Ile wynosi maksymalna kara za naruszenie RODO?

Górna granica administracyjnej kary pieniężnej to 20 mln euro albo 4% całkowitego rocznego światowego obrotu firmy - w zależności od tego, która kwota jest wyższa. Dla lżejszych naruszeń próg wynosi 10 mln euro albo 2% obrotu.

Jakie limity kar obowiązują podmioty publiczne w Polsce?

Na podstawie art. 102 polskiej ustawy o ochronie danych osobowych kara dla jednostek sektora finansów publicznych nie może przekroczyć 100 000 zł, a dla instytutów badawczych 10 000 zł. To wyjątek od wysokich pułapów z RODO.

W jakim czasie trzeba zgłosić naruszenie ochrony danych?

Administrator co do zasady zgłasza naruszenie organowi nadzorczemu bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO). Spóźnione zgłoszenie wymaga wyjaśnienia przyczyn opóźnienia.

Czy osoba fizyczna może żądać odszkodowania za naruszenie RODO?

Tak. Na podstawie art. 82 RODO osoba, która poniosła szkodę majątkową lub niemajątkową, może dochodzić odszkodowania od administratora lub podmiotu przetwarzającego. Trzeba wykazać szkodę i jej związek z naruszeniem.

Jaka jest maksymalna kara za naruszenie RODO?

RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl

Maksymalna administracyjna kara pieniężna za naruszenie RODO wynosi do 20 mln euro albo do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku - w zależności od tego, która kwota jest wyższa. To górny pułap, zarezerwowany dla najpoważniejszych naruszeń. W praktyce wysokość kary zależy od wielu czynników, a w Polsce nakłada ją Prezes Urzędu Ochrony Danych Osobowych (UODO).

Dwa progi kar pieniężnych

RODO przewiduje dwa pułapy kar (art. 83). Wyższy próg - do 20 mln euro albo 4% obrotu - dotyczy najpoważniejszych naruszeń, w tym podstawowych zasad przetwarzania i przesłanek legalności (art. 5, 6, 7 i 9 RODO), praw osób, których dane dotyczą, oraz przekazywania danych do państw trzecich. Niższy próg - do 10 mln euro albo 2% obrotu - dotyczy naruszeń bardziej technicznych i organizacyjnych, na przykład obowiązków administratora i podmiotu przetwarzającego czy zasad współpracy z organem nadzorczym.

Szczególne limity dla podmiotów publicznych w Polsce

Polska ustawa o ochronie danych osobowych z 2018 r. wprowadza odrębne, niższe limity dla sektora publicznego. Zgodnie z art. 102 tej ustawy administracyjna kara pieniężna nakładana na jednostki sektora finansów publicznych oraz niektóre inne podmioty publiczne nie może przekroczyć 100 000 zł, a w przypadku instytutów badawczych - 10 000 zł. To istotny wyjątek od ogólnych, znacznie wyższych pułapów przewidzianych w samym RODO.

Od czego zależy wysokość kary

Organ nadzorczy nie wymierza kar dowolnie. Zgodnie z art. 83 ust. 2 RODO bierze pod uwagę między innymi charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych osób i rozmiar szkody, umyślny lub nieumyślny charakter naruszenia, działania podjęte w celu zminimalizowania szkody, stopień współpracy z organem oraz wcześniejsze naruszenia. Kara ma być w każdym przypadku skuteczna, proporcjonalna i odstraszająca. Wcześniejsze naruszenia oraz brak współpracy podwyższają karę, a proaktywne działania naprawcze mogą ją obniżyć.

Nie tylko kary pieniężne - inne sankcje i odpowiedzialność

Kara finansowa to nie jedyne narzędzie. Prezes UODO może też udzielić upomnienia, nakazać dostosowanie przetwarzania do przepisów, ograniczyć lub zakazać przetwarzania. Oddzielnie funkcjonuje odpowiedzialność cywilna: każdy, kto poniósł szkodę majątkową lub niemajątkową wskutek naruszenia RODO, może dochodzić odszkodowania (art. 82 RODO), a przepisy nie ustanawiają z góry górnego limitu takiego odszkodowania. Polska ustawa przewiduje również odpowiedzialność karną osób fizycznych - np. za przetwarzanie danych bez podstawy prawnej (art. 107 ustawy o ochronie danych osobowych grozi grzywna, ograniczenie wolności albo pozbawienie wolności do 2 lat, a w przypadku danych szczególnych kategorii - do 3 lat).

Najczęstsze pytania

Ile wynosi maksymalna kara za naruszenie RODO?
Górna granica administracyjnej kary pieniężnej to 20 mln euro albo 4% całkowitego rocznego światowego obrotu firmy - w zależności od tego, która kwota jest wyższa. Dla lżejszych naruszeń próg wynosi 10 mln euro albo 2% obrotu.
Jakie limity kar obowiązują podmioty publiczne w Polsce?
Na podstawie art. 102 polskiej ustawy o ochronie danych osobowych kara dla jednostek sektora finansów publicznych nie może przekroczyć 100 000 zł, a dla instytutów badawczych 10 000 zł. To wyjątek od wysokich pułapów z RODO.
W jakim czasie trzeba zgłosić naruszenie ochrony danych?
Administrator co do zasady zgłasza naruszenie organowi nadzorczemu bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO). Spóźnione zgłoszenie wymaga wyjaśnienia przyczyn opóźnienia.
Czy osoba fizyczna może żądać odszkodowania za naruszenie RODO?
Tak. Na podstawie art. 82 RODO osoba, która poniosła szkodę majątkową lub niemajątkową, może dochodzić odszkodowania od administratora lub podmiotu przetwarzającego. Trzeba wykazać szkodę i jej związek z naruszeniem.

Podstawa prawna i źródła

Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.

Masz podobną sprawę?

Opisz ją — dobierzemy zweryfikowanego prawnika.

Zgłoś sprawę