RODO – kto nakłada kary?

Organem uprawnionym do nakładania kar za naruszenie lub nieprzestrzeganie przepisów RODO jest Urząd Ochrony Danych Osobowych (UODO).

Skargę o złamaniu przepisów RODO może wnieść każda osoba fizyczna, która ma podejrzenia o łamaniu prawa przez dany podmiot. Co ważne, również inicjatywa urzędu może być przyczyną wszczęcia postępowania administracyjnego. 

RODO– kto jest narażony na karę?

Najczęściej kary za łamanie przepisów RODO uderzają w administratorów oraz podmioty przetwarzające. Warto dodać również, że kary mogą być nakładane nie tylko na przedsiębiorców, ale i osoby fizyczne.

RODO – kiedy nakładana jest kara?

Zgodnie z przepisami RODO, istnieją dwie kategorie kar finansowych, które są uzależnione od rodzaju naruszenia. UODO może nałożyć karę w wysokości:

  • do 10 lub 20 milionów euro;
  • do 2% lub 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku.

Wysokość kary zależy od następujących czynników:

  • charakteru i wagi czynu;
  • liczby poszkodowanych osób i rozmiaru poniesionej przez nich szkody;
  • czasu trwania naruszenia;
  • kategorii danych osobowych, których dotyczyło naruszenie przepisów RODO;
  • stopnia odpowiedzialności administratora danych lub podmiotu przetwarzającego dane;
  • rodzaju działań podjętych w celu zminimalizowania szkody;
  • stopnia współpracy z organem nadzorczym;
  • sposobu, w jaki organ nadzorczy dowiedział się o naruszeniu, a w szczególności – czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosił naruszenie.

RODO – inne uprawnienia naprawcza?

Poza karami finansowymi organ może też sięgać po uprawnienia naprawcze, do których należą:

  • wydawanie ostrzeżeń;
  • nakazanie spełnienia żądania osoby, której dane dotyczą;
  • udzielanie upomnień;
  • nakazanie dostosowania operacji przetwarzania do przepisów RODO;
  • nakazanie zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
  • nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców;
  • wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania – w tym zakazu przetwarzania;
  • nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej;

cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji