Pierwsza kara pieniężna w związku z naruszeniem przepisów RODO
W ubiegłym tygodniu pojawiły się informacje medialne o nałożeniu przez Prezesa UODO pierwszej kary pieniężnej za niespełnienie obowiązku informacyjnego wynikającego z rozporządzenia o ochronie danych osobowych, w kwocie 943 tys. złotych.
Wysokość nałożonej kary na pewno działa na wyobraźnię. Samo rozporządzenie wymaga w art. 83, aby nakładana przez organ administracyjny kara pieniężna była w każdym przypadku skuteczna i proporcjonalna, ale zarazem odstraszająca. Bez znajomości faktycznego stanu rzeczy, nie sposób ustalić, która z ww. przesłanek i w jakim zakresie wpłynęła na wysokość wymierzonej kary. Należy mieć na uwadze, iż Prezes UODO, podejmując decyzję o nałożeniu kary i ustalając jej wysokość, musi wziąć pod uwagę jedenaście czynników wskazanych w rozporządzeniu. Znaczenie ma więc m.in. charakter, waga i czas trwania naruszenia, liczba poszkodowanych osób, rozmiar poniesionej przez poszkodowanych szkody, cel i zakres przetwarzania danych, których dotyczyło naruszenie, nieumyślny lub umyślny jego charakter, działania naprawcze, współpraca z Urzędem, ewentualne wcześniejsze naruszenia, kategorie naruszonych danych, sposób w jaki organ nadzorczy dowiedział się o naruszeniu, stosowanie przez naruszającego kodeksów postępowania z danymi osobowymi, czy ochrona danych jest brana pod uwagę na etapie projektowania produktu/usługi, czy dane były chronione od strony technicznej i proceduralnej, jak również osiągnięte bezpośrednio lub pośrednio korzyści lub uniknięcie straty, w związku z naruszeniem obowiązków wynikających z rozporządzenia.
Analizując zatem przesłanki nałożenia i wysokości wymiaru kary finansowej, organ nadzorczy związany jest przy wydawaniu swojej decyzji wieloma czynnikami, które powinien w konkretnym przypadku wnikliwie przeanalizować. Taka konstrukcja przepisu o nakładaniu administracyjnej kary pieniężnej, z jednej strony wymaga od organu nadzorczego zwracania uwagi na często bardzo szczegółowe aspekty, które w konkretnym przypadku miały miejsce w związku z przypisanym ukaranemu niewłaściwym przetwarzaniem danych osobowych. Z drugiej strony jest to dla organu nadzorczego ułatwieniem w wykazaniu jakimi przesłankami kierował się wymierzając karę finansową oraz jaki wpływ miały poszczególne czynniki wskazane w przepisie prawnym na wysokość wymierzonej kary pieniężnej.
Autor: Radosław Kuźniak – Radca Prawny Kancelarii Prawnej WEC Sroczyński i Wspólnicy sp.k.