Gdzie zgłosić złamanie przepisów o ochronie osobowych? Co grozi za naruszenie RODO?

Piotr Juszczyk

Postępowanie w sprawie naruszenia przepisów o ochronie osobowych prowadzone jest przez Prezesa Urzędu Ochrony Danych Osobowych. Sprawdźmy jak wygląda postępowanie w sprawie naruszenia przepisów na gruncie nowej ustawy o ochronie danych osobowych.


W dniu 24 maja 2018 r. opublikowana została ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. W rozdziale 7 niniejszej ustawy uregulowano przepisy dotyczącego tego, jak będzie wyglądać postępowanie w sprawie naruszenie przepisów o ochronie danych osobowych.

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych – prawa i obowiązki

  • Postępowanie w sprawie naruszenie przepisów o ochronie danych osobowych prowadzone jest przez prezesa Urzędu Ochrony Danych Osobowych.
  • Zgodnie z przepisami postępowanie przed Prezesem UODO jest jednoinstancyjne.
  • Strona ma prawa zastrzec, które dokumenty stanowią tajemnicę przedsiębiorstwa. Jednak Prezes UODO w drodze decyzji może uchylić zastrzeżenie.
  • Obowiązkiem Urzędu jest zawiadomienie strony, jeśli postępowanie nie zostanie rozstrzygnięte w terminie.
  • Jeżeli w toku postępowania zajdzie konieczność uzupełnienia dowodów, Prezes Urzędu może przeprowadzić postępowanie kontrolne.
  • Jeśli strona zostanie skutecznie wezwana do osobistego stawiennictwa, nie stawia się pomimo tego, Urząd może wymierzyć karę grzywny od 500 zł do 5000 zł.
  • W przypadku dokumentów w języku obcym, na żądanie Prezesa Urzędu muszą być przetłumaczone przez stronę. Jednak gdyby strona odmówiła tego, to  Urząd może nałożyć karę grzywną w wysokości 500 zł do 5000 zł.
  • Jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes Urzędu, w celu zapobieżenia tym skutkom, może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych, wskazując dopuszczalny zakres tego przetwarzania. Takie ograniczenie nie może być dłuższe niż do dnia wydania decyzji, a na samo postanowienie stronie służy zażalenie.

Zakończenie postępowania w sprawie naruszenie przepisów

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych kończy się wydaniem decyzji administracyjnej. W przypadku gdy Prezes Urzędu zdecyduje się na nałożenie kary pieniężnej w wydanej decyzji, to musi wskazać w niej jakimi przesłankami kierował się przy jej nakładaniu. Należy tutaj wziąć pod uwagę przepisy art. 83 ust. 2 RODO. Przepisy RODO wskazuję, że decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę  na:

  • charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
  • umyślny lub nieumyślny charakter naruszenia;
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich;
  • wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  • kategorie danych osobowych, których dotyczyło naruszenie;
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
  • jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w przepisach- przestrzeganie tych środków;
  • stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji;
  • wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.