Fajgielski Paweł, Nakładanie administracyjnych kar pieniężnych
Nakładanie administracyjnych kar pieniężnych
Nakładanie administracyjnych kar pieniężnych
Nakładanie administracyjnych kar pieniężnych stanowi nowe uprawnienie przyznane organowi nadzorczemu na mocy przepisów unijnego rozporządzenia o ochronie danych. W przepisie art. 83 rozporządzenia nr 2016/679 zostały określone zasady odnoszące się do nakładania kar, przesłanki jakie powinien wziąć pod uwagę organ nadzorczy, rozstrzygając o nałożeniu kary, górne granice wysokości administracyjnych kar pieniężnych oraz delegacja dla prawodawcy krajowego do rozstrzygnięcia, czy administracyjne kary pieniężne mogą być nakładane na organy publiczne. Polski prawodawca skorzystał z możliwości odmiennego ukształtowania przepisów w tym zakresie, obniżając górne granice wysokości administracyjnych kar pieniężnych, jakie organ nadzorczy może nakładać na podmioty publiczne. Prezes Urzędu Ochrony Danych Osobowych nakłada administracyjną kare pieniężną w formie decyzji administracyjnej. Od takiej decyzji strona może się odwołać do sądu administracyjnego.
Procedury prawne pokazane w formie interaktywnych schematów, dzięki którym sprawdzisz, jak krok po kroku przebiega postępowanie w danej sprawie.
Dowiedz się więcej o LEX Navigator.
Zamów bezpłatną prezentację zdalną , podczas której przedstawimy Ci to narzędzie.
Krok: stwierdzenie naruszenia przepisów o ochronie danych osobowych
Jeżeli organ nadzorczy stwierdzi naruszenie przepisów o ochronie danych osobowych (zarówno przepisów unijnego rozporządzenia, jak i przepisów krajowych), to powinien wszcząć postępowanie zmierzające do nałożenia administracyjnej kary pieniężnej.
Krok: ocena okoliczności naruszenia przepisów o ochronie danych
Prawodawca unijny w art. 83 ust. 2 rozporządzenia nr 2016/679 określił, jakie okoliczności powinien rozważyć organ nadzorczy, rozstrzygając o nałożeniu administracyjnej kary pieniężnej i o jej wysokości.
Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:
a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
b) umyślny lub nieumyślny charakter naruszenia;
c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i art. 32 rozporządzenia;
e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
g) kategorie danych osobowych, których dotyczyło naruszenie;
h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 rozporządzenia - przestrzeganie tych środków;
j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia; oraz
k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.