Top 10 kar od UODO!

cdc78ec9 4d90 4ebb a218 cba8d994855f
Historia RODO

25 maja 2018 roku w życie weszło Rozporządzenie Ogólne o Ochronie Danych Osobowych (często nazywane RODO), które jest stosowane na terenie całej Unii Europejskiej. Rozporządzenie zawiera wymogi, które muszą spełnić firmy, organizacje oraz inne podmioty świadczące swoje usługi na terenie Unii Europejskiej.

Rozporządzenie miało na celu usystematyzowanie zasad przetwarzania i wykorzystywania danych oraz zapewnienie bezpieczeństwa danych osobowych obywatelom państw członkowskich.

Kary RODO

Za sprawą rozporządzenia RODO firmy i inne podmioty otrzymały wytyczne, jak działać zgodnie z prawem. Oczywiście nie wszystkie firmy podporządkowały się nowemu prawu, a jedynym skutecznym (nie zawsze jednak) sposobem do zaniechania pewnych działań okazały się kary.

Przypominamy, że organ nadzorczy może nałożyć karę w wysokości: do 10 lub 20 mln euro, do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku. W naszym kraju rolę tę pełni UODO (Urząd Ochrony Danych Osobowych), który podczas ponad 5-ciu lat swojej działalności przyznał już kilkadziesiąt kar pieniężnych firmom łamiącym wymogi RODO.

Kary RODO w 2018 - to dopiero początek

Rok 2018 był pierwszym rokiem obowiązywania rozporządzenia RODO, w którym UODO nie przyznało żadnej kary. Organ nadzorczy w 2018 roku najczęściej odmawiał wszczęcia postępowania lub je umarzał. UODO pierwszym roku wydało też kilka nakazów dla firm, obyło się jednak bez upomnień oraz kar pieniężnych.

Kary RODO w 2019 - pierwsze kary

W 2019 organ nadzorczy miał zdecydowanie więcej pracy niż w premierowym roku obowiązywania rozporządzenia. Ponieważ aż 5 podmiotów otrzymało upomnienia, a UODO przyznało pierwsze kary pieniężne.

Łączna wysokość kar w 2019 wyniosła 4 071 190 złotych, z czego dwie najwyższe kary wyniosły blisko 4 miliony złotych. Mowa o karze dla Morele.net w wysokości 2 830 410 złotych na mocy decyzji ZSPR.421.2.2019 oraz BISNODE POLSKA, które otrzymało grzywnę 943 470 złotych w oparciu o decyzje ZSPR.421.3.2018. Warto dodać, że kara dla BISNODE była również pierwszą kartą przyznaną przez polski organ nadzorczy. 2019 roku UODO nałożyło w sumie 5 kar pieniężnych, z czego 1 dotyczyła sektora publicznego.

Pozostałe kary przyznane w 2019 roku to:

 
Kary RODO w 2020 - tendencja zniżkowa

Rok 2020 przyniósł niższe kary niż 2019. W porównaniu do roku poprzedniego organ nadzorczy nałożył grzywny o łącznej kwocie 3 446 800,20 złotych. Ukaranych było 11 podmiotów, z czego aż czterech reprezentantów sektora publicznego. Wśród ukaranych podmiotów znaleźli się:

 

Podmioty z sektora publicznego otrzymały kary na łączną kwotę 270 000 złotych, z czego Główny Geodeta Kraju został ukarany aż dwukrotnie, a suma kar dla niego wyniosła 200 000 złotych.

Pozostałe 7 kar otrzymał sektor prywatny, a łączna kwota kar wynosiła 3 176 800,20 złotych. W przypadku sektora prywatnego najwyższą karę w wysokości 1 968 524 złotych otrzymała spółka Virgin Mobile Polska. Milionową grzywną otrzymała również firma ID Finance Poland, której kwota kary wyniosła dokładnie 1 069 850 złotych. Poniżej pozostałe kary dla sektora publicznego przyznane w 2020 roku:

Pomimo wzrostu liczby ukaranych podmiotów, suma nałożonych kar była niższa niż w roku 2019.

Kary RODO w 2021 - więcej, a jednak mniej

2 288 007,50 zł to łączna wysokość wszystkich kar przyznanych przez UODO w 2020 roku. Kary otrzymało tym razem aż 18 podmiotów, ale tendencja spadkowa, co do łącznej wysokości kar została zachowana.

Ponownie więcej kar otrzymali przedstawiciele sektora prywatnego, było ich, bowiem 14, a suma kar dla przedsiębiorców wyniosła 2 001 022,50 złotych. Cyfrowy Polsat otrzymał ponad milionową karę i była to najwyższa w 2021 roku. Dla porównania sektor publiczny otrzymał grzywnę czterokrotnie, a suma kar wyniosła 180 000 złotych. Kary dla public były, zatem 11 razy niższe! Najwyższą karę w tym sektorze otrzymała Krajowa Szkoła Sądownictwa i Prokuratury z siedzibą w Krakowie, która została ukarana grzywną w wysokości 100 000 złotych.

Kary w 2021 - sektor prywatny:

 Kary w 2021 - sektor publiczny:

Kary RODO w 2022 - przełomowy rok

Rok 2022 okazał się przełomowy pod względem kar nakładanych przez organ nadzorczych. To właśnie w 2022 roku została nałożona najwyższa z dotychczasowych kar oraz przełamana tendencja spadkowa, w kwestii łącznej wysokości kar. Co więcej łączna kwota nałożonych kar przekroczyła tą z 2019 roku, będącego dotychczas niechlubnym liderem naszego zestawienia.

Podmiot, który otrzymał najwyższą karę w okresie obowiązywania rozporządzenia RODO to Fortum Marketing and Sales Polska S.A., grzywna opiewała na 4 911 732 złotych. Warto zwrócić uwagę, że suma kar nałożona łącznie przez RODO w latach poprzednich była niższa od tej jednostkowej kary. Informacje na temat kary zawarte są w decyzji DKN.5130.2215.2020 dostępnej na stronie UODO. W tej samej sprawie został ukarany jeszcze jeden podmiot PIKA Sp. z o.o., która otrzymała karę 250 135 złotych. Była to zresztą druga najwyższa kara w 2022 roku, wyprzedzając w tym niechlubnym rankingu P4 Sp. z o.o. o zaledwie 135 złotych. Firmy, które znalazły się na “podium” otrzymały łącznie blisko pięć i pół miliona złotych kary.

Łącznie 13 podmiotów z sektora prywatnego otrzymało ponad 6,1 milionów złotych kary. W 2022 również podmioty z sektora publicznego ukarano grzywną - 5 instytucji otrzymało 90 500 złotych kary. Wśród ukaranych podmiotów ponownie znalazł się Główny Geodeta Kraju, który tym razem miał zapłacić 60 tysięcy złotych kary. Była to już 3 kara dla tego podmiotu!

Kary RODO w 2023 - dużo więcej kar

W 2023 roku UODO przyznało najwięcej kar od czasu wejścia w życie rozporządzenia. Było ich aż 25, z czego 18 kar otrzymał sektor prywatny, a 7 publiczny. Co ciekawe, pomimo dużej liczby kar, ich łączna suma nie przekroczyła miliona złotych. Licznik kar zatrzymał się, bowiem na kwocie 720 323,28 złotych. W tym kary dla sektora publicznego o łącznej kwocie 223 580 złotych - była to najwyższa suma kar przyznanych temu sektorowi.

Rok 2023 pomimo dużej liczby kar, nie był rekordowy pod względem kwot grzywien przyznanych przez UODO. Najwyższą karę otrzymało Link4 w wysokości 103 752 złotych, najniższa kara wyniosła zaś zaledwie 472 złote. Poniżej prezentujemy pełne zestawienie kar z podział na sektory publiczny i prywatny.

Sektor prywatny:

Sektor publiczny:

Kary RODO w 2024 - z mocnym otwarciem!

Pomimo, że za nami dopiero I kwartał 2024 roku, Prezes UODO przyznał już jedną z najwyższych kar w historii krajowego organu nadzorczego. Mowa o podtrzymaniu decyzji o przyznaniu grzywny dla Morele.net. Warto zwrócić uwagę, że kara po ponownym rozpatrzeniu sprawy przez UODO została podniesiona z 2 830 410 złotych do 3 819 960 złotych - wzrosła, zatem o blisko milion złotych! Oprócz Morele.net w styczniu została nałożona jeszcze jedna kara na działalność gospodarczą w wysokości 9 903,60 złotych i były to jak dotąd jedyne kary w obecnym roku (podajemy stan na 27 marca 2024).

Kilka słów podsumowania kar przyznanych przez UODO

Prezes UODO w czasie obowiązywania rozporządzenia RODO nałożył 77 kar pieniężnych, Wydał blisko 500 decyzji w tym nakładające grzywną, upomnienia oraz nakazów wykonania. W tym czasie kwota łączna kar przekroczyła 20,5 miliona złotych. Najniższa kara wynosiła 472 złote, a najwyższa 4 071 190 złotych.

10 najwyższych kar w latach 2018 - I kw. 2024

Najczęstszymi przyczynami nałożenia kary były następujące artykułu rozporządzenia RODO:

  • Art. 5 ust. 1 lit. a, art. 12, art. 13 lub art. 14 - brak realizacji zasady przejrzystości,

  • Art. 5 ust. 1 lit. a, art. 6 ust. 1 lub art. 9 ust. 2 - brak podstawy prawnej przetwarzania,

  • Art. 5 ust. 1 lit. f, art. 32, w tym roli IOD - art. 39​ - nieadekwatne zabezpieczenie przetwarzania danych osobowych, brak przeprowadzenia analizy ryzyka,

  • Art. 5 ust. 2 ​- brak realizacji zasady rozliczalności,

  • Art. 33 i art. 34​ - brak zgłoszenia naruszenia,

  • Art. 31, art. 58 ust. 1 lit. e i lit. f ​- brak współpracy.

Warto zwrócić uwagę, że wciąż rośnie liczba naruszeń ochrony danych osobowych zgłoszonych do UODO. Oznacza to większą świadomość osób prywatnych i z pewnością będzie skutkować zwiększoną liczbą kontroli, upomnień, a w konsekwencji liczby i wysokości kar.

Liczba naruszeń ochrony danych osobowych zgłoszonych do UODO:

*W naszym zestawieniu oparliśmy się o kary przyznane przez UODO w latach 2018 - I kw. 2024 roku, dostępnych na stronie organu nadzorczego. Cześć decyzji Prezesa Urzędu opisanych w naszym zestawieniu została zaskarżona przed ukarane podmioty i trafiła do WSA.

Zapisy na drugi odcinek Otwartych Warsztatów dla IOD Drugi odcinek Otwartych Warsztatów dla IOD już 4 kwietnia 2024