Jakie kary pieniężne nałożono na polskie firmy w ciągu 5 lat od wprowadzenia RODO? Lista kar RODO w Polsce
W Polsce, od momentu wejścia w życie przepisów RODO, nałożono na polskie firmy 52 kary na łączną kwotę ponad 3,4 milionów euro. Jak dokładnie wygląda rejestr kar RODO w naszym kraju, po pięciu latach od wprowadzenia przepisów? Zobaczcie w naszym zestawieniu.
25 maja mija 5 lata od wprowadzenia ogólnego rozporządzenia UE o ochronie danych (RODO). Lista kar pieniężnych w związku z RODO, w Polsce i w całej Unii Europejskiej, jest naprawdę spora. Od tego czasu opublikowano łącznie we wszystkich krajach ponad 1,8 tys. decyzji wydanych przez organy administracyjne właściwe danemu państwu. Postanowiliśmy przyjrzeć się jak rejestr kar RODO wygląda w Polsce.
Jak przebiega procedura nakładania kar RODO?
Kary za nieprzestrzeganie, złamanie lub naruszenie przepisów RODO nakładane są w Polsce przez UODO (Urząd Ochrony Danych Osobowych) w drodze decyzji administracyjnej. Każda ze spraw rozpatrywana jest indywidualnie, z uwzględnieniem okoliczności popełnionego czynu.
Od każdej decyzji UODO można się odwołać do sądu administracyjnego. Należy tylko pamiętać, że od momentu uprawomocnienia się orzeczenia, obowiązuje 14-dniowy termin spłaty. Organizacja może również złożyć wniosek o odroczenie płatności bądź rozłożenie jej na raty.
Przeczytaj również: Dokumentacja wymagana przez RODO. Czy masz wszystkie obowiązkowe dokumenty?
Jakie są kary za nieprzestrzeganie RODO i od czego są zależne?
Przepisy RODO przewidują dwie kategorie kar finansowych, które zależne są od rodzaju przewinienia. UODO może nałożyć karę w wysokości:
- do 10 lub 20 mln euro,
- do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku.
Prezes UODO może również zdecydować, że kara nie będzie miała charakteru finansowego.
Wysokość kary zależna jest od takich czynników jak między innymi:
- charakter i waga czynu,
- czas trwania naruszenia,
- liczba poszkodowanych osób i rozmiar poniesionej przez nich szkody,
- kategorie danych osobowych, których dotyczyło naruszenie przepisów RODO,
- rodzaj działań podjętych w celu zminimalizowania szkody,
- stopień odpowiedzialności administratora danych lub podmiotu przetwarzającego dane (z uwzględnieniem wdrożonych przez nich środków technicznych i organizacyjnych),
- stopień współpracy z organem nadzorczym,
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, a w szczególności czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosił naruszenie.
Pełna treść rozporządzenia RODO znajduje się pod tym odnośnikiem.
Kary RODO w Polsce – zestawienie
Poniższa tabela to zestawienie wszystkich kar i grzywien nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ogólnego rozporządzenia o ochronie danych (RODO).
Lista prezentuje stan na 18 maja 2023 roku.
Ukarana firma z Polski Wysokość kary Podstawa prawna Data decyzji Link do decyzji
Rzecznik Dyscyplinarny Izby Adwokackiej w X. 5 314 EURO Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 25 (1) RODO, Art. 32 (1), 2 RODO 2023-04-20 https://www.uodo.gov.pl/decyzje/DKN.5131.31.2022 Prokuratura Rejonowa w G. z siedzibą w G. 4 456 EURO Art. 33 (1) RODO, Art. 34 (1) RODO 2023-03-14 https://www.uodo.gov.pl/decyzje/DKN.5131.45.2022 Spółdzielnia Mieszkaniowa 11 100 EURO Art. 33 (1) RODO, Art. 34 (1) RODO 2023-03-01 https://www.uodo.gov.pl/decyzje/DKN.5131.49.2021 Nieznana 7 200 EURO Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 24 (1) RODO, Art. 25 (1), (2) RODO, Art. 32 (1), (2) RODO 2023-02-08 https://www.uodo.gov.pl/decyzje/DKN.5131.50.2021 Wspólnota Mieszkaniowa 321 EURO Art. 5 (1) a) RODO, Art. 28 (1), (3), (9) RODO, Art. 33 (1) RODO Art. 34 (1), (2) RODO 2023-02-07 https://www.uodo.gov.pl/decyzje/DKN.5131.31.2021 Sąd Rejonowy Szczecin-Centrum w Szczecinie 6 400 EURO Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 24 (1) RODO, Art. 25 (1), (2) RODO, Art. 32 (1), (2) RODO 2023-01-19 https://www.uodo.gov.pl/decyzje/DKN.5131.12.2020 PIONIER (firma prawnicza) 9 600 EURO Art. 5 (1) a) RODO, Art. 6 (1) RODO, Art. 9 RODO 2022-11-30 https://www.uodo.gov.pl/decyzje/DKN.5112.5.2021 Mayor 1 700 EURO Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 25 (1) RODO, Art. 32 (1), (2) RODO 2022-11-02 https://www.uodo.gov.pl/decyzje/DKN.5131.8.2022 Sułkowicki Ośrodek Kultury 530 EURO Art. 28 (1), (3), (9) RODO 2022-09-07 https://www.uodo.gov.pl/decyzje/DKN.5131.29.2022 Nieznana 1 450 EURO Art. 31 RODO, Art. 58 (1) a), e) RODO 2022-08-31 https://www.uodo.gov.pl/decyzje/DKE.561.5.2022 TIMSHEL Sp. z o.o. 6 800 EURO Art. 58 (1) e) RODO 2022-08-30 https://www.uodo.gov.pl/decyzje/DKE.561.25.2021 Warszawski Uniwersytet Medyczny 2 120 EURO Art. 33 RODO, Art. 34 RODO 2022-07-06 https://uodo.gov.pl/decyzje/DKN.5131.34.2021 Główny Geodeta Kraju 12 450 EURO Art. 33 (1) RODO, Art. 34 (1) RODO 2022-07-06 https://www.uodo.gov.pl/decyzje/DKN.5131.27.2022 Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. 3 500 EURO Art. 33 RODO 2022-06-06 https://www.uodo.gov.pl/decyzje/DKN.5110.12.2021 Stołeczny Ośrodek dla Osób Nietrzeźwych 2 100 EURO Art. 5 (1) a) RODO, Art. 6 RODO 2022-05-31 https://www.uodo.gov.pl/decyzje/DKN.5131.51.2021 Nieznana 490 EURO Art. 31 RODO, Art. 58 (1) e) RODO 2022-03-23 https://www.uodo.gov.pl/pl/138/2593 Fortum Marketing and Sales Polska S.A. 1 000 000 EURO Art. 5 (1) f) RODO, Art 24 (1) RODO, Art. 25 (1) RODO, Art. 28 (1) RODO, Art. 32 (1), (2) RODO 2022-01-19 https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020 PIKA Sp. z o.o. 53 000 EURO Art. 28 (3) c), f) RODO, Art. 32 (1), (2) RODO 2022-01-19 https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020 Santander Bank Polska S. A. 117 000 EURO Art. 34 (1) RODO 2022-01-19 https://www.uodo.gov.pl/decyzje/DKN.5131.33.2021 Politechnika Warszawska 10 000 EURO Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 24 (1) RODO, Art. 25 (1) RODO, Art. 32 (1), (2) RODO 2021-12-09 https://www.uodo.gov.pl/decyzje/DKN.5130.2559.2020%20 Pactum Poland Sp. z o.o. 4 000 EURO Art. 31 RODO, Art. 58 (1) e) RODO 2021-12-01 https://www.uodo.gov.pl/decyzje/DKE.561.16.2021 Bank Millennium S.A. 78 000 EURO Art. 33 (1) RODO, Art. 34 (1) RODO 2021-10-14 https://uodo.gov.pl/decyzje/DKN.5131.16.2021 Prezes Sądu Rejonowego w Zgierzu 2 200 EURO Art. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 32 (1) b), d), (2) RODO 2021-08-13 https://www.uodo.gov.pl/decyzje/DKN.5131.22.2021 Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra 3 000 EURO Art. 33 (1) RODO, Art. 34 (1) RODO 2021-06-30 https://uodo.gov.pl/decyzje/DKN.5131.11.2020 Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. 35 300 EURO Art. 33 (1) RODO, Art. 34 (1) RODO 2021-06-21 https://www.uodo.gov.pl/decyzje/DKN.5131.3.2021 PNP S.A. 5 050 EURO Art. 31 RODO, Art. 58 (1) e) RODO 2021-04-27 https://uodo.gov.pl/decyzje/DKE.561.23.2020 Cyfrowy Polsat S.A. 245 000 EURO Art. 24 (1) RODO Art. 32 (1), (2) RODO, Art. 34 (1) RODO 2021-04-22 https://www.uodo.gov.pl/decyzje/DKN.5130.3114.2020 Funeda Sp. z o.o. 4 900 EURO Art. 31 RODO, Art. 58 (1) a), e) RODO
2021-03-19 https://www.uodo.gov.pl/decyzje/DKE.561.25.2020 Krajowa Szkoła Sądownictwa i Prokuratury 22 200 EURO Art. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 28 (3) RODO, Art. 32 (1), (2) RODO 2021-02-11 https://www.uodo.gov.pl/decyzje/DKN.5130.2024.2020 Anwara Sp. z.o.o. 4 600 EURO Art. 31 RODO, Art. 58 (1) a) RODO 2021-01-15 https://uodo.gov.pl/decyzje/DKE.561.16.2020 Enea S.A. 30 000 EURO Art. 33 (1) RODO 2021-01-11 https://www.uodo.gov.pl/decyzje/DKN.5131.7.2020 Nieznana 19 000 EURO Art. 34 (1), (2) RODO, Art. 58 (2) e) RODO 2021-01-05 https://uodo.gov.pl/decyzje/DKE.561.11.2020 Śląski Uniwersytet Medyczny 5 500 EURO Art. 33 (1) RODO, Art. 34 (1) RODO 2021-01-05 https://uodo.gov.pl/decyzje/DKN.5131.6.2020 Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A 18 930 EURO Art. 33 (1) RODO, Art. 34 (1) RODO 2020-12-28 https://uodo.gov.pl/decyzje/DKN.5131.5.2020 ID Finance Poland Sp. z o.o. 235 300 EURO Art. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 32 (1) b), d), (2) RODO 2020-12-17 https://uodo.gov.pl/decyzje/DKN.5130.1354.2020 Virgin Mobile Polska 443 000 EURO Art. 31 RODO, Art. 58 RODO 2020-12-14 https://www.uodo.gov.pl/decyzje/DKN.5112.1.2020 Smart Cities Sp. z o.o. 2 850 EURO Art. 31 RODO, Art. 58 RODO 2020-12-09 https://www.uodo.gov.pl/decyzje/DKE.561.13.2020%20 TUiR Warta S.A. 18 850 EURO Art. 33 (1) RODO, Art. 34 (1) RODO 2020-12-09 https://uodo.gov.pl/decyzje/DKN.5131.5.20200 Szkoła Główna Gospodarstwa Wiejskiego w Warszawie 11 200 EURO Art. 32 RODO 2020-09-08 https://www.uodo.gov.pl/decyzje/ZSO%C5%9AS.421.25.2019 Geodeta Generalny Polski 22 700 EURO Art. 5 RODO, Art. 6 RODO 2020-08-31 https://uodo.gov.pl/decyzje/DKN.5112.13.2020 Biuro Geodezji i Kartografii 22 300 EURO Art. 31 RODO, Art. 58 RODO 2020-07-15 https://uodo.gov.pl/decyzje/DKE.561.3.2020 East Power Sp. z o.o. 3 400 EURO Art. 31 RODO, Art. 58 RODO 2020-07-10 https://uodo.gov.pl/decyzje/DKE.561.1.2020 Przedsiębiorca prowadzący niepubliczny żłobek i przedszkole 1 168 EURO Art. 31 RODO, Art. 58 RODO 2020-06-03 https://uodo.gov.pl/decyzje/DKE.561.2.2020 Vis Consulting Sp. z o.o. 4 400 EURO Art. 31 RODO, Art. 58 RODO 2020-03-09 https://uodo.gov.pl/decyzje/ZSPR.421.19.2019 Szkoła w Gdańsku 0 EURO Art. 5 RODO, Art. 9 RODO 2020-03-04 https://uodo.gov.pl/decyzje/ZSZZS.440.768.2018
http://orzeczenia.nsa.gov.pl/doc/2A2CFDE9D2 L. Sp. z o.o. 1 770 EURO Art. 5 (1) a), f) RODO 2019-11 http://orzeczenia.nsa.gov.pl/doc/942DE6198F Burmistrz Aleksandrowa Kujawskiego 9 380 EURO Art. 28 RODO 2019-10-18 https://uodo.gov.pl/decyzje/ZSPU.421.3.2019 ClickQuickNow 47 000 EURO Art. 32 RODO 2019-10-16 https://uodo.gov.pl/decyzje/ZSPR.421.7.2019 Morele.net 660 000 EURO Art. 32 RODO 2019-09-10 https://uodo.gov.pl/decyzje/ZSPR.421.2.2019 Związek sportowy 12 950 EURO Art. 6 RODO 2019-04-25 https://uodo.gov.pl/pl/138/990
https://uodo.gov.pl/decyzje/ZSPR.440.43.2019 Bisnode Polska Sp. z o.o. 220 000 EURO Art. 14 RODO 2019-03-26 https://uodo.gov.pl/en/553/1009
Źródło danych: https://www.enforcementtracker.com/
Najwyższa i najniższa kara z tytułu naruszenia RODO
Po upływie pięciu lat od wprowadzenia RODO na polskie firmy nałożono 52 kary na łączną kwotę 3 449 479 euro. Do tej pory najwyższą karę (w 2022 roku) w postaci 1 000 000 euro (!) nałożono na Fortum Marketing and Sales Polska S.A. – spółkę zajmująca się sprzedażą energii elektrycznej i paliwa gazowego. Grzywna ta przebiła głośną już karę 660 000 euro zastosowaną wobec Morele.net w pierwszym roku obowiązywania RODO. Najniższą przyznaną karą jest tegoroczna grzywna nałożona na Wspólnotę Mieszkaniową (UODO nie podaje dokładnie jaka to wspólnota) w wysokości 321 euro. W rejestrze widnieje również informacja o naruszeniu przepisów przez Szkołę Podstawową w Gdańsku – jednak w tym przypadku UODO zrezygnował z kary finansowej (przypadek z 2020 roku).
Podsumowanie – kary z tytułu RODO dotyczą wszystkich
Prezes UODO nakłada kary niezależne od wielkości, branży czy specyfiki danej organizacji. Jeśli jakiś podmiot przetwarza dane osobowe, to nie ma żadnego znaczenia czy działa on w zakresie administracji publicznej, jest jednoosobową działalnością czy też zalicza się do firm zatrudniających po kilka tysięcy osób. Dlatego, aby uniknąć kar finansowych, każde przedsiębiorstwo powinno stosować się do obowiązujących przepisów. Tym bardziej, że wysokości kar bywają naprawdę spore, a pojedyncza może wynosić nawet 20 milionów euro…