Busse Grzybowska Odwołanie od decyzji ZUSPatrycja Busse – Grzybowska -
Co grozi za naruszenie RODO i gdzie to zgłosić?

Naruszenie RODO nie kończy się tylko na dyskomforcie organizacyjnym albo konieczności poprawienia polityki prywatności. W zależności od skali problemu mogą wchodzić w grę środki nakazowe Prezesa UODO, wysokie administracyjne kary pieniężne, odpowiedzialność cywilna za szkodę, a w Polsce także odpowiedzialność karna za niektóre czyny związane z bezprawnym przetwarzaniem danych albo utrudnianiem kontroli. Równie ważne jest to, że inne obowiązki ma organizacja, u której doszło do naruszenia, a inne osoba, której dane zostały naruszone. Administrator musi ocenić ryzyko, czasem zgłosić incydent do Prezesa UODO i czasem zawiadomić osoby, których dane dotyczą. Z kolei osoba fizyczna może złożyć skargę do Prezesa UODO i niezależnie od tego dochodzić odszkodowania przed sądem cywilnym.

Z tego artykułu dowiesz się:

  • co w praktyce uważa się za naruszenie RODO
  • jakie sankcje mogą grozić firmie, urzędowi albo innej organizacji
  • kiedy wchodzi kara finansowa, a kiedy także odpowiedzialność karna
  • kto ma zgłaszać naruszenie do Prezesa UODO
  • kiedy trzeba zawiadomić osoby, których dane wyciekły lub zostały ujawnione
  • gdzie składa skargę zwykła osoba
  • kiedy zamiast skargi albo obok skargi warto iść do sądu

    Potrzebujesz pomocy? Skorzystaj z porady!

    Co to właściwie jest naruszenie RODO?

    Najprościej mówiąc, naruszenie RODO to nie tylko wyciek danych do internetu. RODO mówi o naruszeniu ochrony danych osobowych jako o naruszeniu bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia albo nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. To oznacza, że naruszeniem może być zarówno atak hakerski, jak i wysłanie dokumentów do złej osoby, zgubienie nośnika, pozostawienie danych w miejscu publicznym albo brak zgłoszenia incydentu, który powinien zostać zgłoszony.

    W praktyce typowe przykłady to:

    • wysłanie maila z danymi do niewłaściwego odbiorcy
    • publikacja danych bez podstawy prawnej
    • utrata laptopa lub telefonu z danymi
    • wyciek bazy klientów
    • udostępnienie zbyt szerokiego zakresu danych pracownikom lub kontrahentom
    • brak zawiadomienia o incydencie, mimo że ryzyko dla osób było realne.

    Co grozi za naruszenie RODO – najważniejsze rodzaje konsekwencji

    Za naruszenie RODO mogą grozić co najmniej cztery grupy konsekwencji:

    • środki naprawcze nakładane przez Prezesa UODO
    • administracyjne kary pieniężne
    • odpowiedzialność cywilna za szkodę
    • odpowiedzialność karna przewidziana w polskiej ustawie o ochronie danych osobowych.

    To ważne, bo wiele osób myśli o RODO tylko przez pryzmat kar pieniężnych. Tymczasem organizacja może dostać nie tylko karę, ale też nakaz dostosowania przetwarzania do przepisów, nakaz zawiadomienia osób, których dane dotyczą, albo obowiązek spełnienia żądania osoby, która złożyła skargę. A równolegle osoba poszkodowana może dochodzić odszkodowania przed sądem.

    Nie tylko pieniądze – co może nakazać Prezes UODO?

    RODO daje organowi nadzorczemu szerokie uprawnienia naprawcze. Organ może wydawać ostrzeżenia, udzielać upomnień, nakazać spełnienie żądania osoby, której dane dotyczą, nakazać dostosowanie przetwarzania do przepisów, a także nakazać administratorowi zawiadomienie osoby o naruszeniu ochrony danych. To oznacza, że konsekwencją naruszenia może być nie tylko kara finansowa, ale też bardzo konkretna ingerencja w sposób działania organizacji.

    Z perspektywy praktycznej to oznacza, że organizacja może zostać zobowiązana na przykład do:

    • poprawienia procesu przetwarzania danych
    • wykonania prawa dostępu, sprostowania lub usunięcia danych
    • poinformowania osób o incydencie
    • zmiany procedur bezpieczeństwa
    • ograniczenia niektórych operacji na danych.

    To często bywa dla organizacji równie dotkliwe jak sama kara, bo wymusza przebudowę procesów i zwiększa koszty operacyjne.

    Jak wysokie mogą być kary finansowe?

    RODO przewiduje dwa główne progi administracyjnych kar pieniężnych. Za część naruszeń kara może wynieść do 10 000 000 euro albo do 2 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, zależnie od tego, która kwota jest wyższa. Za poważniejsze naruszenia, między innymi podstawowych zasad przetwarzania, praw osób, których dane dotyczą, czy nieprzestrzeganie nakazów organu, kara może wynieść do 20 000 000 euro albo do 4 proc. takiego obrotu, również zależnie od tego, która kwota jest wyższa.

    RODO jednocześnie wskazuje, że kara nie ma być automatyczna i mechaniczna. Organ musi ocenić między innymi charakter, wagę i czas trwania naruszenia, umyślność albo nieumyślność, działania podjęte w celu ograniczenia szkody, stopień odpowiedzialności, wcześniejsze naruszenia, poziom współpracy z organem oraz kategorie danych, których dotyczył incydent.

    Dobrze to zapamiętać tak:

    • niższy próg dotyczy części obowiązków administratora i podmiotu przetwarzającego
    • wyższy próg dotyczy naruszeń bardziej fundamentalnych
    • rzeczywista kara zależy od okoliczności sprawy, a nie tylko od samego przepisu.

    Czy w Polsce obowiązują takie same limity dla wszystkich?

    Nie. Polska ustawa o ochronie danych osobowych wprowadza szczególne limity dla części podmiotów publicznych. Prezes UODO może nałożyć kary do 100 000 zł na jednostki sektora finansów publicznych wskazane w art. 102 ust. 1 ustawy, instytuty badawcze i Narodowy Bank Polski, a do 10 000 zł na jednostki sektora finansów publicznych wymienione w art. 102 ust. 2. Ustawa odsyła jednak co do zasad nakładania tych kar do art. 83 RODO.

    To właśnie dlatego w praktyce prywatna spółka może być zagrożona karami liczonymi według progów unijnych, a część podmiotów publicznych podlega krajowym limitom kwotowym. Dobrym przykładem z praktyki UODO są decyzje wobec ministrów i innych podmiotów publicznych, w których pojawiają się kary rzędu 100 000 zł, oraz kary znacznie wyższe wobec dużych przedsiębiorców prywatnych.

      Potrzebujesz pomocy? Skorzystaj z porady!

      Czy za naruszenie RODO można też odpowiadać cywilnie?

      Tak. Art. 82 RODO stanowi, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. UODO na swojej stronie też przypomina, że niezależnie od postępowania przed Prezesem UODO osoba może pozwać administratora lub podmiot przetwarzający przed sądem cywilnym i domagać się odszkodowania za szkodę majątkową lub niemajątkową.

      To oznacza, że nawet jeśli ktoś składa skargę do Prezesa UODO, to:

      • nie zamyka to drogi do sądu cywilnego
      • UODO nie zasądza odszkodowania zamiast sądu
      • roszczenie finansowe za krzywdę lub stratę trzeba dochodzić osobno przed sądem powszechnym.

      W praktyce dobrze odróżnić te dwa tory:

      • skarga do Prezesa UODO – służy kontroli zgodności z prawem i środkom naprawczym
      • pozew cywilny – służy uzyskaniu odszkodowania.

      Czy za naruszenie RODO grozi też odpowiedzialność karna?

      Tak, w Polsce przewiduje ją ustawa o ochronie danych osobowych. Zgodnie z art. 107 tej ustawy kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo nie jest do niego uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli czyn dotyczy szczególnych kategorii danych, między innymi danych o zdrowiu, seksualności czy danych biometrycznych używanych do jednoznacznej identyfikacji, zagrożenie rośnie do 3 lat pozbawienia wolności.

      Dodatkowo art. 108 przewiduje grzywnę, ograniczenie wolności albo pozbawienie wolności do lat 2 za udaremnianie lub utrudnianie kontroli przestrzegania przepisów o ochronie danych osobowych, a także za niedostarczenie danych potrzebnych do ustalenia podstawy wymiaru administracyjnej kary pieniężnej albo dostarczenie danych uniemożliwiających jej ustalenie.

      To oznacza, że ryzyko nie kończy się na karze administracyjnej. W skrajnych przypadkach w grę może wejść także odpowiedzialność karna związana z samym bezprawnym przetwarzaniem danych albo utrudnianiem działań organu.

      Kto ma zgłosić naruszenie do Prezesa UODO?

      To obowiązek administratora danych, a nie zwykłej osoby, której dane wyciekły. RODO stanowi, że w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, zgłasza je właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw lub wolności osób fizycznych. Jeżeli zgłoszenie następuje po 72 godzinach, trzeba wyjaśnić przyczyny opóźnienia. UODO powtarza tę zasadę i wskazuje, że formularz zgłoszenia jest przeznaczony właśnie dla administratorów danych osobowych.

      W praktyce oznacza to:

      • jeśli jesteś firmą, urzędem albo innym administratorem i wykryłeś incydent – to Ty oceniasz ryzyko i ewentualnie zgłaszasz naruszenie
      • jeśli jesteś podmiotem przetwarzającym – zgłaszasz incydent bez zbędnej zwłoki administratorowi, a nie od razu organowi
      • jeśli jesteś zwykłą osobą, której dane wyciekły – nie składasz zgłoszenia naruszenia jako administrator, tylko możesz złożyć skargę do Prezesa UODO.

      Gdzie administrator zgłasza naruszenie?

      UODO podaje, że zgłoszenia naruszenia ochrony danych można dokonać elektronicznie przez dedykowany formularz na platformie biznes.gov.pl. Formularz na stronie UODO jest przeznaczony wyłącznie dla administratorów zgłaszających naruszenia, o których mowa w art. 4 pkt 12 RODO. UODO podkreśla też, że jeśli administrator nie ma od razu wszystkich informacji, powinien w terminie przekazać te, które już posiada, a resztę uzupełniać.

      Najprostsza praktyczna ścieżka dla administratora wygląda tak:

      1. stwierdzenie incydentu
      2. ocena ryzyka dla praw i wolności osób
      3. decyzja, czy incydent podlega zgłoszeniu
      4. zgłoszenie do Prezesa UODO przez właściwy formularz
      5. ewentualne uzupełnienie informacji i dokumentacja całego zdarzenia.

      Kiedy trzeba zawiadomić osoby, których dane dotyczą?

      RODO przewiduje dodatkowy obowiązek wobec osób, których dane dotyczą. Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia taką osobę o naruszeniu. Zawiadomienie powinno być napisane jasnym i prostym językiem i opisywać charakter naruszenia, możliwe konsekwencje oraz środki zastosowane lub planowane przez administratora.

      RODO przewiduje też wyjątki. Zawiadomienie osoby nie jest wymagane, jeśli:

      • wdrożono odpowiednie środki ochrony, na przykład szyfrowanie, które czynią dane nieczytelnymi
      • administrator podjął później działania eliminujące prawdopodobieństwo wysokiego ryzyka
      • zawiadomienie wymagałoby niewspółmiernie dużego wysiłku i w takim przypadku stosuje się publiczny komunikat lub podobny środek.

      To ważne, bo wiele organizacji myli dwa obowiązki:

      • zgłoszenie do organu nadzorczego
      • zawiadomienie osób, których dane dotyczą

      To nie są te same działania i nie zawsze występują razem.

      Gdzie zgłosić naruszenie jako osoba, której dane dotyczą?

      Jeżeli nie jesteś administratorem, ale uważasz, że Twoje dane są przetwarzane niezgodnie z prawem, możesz złożyć skargę do Prezesa UODO. UODO wyraźnie wskazuje, że skargę może złożyć osoba fizyczna, jeżeli nieprawidłowe przetwarzanie dotyczy jej danych osobowych. Urząd udostępnia formularz skargi, a skargę można złożyć w formie pisemnej albo za pomocą e-doręczeń.

      UODO jednocześnie rekomenduje, aby przed złożeniem skargi najpierw zwrócić się do administratora o usunięcie naruszenia. Administrator powinien odpowiedzieć co do zasady w ciągu miesiąca. Jeśli zignoruje żądanie albo odpowiedź będzie niesatysfakcjonująca, można złożyć skargę do Urzędu.

      Praktyczna ścieżka dla osoby fizycznej jest więc zwykle taka:

      1. najpierw kontakt z administratorem i skorzystanie z praw z RODO
      2. jeśli to nie działa – skarga do Prezesa UODO
      3. jeżeli doszło do szkody – rozważenie pozwu cywilnego o odszkodowanie.

      Czy skarga do Prezesa UODO daje prawo do odszkodowania?

      Nie. UODO wprost zaznacza, że kwestia odszkodowania może być rozstrzygnięta wyłącznie przed sądem powszechnym. Prezes UODO może nakazać przywrócenie stanu zgodnego z prawem i zastosować uprawnienia naprawcze, ale nie zastępuje sądu cywilnego w zasądzaniu pieniędzy za szkodę majątkową lub niemajątkową.

      To bardzo ważne z praktycznego punktu widzenia:

      • skarga do UODO jest dobra, gdy chcesz zatrzymania naruszenia, usunięcia uchybień albo decyzji organu
      • pozew cywilny jest potrzebny, gdy chcesz pieniędzy za szkodę lub krzywdę.

        Potrzebujesz pomocy? Skorzystaj z porady!

        Najczęstsze błędy po naruszeniu RODO

        Najczęściej powtarzają się te same błędy:

        • zbyt późna reakcja po wykryciu incydentu
        • brak udokumentowania naruszenia i oceny ryzyka
        • założenie, że każde naruszenie trzeba zgłosić albo odwrotnie, że nie trzeba zgłaszać prawie niczego
        • pomylenie zgłoszenia do UODO ze skargą osoby fizycznej
        • brak zawiadomienia osób, gdy ryzyko dla nich było wysokie
        • przekonanie, że skarga do Prezesa UODO automatycznie da odszkodowanie.

        To właśnie dlatego po naruszeniu danych kluczowe są pierwsze godziny i poprawne rozdzielenie ról:

        • administrator ocenia i ewentualnie zgłasza
        • osoba fizyczna korzysta z praw i ewentualnie składa skargę
        • sąd cywilny rozstrzyga o odszkodowaniu.

        Podsumowanie

        Za naruszenie RODO mogą grozić bardzo różne konsekwencje i nie sprowadzają się one tylko do słynnych kar liczonych w milionach euro. Organ nadzorczy może wydać ostrzeżenie, upomnienie, nakazać dostosowanie przetwarzania do prawa, nakazać zawiadomienie osób, których dane dotyczą, a w wielu sprawach także nałożyć administracyjną karę pieniężną. Jeżeli jesteś osobą, której dane dotyczą, możesz najpierw zwrócić się do administratora z informacją o potencjalnym naruszeniu przepisów, a potem złożyć skargę do Prezesa UODO i ewentualnie pozew cywilny.

        FAQ

        Jakie kary grożą za naruszenie RODO?

        Najczęściej mówi się o karach pieniężnych, ale to nie wszystko. Prezes UODO może też wydać ostrzeżenie, upomnienie, nakazać dostosowanie przetwarzania do przepisów albo nakazać zawiadomienie osób o naruszeniu.

        Ile wynosi maksymalna kara za naruszenie RODO?

        W zależności od rodzaju naruszenia może to być do 10 mln euro albo 2 proc. światowego rocznego obrotu przedsiębiorstwa albo do 20 mln euro albo 4 proc. obrotu, zależnie od tego, która kwota jest wyższa.

        Czy podmiot publiczny w Polsce też może dostać karę?

        Tak, ale dla części podmiotów publicznych polska ustawa wprowadza limity 100 000 zł albo 10 000 zł, zależnie od rodzaju jednostki.

        Kto zgłasza naruszenie do Prezesa UODO?

        Administrator danych. Podmiot przetwarzający zgłasza naruszenie administratorowi bez zbędnej zwłoki, a nie bezpośrednio organowi jako zasadę ogólną.

        W jakim terminie trzeba zgłosić naruszenie do UODO?

        Co do zasady bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie powodowało ryzyko dla praw lub wolności osób fizycznych.

        Gdzie osoba fizyczna składa skargę?

        Do Prezesa UODO. UODO udostępnia formularz skargi, a skargę można złożyć pisemnie albo za pomocą e-doręczeń.

        Czy skarga do UODO daje odszkodowanie?

        Nie. Odszkodowania za szkodę majątkową lub niemajątkową dochodzi się przed sądem cywilnym.

          Skorzystaj z porady

          Bardzo polecam Panią Katarzynę. Niesamowity profesjonalizm, rzetelność i zaangażowanie. Zaoszczędziła mi mnóstwo stresu, otrzymywałam wyczerpujące odpowiedzi na moje liczne pytania. Jej ogromna wiedza i doświadczenie spowodowały ze ZUS uchylił swoja decyzje bez kierowania sprawy do sądu.

          renata kilian Avatar renata kilian

          P. Katarzyno - nic dodać , nic ująć. To co ZUS wyrabia z ludźmi to jak sama Pani wie, i ja wiem, nie mieści się w głowie tym ludziom. Musimy o nich walczyć i walczymy, bo gdzie nie ma walki tam nie ma zwycięstwa. Dziękuję za pomoc klientom. Jesteśmy w jednej grupie walk o godność człowieka. ZUS w decyzjach mocny, w sądzie zazwyczaj nikogo nie ma z tej instytucji. Sami z siebie robią niekiedy farsę, nie wspominając o szarpaniu wizerunku urzędu, ale nic o nas bez nas. Polecam Panią Katarzynę od wschodu do zachodu i od północy do południa Polski. Pracujemy na efekty a te przychodzą z czasem. Jeśli potrzebujecie Państwo zbroi na walkę z ZUS - szukajcie w Łodzi :)

          Paweł S Avatar Paweł S

          Napisz komentarz

          Twój adres email nie zostanie opublikowany. Zaznaczone pola są obowiązkowe *