na dobrą współpracę z organem nadzorczym. Oczywiście, w przypadku poważnych naruszeń wspomniane okoliczności łagodzące nie przyczynią się do całkowitego odstąpienia przez organ od obciążania karą finansową, niemniej zawsze mogą odnieść korzystny wpływ na jej wymiar.

Kara pieniężna czy inna sankcja?

Trzeba zaznaczyć, że Prezes UODO w ramach swoich kompetencji, rozstrzygając o odpowiedzialności za naruszenie RODO nie musi uciekać się wyłącznie do sankcji pieniężnych. W przypadku mniej istotnych naruszeń RODO, organ nadzoru dysponuje uprawnieniami naprawczymi, których katalog zawarty jest w art. 58 ust. 2 lit. a)-h) oraz j) RODO. Katalog ten przewiduje między innymi wydawanie przez organ nadzorczy ostrzeżeń dotyczących możliwości naruszenia przepisów przez planowane operacje, udzielanie upomnień w przypadku naruszenia przepisów RODO, spełnienie żądania osoby, której dane dotyczą, nakazanie dostosowania operacji przetwarzania do przepisów rozporządzenia oraz wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania.

Jak zatem można zauważyć, Prezes UODO dysponuje mechanizmami pozwalającymi na usunięcie skutków naruszeń danych osobowych bez konieczności finansowego obciążania danej organizacji. Jak wynika z art. 58 ust. 2 lit. i) RODO, administracyjne kary pieniężne mogą być nakładane zamiast powyższych środków naprawczych, jak i łącznie z nimi, zaś ocena w tym zakresie należy już do organu nadzorczego.

Z motywu 148 RODO wynikają wskazówki co zastosowania przez organ nadzorczy upomnienia i nieobciążania karą pieniężną:

„(…)Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia (…)”.

W motywie 148 RODO ustawodawca unijny posłużył się pojęciem „niewielkich naruszeń”. Takie naruszenia mogą dotyczyć pogwałcenia jednego lub kilku przepisów rozporządzenia wymienionych w art. 83 ust. 4 lub 5 RODO. W tym przypadku ocena wszystkich okoliczności pozwoli jednak na uznanie, że są „niewielkie”, ponieważ na przykład nie stanowią poważnego zagrożenia dla praw osób, których dane dotyczą oraz nie wpływają na istotę danego obowiązku. Zaznaczyć należy, że w motywie 148 RODO nie przewiduje się obowiązku zastępowania przez organ nadzorczy kary pieniężnej upomnieniem w przypadku każdorazowego niewielkiego naruszenia, a raczej wskazuje się na możliwość, z której można skorzystać po dokonaniu konkretnej oceny wszystkich okoliczności sprawy. Motyw 148 kreuje możliwość zastąpienia kary pieniężnej upomnieniem również w przypadku, gdy administratorem danych jest osoba fizyczna, a grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie. Kluczowa jest tutaj ocena organu nadzorczego, czy — w świetle istniejących okoliczności sprawy — nałożenie kary jest konieczne. Jeżeli organ tak uzna, jest zobligowany również ocenić, czy grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie5.

Podsumowując, system odpowiedzialności administracyjnej wprowadzony przez ustawodawcę unijnego ma na celu zapewnienie skuteczności regulacji. Należy przy tym pamiętać o rozbudowanym wachlarzu środków naprawczych jakie przysługują organowi nadzorczemu w ramach postępowania administracyjnego, wobec czego nie zawsze kończy się ono nałożeniem kary finansowej. Zależy to od okoliczności sprawy, która powinna być wnikliwie oceniona. Istotne jest to, że zastosowany środek naprawczy powinien odpowiadać charakterowi, wadze i konsekwencjom naruszenia. Przy wymierzaniu kar kluczowe dla organów nadzorczych jest zapewnienie ich skuteczności, proporcjonalności i odstraszającego charakteru. Trzeba bowiem wskazać, że kara nałożona na dany podmiot powinna mieć również wpływ na innych administratorów i procesorów działających na rynku, odnosząc skutek prewencyjny i edukacyjny. Organ dokonuje bowiem w uzasadnieniu interpretacji przepisów, które w przyszłości mogą być wskazówką tak dla ukaranego, jak i dla innych podmiotów.


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[2] https://www.uodo.gov.pl/decyzje/DKN.5112.1.2020

[3] https://uodo.gov.pl/decyzje/ZSPR.421.2.2019

[4] Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 września 2020 r., sygn. II SA/Wa 2559/19, LEX nr 3077973

[5] Wytyczne Grupy Roboczej art. 29  w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (W 253)