Jakie kary RODO w Polsce nałożył organ nadzorczy? Takie oraz podobne pytania często nasuwają się podmiotom z wielu branż, także wśród naszych klientów.
W związku z Rozporządzeniem o ochronie danych osobowych największą sensacją okazała się wysokości kar, które mogą zostać nałożone na podmiot w związku z nieprzestrzeganiem przez niego przepisów. Nie ma w tym nic dziwnego, biorąc pod uwagę wysokość kar określonych w Rozporządzeniu.
Sprawdź jak wdrożyć RODO w twojej organizacji
Najwyższa kara za naruszenie obowiązków RODO
4 911 732 PLN – to kwota największej kary za złamanie RODO, która została nałożona przez polski organ nadzorczy. Karę otrzymał podmiot z branży energetycznej – Fortum Marketing and Sales Polska S.A.
Sprawa dotyczyła naruszenia, do którego doszło w czasie wprowadzenia zmian w systemie do przechowywania dokumentów zawierających szereg informacji na temat klientów administratora. Zmiany miały na celu utworzenie nowej bazy i poprawienie wydolności systemu. W czasie przeprowadzania zmian doszło do skopiowania przez nieuprawniony podmiot bazy zawierającej dane klientów administratora. Proces przeprowadzony został przez procesora.
Decyzja wydana przez organ nadzorczy w tej sprawie, pokazuje jak ważne jest podmiotów przetwarzających przez administratora. Samo podpisanie umowy powierzenia przetwarzania danych osobowych może okazać się niewystarczające..
Kary RODO w Polsce – aktualna lista
Poniżej przedstawiamy lista wszystkich kar nałożonych do tego czasu przez UODO od wejścia w życie Rozporządzenia o ochronie danych osobowych (RODO).
Nazwa podmiotu |
Wysokość kary RODO |
Data nałożenia kary RODO |
Podstawa prawna |
Branża |
Link do decyzji |
Bisnode Polska Sp. z o.o. |
943 470,00 PLN |
15.03.2019 |
Art. 14 RODO |
digital marketing |
|
Dolnośląski Związek Piłki Nożnej z siedzibą we Wrocławiu |
55 750,50 PLN |
25.04.2019 |
Art. 6 RODO |
sportowa |
|
Morele.net Sp. z o. o. z siedzibą w Krakowie |
2 830 410 PLN |
10.09.2019 |
Art. 32 RODO |
||
ClickQuickNow Sp. z o.o. z siedzibą w Warszawie |
201 559,50 PLN |
16.10.2019 |
Art. 32 RODO |
marketing |
|
Burmistrz Aleksandrowa Kujawskiego |
40 000 PLN |
18.10.2019 |
Art. 28 RODO |
sektor publiczny |
|
Szkoła Podstawowa nr 2 w Gdańsku |
20 000 PLN |
18.02.2020 |
Art. 5 RODO, art. 9 RODO |
sektor publiczny/ szkolnictwo |
|
Vis Consulting Sp. z o.o. w likwidacji z siedzibą w Katowicach |
20.000 PLN |
09.03.2020 |
Art. 31 RODO, art. 58 RODO |
marketing |
|
Przedsiębiorca prowadzący niepubliczne żłobek i przedszkole |
5 000 PLN |
03.06.2020 |
Art. 31 RODO, art. 58 RODO |
opieka |
|
East Power Sp. z o.o. z siedzibą w Jeleniej Górze |
15 000 PLN |
29.05.2020 |
Art. 31 RODO, art. 58 RODO |
pośrednictwo pracy |
|
Główny Geodeta Kraju z siedzibą w Warszawie |
100 000 PLN |
02.07.2020 |
Art. 31 RODO, art. 58 RODO |
sektor publiczny |
|
Główny Geodeta Kraju z siedzibą w Warszawie |
100 000 PLN |
24.08.2020 |
Art. 5 RODO, art. 6 RODO |
sektor publiczny |
|
Szkoła Główna Gospodarstwa Wiejskiego w Warszawie |
50 000 PLN |
21.08.2020 |
Art. 32 RODO |
sektor publiczny/szkolnictwo |
|
Virgin Mobile Polska Sp. z o.o. z siedzibą w Warszawie |
1 599 395 PLN |
03.12.2020 |
Art. 31 RODO, art. 58 RODO |
telekomunikacyjna |
|
Smart Cities Sp. z o.o. z siedzibą w Warszawie |
12 838,20 PLN |
09.12.2020 |
Art. 31 RODO, art. 58 RODO |
technologiczna |
|
TUiR Warta S.A. |
85 588 PLN |
09.12.2020 |
Art. 33 ust. 1 RODO, art. 34 ust. 1 RODO |
ubezpieczeniowa |
|
ID Finance Poland Sp. z o.o. w likwidacji z siedzibą w Warszawie |
1.069.850,00 PLN |
17.12.2020 |
Art. 5 ust. 1 lit. f) RODO, art. 25 ust. 1 RODO, art. 32 ust. 1 lit. b) i d), art.. 32 ust. 2 RODO |
finansowa |
|
Śląski Uniwersytet Medyczny w Katowicach |
25 000 PLN |
05.01.2021 |
Art. 33 ust. 1 RODO, art. 34 ust. 1 RODO |
sektor publiczny |
|
Podmiot prowadzący jednoosobową działalność gospodarczą związaną z ochroną zdrowia |
85 588 PLN |
05.01.2021 |
Art. 34 ust.1 i 2 RODO, art. 58 ust. 2 lit. e) RODO |
ochrona zdrowia |
|
Anwara Sp. z o.o. z siedzibą w Warszawie |
21.397 PLN |
05.01.2021 |
Art. 31 RODO, art. 58 ust.1 lit. a) RODO |
gospodarcza/ doradcza |
|
ENEA S.A. z siedzibą w Poznaniu |
136 437 PLN |
11.02.2021 |
Art. 33 ust. 1 RODO |
energetyczna |
|
Krajowa Szkoła Sądownictwa i Prokuratury z siedzibą w Krakowie |
100 000 PLN |
11.02.2021 |
Art. 5 ust.1 lit. f) RODO, art. 25 ust. 1 RODO, art. 28 ust. 3 RODO, art. 32 ust. 1 i 2 RODO |
sektor publiczny |
|
Funeda Spółka z o.o. |
22 739,50 PLN |
19.03.2021 |
Art. 31 RODO, Art. 58 ust. 1 lit. a) i e) RODO |
pożyczkowa |
|
Cyfrowy Polsat S.A. z siedzibą w Warszawie |
1 136 975 PLN |
22.04.2021 |
Art. 24 ust. 1 RODO Art. 32 ust. 1 i 2 RODO, art. 34 ust. 1 RODO |
usługi/media |
|
PNP S.A. z siedzibą w Warszawie |
22.739 PLN |
27.04.2021 |
Art. 31 RODO, art. 58 ust. 1 lit. e) RODO |
finansowa |
|
P4 Sp. z o. o. z siedzibą w Warszawie |
100 000 PLN |
08.06.2021 |
art. 174 a ust. 1 pr. telekomunkacyjnego |
telekomuniacyjna |
|
Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. |
159.176 PLN |
21.06.2021 |
Art. 33 ust. 1 RODO, art. 34 ust. 1 RODO |
ubezpieczeniowa |
|
Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra z siedzibą w Warszawie |
13 644 PLN |
30.06.2021 |
Art. 33 ust. 1 RODO, art. 34 ust.1 RODO |
organizacja pozarządowa |
|
Prezes Sądu Rejonowego w Zgierzu |
10 000 PLN |
13.07.2021 |
Art. 5 ust. 1 lit. f) RODO, art. 25 ust.1 RODO, art. 32 ust.1 lit. b) i d), art.. 32 ust. 2 RODO |
sektor publiczny/ sądownictwo |
|
Bank Millennium S.A. |
363.832 PLN |
14.10.2021 |
Art. 33 ust. 1 RODO, art. 34 ust. 1 RODO |
finansowa |
|
Pactum Poland Sp. z o.o. |
18 192 PLN |
01.12.2021 |
Art. 31 RODO, art. 58 ust. 1 lit. e) RODO |
gospodarcza/ doradcza |
|
Politechnika Warszawska |
45 000 PLN |
09.12.2022 |
Art. 5 ust. 1 lit. f) RODO, art. 5 ust. 2 RODO, art. 24 ust. 1 RODO, art. 25 ust. 1 RODO, art. 32 ust. 1 i 2 RODO |
sektor publiczny/ szkolnictwo |
|
Santander |
545.748 PLN |
19.01.2022 |
Art. 34 ust. 1 RODO |
finansowa |
|
Fortum Marketing and Sales Polska S.A. z siedzibą w Gdańsku |
4 911 732 PLN |
19.01.2022 |
Art. 5 ust. 1 lit. f) RODO, art. 24 ust. 1 RODO, art. 25 ust. 1 RODO, art. 28 ust. 1 RODO, art. 32 ust. 1 i 2 RODO |
energetyczna |
|
PIKA Sp. z o.o. z siedzibą w Gdańsk |
250 135 PLN |
19.01.2022 |
Art. 28 ust. 3 lit. c) i f) RODO, art. 32 ust. 1 i 2 RODO |
informatyczna |
|
Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. |
15 994 PLN |
06.06.2022 |
Art. 33 ust. 1 RODO |
||
Główny Geodeta Kraju z siedzibą w Warszawie |
60 000 PLN |
06.07.2022 |
Art. 33 ust. 1 RODO, art. 34 ust. 1 RODO |
sektor publiczny |
|
Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego |
10 000 PLN |
06.07.2022 |
Art. 33 ust. 1 RODO , art. 34 ust. 1 RODO |
sektor publiczny |
|
Sułkowicki Ośrodek Kultury z siedzibą w Sułkowicach |
2 500 PLN |
07.09.2022 |
Art. 28 ust. 1, 3 RODO |
sektor publiczny |
|
Stołeczny Ośrodek dla Osób Nietrzeźwych |
10 000 PLN |
31.05.2022 |
Art. 6 ust. 1 w związku z art. 5 ust. 1 lit. a)RODO |
sektor publiczny |
|
Wójt gminy Dobryniewo Duże |
8 000 PLN |
02.11.2022 |
Art. 32 (1) |
sektor Publiczny |
|
P4 sp zo.o |
250 000 PLN |
03.11.2022 |
Art. 174a Prawa Telekomunikacyjnego |
Operator Telekomunikacyjny |
|
P4 sp z o.o. jako następca prawny Virgin Mobile |
1 599 395 PLN |
09.12.2022 |
Art. 32 |
Operator Telekomunikacyjny |
|
Osoba Prywatna |
6 854PLN |
30.08.2022 |
Art. 31 oraz art. 58 ust. 1 lit. e) |
Osoba Prywatna |
|
Wspólnicy spółki cywilnej N.B oraz T. M,. |
45 697 PLN |
30.11.2022 |
Art. 6 ust. 1, art. 9 ust. 1 |
Kancelaria Odszkodowawcza |
|
TIMSHEL Spółkę z ograniczoną odpowiedzialnością z siedzibą w Warszawie |
31 988 PLN |
30.08.2022 |
art. 58 ust. 1 lit. a) i e) |
Rekrutacja |
|
Sąd Rejonowy Szczecin-Centrum w Szczecinie |
30 000 PLN |
19.01.2023 |
art. 24 ust. 1, art. 25 ust. 1 i 2, art. 32 ust. 1 i 2 |
Sektor Publiczny |
|
Wspólnota Mieszkaniowa |
1 556,28 PLN |
7.02.2023 |
Art. 28, art. 33, art. 34 |
Wspólnota Mieszkaniowa |
|
Jednoosobowa działalność Gospodarcza |
33012 PLN + 472 PLN |
8.02.2023 |
art. 25 ust. 1, art. 28 ust. 1 i 3, art. 32 ust. 1 i 2 |
Działalność gospodarcza |
|
Spółdzielnia Mieszkaniowa |
51 876 PLN |
1.03.2023 |
Art. 33, art. 34 |
Spółdzielnia Mieszkaniowa |
|
Prokuratura Rejonowa |
20 000 PLN |
14.03.2023 |
Art. 33, art. 34 |
Sektor Publiczny |
|
Rzecznik Dyscyplinarny Izby Adwokackiej |
23 580 PLN |
20.04.2023 |
art. 25 ust. 1, art. 32 ust. 1 i 2 |
Samorząd Adwokacki |
|
Burmistrz Miasta i Gminy W |
10 000 PLN |
9.05.2023 |
art. 25 ust. 1, art. 32 ust. 1 i 2 |
Sektor Publiczny |
|
Burmistrz Miasta Z |
30 000 PLN |
16.05.2023 |
art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 |
Sektor Publiczny |
|
G. Sp. z o.o. |
14 148 PLN |
31.05.2023 |
art. 31 oraz art. 58 ust. 1 lit. a) i e) |
Zarządzanie Nieruchomościami |
|
P. Sp. z o.o. |
47 160 PLN |
31.05.2023 |
art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2, a także art. 33 ust. 1 oraz art. 34 ust. 1 i 2 |
Ochrona Osób i Mienia |
|
T. sp. z o. o. |
18 864 PLN |
2.06.2023 |
art. 31 oraz art. 58 ust. 1 lit. a) i lit. e) |
Sprzedaż detaliczna na straganach i targowiskach |
|
H. Sp. z o. o. |
33 012 PLN |
21.06.2023 |
art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. i), art. 83 |
Sprzedaż / Usługi internetowe |
|
Link4 Towarzystwo Ubezpieczeń S.A |
103 752 PLN |
18.10.2023 |
art. 83 ust. 2 lit. a RODO |
Ubezpieczeniowa |
|
Minister Zdrowia |
100 000 PLN |
20.12.2023 |
Ochrona zdrowia |
||
Santander Bank Polska S.A |
1.440.549 PLN |
12.03.2024 |
Bankowa |
||
Toyota Bank Polska S.A. |
78.575,40 PLN |
12.03.2024 |
art. 33 ust. 1 roza. 2016 art. 83 ust. 4 lit. a) w związku z art. 103 UODO |
Leasingowa |
|
Stowarzyszenie „Maraton” |
916,71 PLN |
30.04.2024 |
|||
Res-Gastro M. Gaweł Sp. k. |
238 345 PLN |
29.04.2024 |
art. 83 ust. 4 lit. a) i art. 83 ust. 5 lit. a) w związku z art. 83 ust. 3 rozporządzenia 2016/679 |
||
Komitet Inicjatywy Ustawodawczej „StopLGBT” |
10 913 PLN |
24.04.2024 |
Kto nakłada kary za RODO?
Kompetencja do nakładania kary za nieprzestrzeganie lub naruszanie przepisów Rozporządzenia ochronie danych osobowych została przyznana krajowym organom nadzorczym. W Polsce jest nim Urząd Ochrony Danych Osobowych ( UODO). Kary za naruszenie RODO nakładane są w drodze decyzji administracyjnej przez Prezesa Urzędu Ochrony Danych Osobowych. Od takiej decyzji istnieje możliwość odwołania do Sądu Administracyjnego, z zachowaniem terminów określonych w kodeksie postępowania administracyjnego.
Kary RODO – Czy jesteśmy w stanie się przed nimi uchronić
Nałożenie kary pieniężnej za naruszenie przepisów RODO może nastąpić w wyniku wniesienia skargi do organu nadzorczego. Zgodnie z art. 77 ust. 1 RODO, skargę może wnieść każda osoba fizyczna, która podejrzewa, że jej dane osobowe przetwarzane są z naruszeniem zasad przetwarzania danych określonych w rozporządzeniu. Wszczęcie postępowania administracyjnego może także nastąpić z inicjatywy urzędu. W przypadku, gdy organ nadzorczy stwierdzi naruszenie przepisów rozporządzenia RODO, może nałożyć administracyjną karę pieniężną. Nałożenie kary za naruszenie RODO może nastąpić niezależnie od innych środków lub działań podejmowanych przez podmiot danych.
Kara za złamanie RODO – komu grozi?
Na kary RODO narażeni są przede wszystkim administratorzy oraz podmioty przetwarzające[1] Kary RODO mogą być nakładane zarówno na przedsiębiorców jak i osoby fizyczne. Wskazać należy, że zgodnie z wytycznymi Grupy Roboczej Art. 29[2], za przedsiębiorstwo uznaje się, w tym przypadku, jednostkę gospodarczą, która może zostać utworzona przez spółkę dominującą i wszystkie zaangażowane podmioty zależne. Dodatkowo to taka jednostka gospodarcza, która prowadzi działalność handlową lub gospodarczą bez względu na osobę prawną.
Kara RODO – wysokość
Niewątpliwie najbardziej kontrowersyjna jest wysokość opisanych w art. 83 RODO kar, który przewiduje dwa pułapy kar pieniężnych.
Rozporządzenie określa najwyższą karę w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa kara wynosi do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Jest ona dopuszczalna w przypadku naruszenia RODO poprzez:
- brak spełnienia podstawowych zasad przetwarzania danych osobowych, w tym warunków zgody,
- brak realizacji praw osób, których dane dotyczą, o których mowa w art. 12–22,
- naruszenie obowiązku dotyczących przekazywania danych osobowych odbiorcy lub organizacji międzynarodowej,
- naruszenie obowiązków, które wynikają z prawa państwa członkowskiego na podstawie rozdziału IX, tzn. nieprzestrzeganie wyjątków od ochrony danych wprowadzonych przez państwa członkowskie,
- nieprzestrzeganie nakazu ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy,
- niezapewnienie dostępu do danych oraz do informacji niezbędnych organowi nadzorczemu do realizacji swoich działań.
Kara za naruszenie RODO – dodatkowe informacje
W przypadku, gdy zaistnieje inne naruszenie RODO– wyżej nie wskazane, najwyższą przewidzianą jest kara w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Katalog tych naruszeń obejmuje brak realizacji obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 –39 oraz 42 i 43 RODO.
Wysokość kary RODO, nakładana przez organ nadzorczy powinna uwzględniać indywidualny charakter każdej sprawy.
Art. 83 ust. 2 RODO zawiera katalog okoliczności, które, w przypadku, gdy wystąpi naruszenie RODO, powinny zostać wzięte pod uwagę przez organ nadzorczy. Wartym podkreślenia jest, że katalog nie stanowi zbioru zamkniętego.
Rozporządzenie wskazuje na konieczność wzięcia pod uwagę wszelkich okoliczności danej sytuacji, uwzględniając przy tym charakter wagę i czas trwania naruszenia oraz jego konsekwencje. Organ skupia się też na działaniach podjętych przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą oraz stopnia odpowiedzialności administratora (lub procesora) z uwzględnieniem wdrożonych środków technicznych i organizacyjnych. Organ nadzorczy badając naruszenia powinien zwrócić uwagę także na to czy zostały podjęte środki w celu zastosowania się do obowiązków wynikających z rozporządzenia. Należy wziąć pod uwagę, także wszelkie inne czynniki obciążające i łagodzące, mające zastosowanie do okoliczności sprawy.
Kara za naruszenie RODO – kiedy może zostać nałożona?
Istotna jest także kategoria naruszonych danych osobowych, np. to z jakim zasobem danych mieliśmy do czynienia, także czy na tej podstawie jesteśmy w stanie pozyskać dużo informacji o osobie, której dane uległy, np. wyciekowi.
Przy wymierzeniu kary RODO, organ bierze pod uwagę również stopień współpracy podmiotu, w celu usunięcia naruszenie oraz złagodzenia jego ewentualnych negatywnych skutków. Organ zwraca także uwagę na przeszłość podmiotu w kontekście wcześniejszych naruszeń z jego strony, a także to w jaki sposób dowiedział się o naruszeniu.
Co ważne, nałożenie kary pieniężnej RODO nie wpływa na wydanie orzeczeń przez inne organy nadzorcze. Zatem obok kar pieniężnych organ stosować może także, tak zwane uprawnienia naprawcze, które wymienia art 58 RODO. Są to:
- wydawanie ostrzeżeń,
- udzielanie upomnień,
- nakazanie spełnienia żądania osoby, której dane dotyczą,
- nakazanie dostosowania operacji przetwarzania do przepisów RODO,
- nakazanie zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych,
- wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania,
- nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców,
- cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji,
- nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.
Złożenie skargi do Prezesa Urzędu Ochrony Danych Osobowych nie wyklucza podjęcia działań na drodze sądowej. Pozwala na to art. 79 RODO. Rozporządzenie ponadto, daje możliwość dochodzenia przed sądem odszkodowania, jeśli osoba, której dane zostały naruszone poniosła szkodę majątkową lub niemajątkową. Pamiętajmy zatem, że kara za naruszenie RODO dla administratora to nie tylko kara pieniężna nałożona przez organ nadzorczy.
[1] W przepisach wskazano także podmioty certyfikujące i monitorujące przestrzeganie kodeksów postępowania.
[2] Wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679
Przeczytaj również: Kara RODO dla francuskiej grupy Accor