Jakie kary grożą firmie za naruszenie ochrony danych?

RODO przewiduje administracyjne kary pieniężne nakładane przez organ nadzorczy. Za poważniejsze naruszenia maksymalna kara wynosi do 20 mln euro lub do 4% rocznego światowego obrotu przedsiębiorstwa (wartość wyższa), a za część obowiązków technicznych i organizacyjnych do 10 mln euro lub 2% obrotu (art. 83 RODO). Niezależnie od kary administracyjnej osoby poszkodowane mogą dochodzić odszkodowania cywilnego.

Czy mogę żądać odszkodowania za sam stres po wycieku danych?

Art. 82 RODO pozwala dochodzić odszkodowania także za szkodę niemajątkową (np. utrata kontroli nad danymi, obawa przed nadużyciem). Trybunał Sprawiedliwości UE wskazał jednak, że samo naruszenie nie wystarcza — trzeba wykazać realnie poniesioną szkodę i jej związek z naruszeniem. Wysokość zasądzanych kwot zależy od okoliczności konkretnej sprawy.

Ile czasu administrator ma na zgłoszenie naruszenia?

Administrator zgłasza naruszenie Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin od jego stwierdzenia. Jeśli zgłoszenie nastąpi później, należy podać przyczyny opóźnienia (art. 33 RODO).

Gdzie złożyć skargę na nieprawidłowe przetwarzanie danych?

Skargę składa się do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Niezależnie od tego można skorzystać z drogi sądowej i dochodzić odszkodowania w postępowaniu cywilnym.

Jak wybrać prawnika do sprawy o naruszenie danych osobowych (RODO)?

RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl

Wyciek lub inne naruszenie ochrony danych osobowych to sytuacja, w której nieuprawniona osoba uzyskuje dostęp do Twoich danych, dane zostają utracone albo bezprawnie ujawnione. Po jednej stronie takiej sprawy stoi administrator danych (np. firma, urząd, sklep internetowy), po drugiej osoba, której dane wyciekły. W zależności od roli możesz potrzebować prawnika do dochodzenia odszkodowania albo do obrony przed odpowiedzialnością i karą administracyjną. Ten poradnik wyjaśnia, na co realnie zwracać uwagę przy wyborze pełnomocnika i jakie masz prawa.

Podstawy prawne, które rządzą takimi sprawami

W Polsce naruszenia danych osobowych ocenia się przede wszystkim na podstawie RODO (rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679) oraz ustawy z 10 maja 2018 r. o ochronie danych osobowych. Administrator ma obowiązek zgłosić naruszenie organowi nadzorczemu, czyli Prezesowi Urzędu Ochrony Danych Osobowych (PUODO), bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO). Jeżeli naruszenie może powodować wysokie ryzyko dla praw i wolności osób, administrator powinien też zawiadomić same osoby, których dane dotyczą (art. 34 RODO). Osoba poszkodowana ma prawo do odszkodowania za szkodę majątkową lub niemajątkową poniesioną w wyniku naruszenia (art. 82 RODO) — roszczenie to dochodzi się przed sądem cywilnym. Dobry prawnik powinien sprawnie poruszać się w tych przepisach.

Doświadczenie i kompetencje, których warto szukać

Sprawy o dane osobowe łączą prawo (RODO, KPC) z elementami technicznymi (jak doszło do wycieku, jakie dane objął incydent). Szukaj prawnika, który realnie prowadził takie postępowania: skargi do PUODO, pozwy o odszkodowanie z art. 82 RODO albo reprezentację administratora w postępowaniu kontrolnym. Zapytaj o konkretne rodzaje danych, z którymi miał do czynienia (dane zwykłe, dane szczególnej kategorii jak dane o zdrowiu), bo to wpływa na ocenę ryzyka i wysokość roszczeń. Wartość ma także współpraca z biegłymi z zakresu cyberbezpieczeństwa, gdy trzeba ustalić mechanizm i skalę incydentu. Uwaga: rzetelny prawnik nie obieca z góry określonej kwoty ani gwarantowanej wygranej — wysokość odszkodowania zależy od realnej szkody i okoliczności.

Koszty i sposób rozliczenia

Honorarium prawnika jest umowne i zależy od stopnia skomplikowania sprawy oraz nakładu pracy. W praktyce spotyka się rozliczenie według stawki godzinowej, wynagrodzenie ryczałtowe za prowadzenie sprawy albo wynagrodzenie częściowo uzależnione od wyniku (tzw. premia za sukces, success fee, jako dodatek do honorarium podstawowego). W postępowaniu cywilnym strona przegrywająca zwraca przeciwnikowi koszty procesu, w tym koszty zastępstwa prawnego w wysokości wynikającej z rozporządzenia o opłatach za czynności adwokatów lub radców prawnych. Ustal na piśmie zakres zlecenia, sposób rozliczenia i ewentualne koszty dodatkowe (opłaty sądowe, opinie biegłych) jeszcze przed podpisaniem umowy.

Najczęstsze pytania

Jakie kary grożą firmie za naruszenie ochrony danych?
RODO przewiduje administracyjne kary pieniężne nakładane przez organ nadzorczy. Za poważniejsze naruszenia maksymalna kara wynosi do 20 mln euro lub do 4% rocznego światowego obrotu przedsiębiorstwa (wartość wyższa), a za część obowiązków technicznych i organizacyjnych do 10 mln euro lub 2% obrotu (art. 83 RODO). Niezależnie od kary administracyjnej osoby poszkodowane mogą dochodzić odszkodowania cywilnego.
Czy mogę żądać odszkodowania za sam stres po wycieku danych?
Art. 82 RODO pozwala dochodzić odszkodowania także za szkodę niemajątkową (np. utrata kontroli nad danymi, obawa przed nadużyciem). Trybunał Sprawiedliwości UE wskazał jednak, że samo naruszenie nie wystarcza — trzeba wykazać realnie poniesioną szkodę i jej związek z naruszeniem. Wysokość zasądzanych kwot zależy od okoliczności konkretnej sprawy.
Ile czasu administrator ma na zgłoszenie naruszenia?
Administrator zgłasza naruszenie Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin od jego stwierdzenia. Jeśli zgłoszenie nastąpi później, należy podać przyczyny opóźnienia (art. 33 RODO).
Gdzie złożyć skargę na nieprawidłowe przetwarzanie danych?
Skargę składa się do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Niezależnie od tego można skorzystać z drogi sądowej i dochodzić odszkodowania w postępowaniu cywilnym.

Podstawa prawna i źródła

Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.

Masz podobną sprawę?

Opisz ją — dobierzemy zweryfikowanego prawnika.

Zgłoś sprawę