Kary administracyjne RODO — ile wynoszą, za co grożą i jak UODO ustala ich wysokość

Kary administracyjne RODO omawia artykuł 83 RODO. To przepis, który budzi najwięcej emocji — bo mówi o pieniądzach. Kary do 20 mln EUR lub 4% rocznego globalnego obrotu brzmią groźnie. W praktyce większość kar nakładanych w Polsce jest znacznie niższa — ale ich wpływ na organizację bywa dotkliwy niezależnie od kwoty.

Warto znać mechanizm nakładania kar — nie po to, żeby się bać, ale żeby wiedzieć, które naruszenia niosą największe ryzyko finansowe i jak je minimalizować.

Dwa progi kar

RODO wprowadza dwa progi kar administracyjnych:

Próg niższy — do 10 mln EUR lub 2% obrotu (art. 83 ust. 4)

• Dotyczy naruszeń obowiązków administratora i procesora, w tym:
• Brak rejestru czynności przetwarzania (art. 30).
• Brak wyznaczenia IOD gdy jest wymagany (art. 37-39).
• Brak umowy powierzenia przetwarzania (art. 28).
• Brak zgłoszenia naruszenia do organu nadzorczego w terminie 72h (art. 33).
• Brak przeprowadzenia DPIA gdy jest wymagana (art. 35).

Próg wyższy — do 20 mln EUR lub 4% obrotu (art. 83 ust. 5)

Dotyczy naruszeń zasad przetwarzania i praw osób, w tym:

• Przetwarzanie bez podstawy prawnej (art. 5, 6).
• Naruszenie warunków zgody (art. 7).
• Naruszenie praw osób, których dane dotyczą (art. 12-22).
• Naruszenie zasad przekazywania danych do państw trzecich (art. 44-49).
• Niezastosowanie się do nakazu organu nadzorczego (art. 58).

Co UODO bierze pod uwagę przy wymiarze kary

Art. 83 ust. 2 RODO wymienia kryteria, które organ nadzorczy musi uwzględnić:

• Charakter, waga i czas trwania naruszenia — jednorazowy incydent vs. systematyczna praktyka.
• Umyślny lub nieumyślny charakter naruszenia — świadome ignorowanie przepisów vs. błąd.
• Działania podjęte w celu minimalizacji szkody — czy administrator zareagował i jak szybko.
• Stopień odpowiedzialności — jakie środki techniczne i organizacyjne administrator wdrożył.
• Wcześniejsze naruszenia — czy to pierwszy przypadek.
• Współpraca z organem nadzorczym — czy administrator współpracował podczas kontroli.
• Kategorie danych — naruszenia dotyczące danych wrażliwych (zdrowie, dane biometryczne) są traktowane surowiej.
• Sposób w jaki organ nadzorczy dowiedział się o naruszeniu — z własnej inicjatywy, ze skargi, ze zgłoszenia administratora.

Kary UODO w praktyce

UODO nakłada kary od kilku tysięcy złotych do kilku milionów. Najwyższe kary w Polsce dotyczyły:

• Braku współpracy z organem nadzorczym — wielokrotne ignorowanie wezwań UODO.
• Przetwarzania danych bez podstawy prawnej na masową skalę.
• Braku odpowiednich zabezpieczeń technicznych prowadzących do wycieku danych.
• Braku zgłoszenia naruszenia w terminie 72h.

Warto pamiętać: kara pieniężna to nie jedyne narzędzie UODO. Organ może też wydać upomnienie, nakazać zmianę sposobu przetwarzania, nakazać usunięcie danych lub ograniczyć przetwarzanie. Te działania mogą być bardziej dotkliwe operacyjnie niż kara finansowa.

Jak minimalizować ryzyko kary

Prowadź aktualny rejestr czynności przetwarzania — to podstawowy dokument weryfikowany podczas kontroli.

Dokumentuj decyzje — podstawy prawne, oceny ryzyka, odmowy realizacji żądań. Kara jest niższa gdy administrator potrafi wykazać, że podjął racjonalne działania.

Reaguj na naruszenia szybko — zgłoszenie do UODO w terminie 72h i podjęcie działań naprawczych zmniejsza wymiar kary.

Współpracuj z UODO — odmowa współpracy lub utrudnianie kontroli to osobne naruszenie, które samo w sobie może skutkować karą.

FAQ