Jakie kary pieniężne nałożono na polskie firmy w ciągu 4 lat od wprowadzenia RODO? Lista kar RODO w Polsce
25 maja 2022
7m 6s W Polsce, od momentu wejścia w życie przepisów RODO, nałożono na polskie firmy 35 kar na łączną kwotę 2,2 milionów euro. Jak dokładnie wygląda rejestr kar RODO w naszym kraju po czterech latach od wprowadzenia przepisów? Przedstawiamy w zestawieniu.
25 maja mijają 4 lata od wprowadzenia ogólnego rozporządzenia UE o ochronie danych (RODO). Lista kar pieniężnych w związku z RODO, w Polsce i w całej Unii Europejskiej, jest naprawdę spora. Od tego czasu opublikowano 1 176 decyzji wydanych przez organy administracyjne właściwe danemu państwu. Postanowiliśmy przyjrzeć się jak rejestr kar RODO wygląda na naszym kraju.
Jak przebiega procedura nakładania kar RODO?
Kary za nieprzestrzeganie, złamanie lub naruszenie przepisów RODO nakładane są w Polsce przez UODO (Urząd Ochrony Danych Osobowych) w drodze decyzji administracyjnej. Każda ze spraw rozpatrywana jest indywidualnie, z uwzględnieniem okoliczności popełnionego czynu.
Od każdej decyzji UODO można się odwołać do sądu administracyjnego. Należy tylko pamiętać, że od momentu uprawomocnienia się orzeczenia obowiązuje 14-dniowy termin spłaty. Przedsiębiorstwo może również złożyć wniosek o odroczenie płatności bądź rozłożenie jej na raty.
Przeczytaj również: Dokumentacja wymagana przez RODO. Czy masz wszystkie obowiązkowe dokumenty?
Jak są kary za nieprzestrzeganie RODO i od czego są zależne?
Przepisy RODO przewidują dwie kategorie kar finansowych, które zależne są od rodzaju przewinienia. UODO może nałożyć karę w wysokości:
- do 10 lub 20 mln euro
- do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku.
Prezes UODO może również zdecydować, że kara nie będzie miała charakteru finansowego.
Wysokość kary zależna jest od takich czynników jak między innymi:
- charakter i waga czynu,
- czas trwania naruszenia,
- liczba poszkodowanych osób i rozmiar poniesionej przez nich szkody,
- kategorie danych osobowych, których dotyczyło naruszenie przepisów RODO,
- rodzaj działań podjętych w celu zminimalizowania szkody,
- stopień odpowiedzialności administratora danych lub podmiotu przetwarzającego dane (z uwzględnieniem wdrożonych przez nich środków technicznych i organizacyjnych),
- stopień współpracy z organem nadzorczym,
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, a w szczególności czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.
Pełna treść rozporządzenia RODO znajduje się pod tym odnośnikiem.
Kary RODO w Polsce – zestawienie
Poniższa tabela to zestawienie wszystkich kar i grzywien nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ogólnego rozporządzenia o ochronie danych (RODO).
Lista prezentuje stan na 25 maja 2022 roku.
| Ukarana firma z Polski | Wysokość kary | Podstawa prawna | Data decyzji | Link do decyzji |
|---|---|---|---|---|
| Fortum Marketing and Sales Polska S.A. | 1 000 000 EURO | Art. 5 (1) f) RODO, Art 24 (1) RODO, Art. 25 (1) RODO, Art. 28 (1) RODO, Art. 32 (1), (2) RODO | 2022-01-19 | https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020 |
| PIKA Sp. z o.o. | 53 000 EURO | Art. 28 (3) c), f) RODO, Art. 32 (1), (2) RODO | 2022-01-19 | https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020 |
| Santander Bank Polska S. A. | 117 000 EURO | Art. 34 (1) RODO | 2022-01-19 | https://www.uodo.gov.pl/decyzje/DKN.5131.33.2021 |
| Politechnika Warszawska | 10 000 EURO | Art. 5 (1) f) RODO, Art. 5 (2) RODO, Art. 24 (1) RODO, Art. 25 (1) RODO, Art. 32 (1), (2) RODO | 2021-12-09 | https://www.uodo.gov.pl/decyzje/DKN.5130.2559.2020%20 |
| Pactum Poland Sp. z o.o. | 4 000 EURO | Art. 31 RODO, Art. 58 (1) e) RODO | 2021-12-01 | https://www.uodo.gov.pl/decyzje/DKE.561.16.2021 |
| Bank Millennium S.A. | 78 000 EURO | Art. 33 (1) RODO, Art. 34 (1) RODO | 2021-10-14 | https://uodo.gov.pl/decyzje/DKN.5131.16.2021 |
| Prezes Sądu Rejonowego w Zgierzu | 2 200 EURO | Art. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 32 (1) b), d), (2) RODO | 2021-08-13 | https://www.uodo.gov.pl/decyzje/DKN.5131.22.2021 |
| Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra | 3 000 EURO | Art. 33 (1) RODO, Art. 34 (1) RODO | 2021-06-30 | https://uodo.gov.pl/decyzje/DKN.5131.11.2020 |
| Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. | 35 300 EURO | Art. 33 (1) RODO, Art. 34 (1) RODO | 2021-06-21 | https://www.uodo.gov.pl/decyzje/DKN.5131.3.2021 |
| PNP S.A. | 5 050 EURO | Art. 31 RODO, Art. 58 (1) e) RODO | 2021-04-27 | https://uodo.gov.pl/decyzje/DKE.561.23.2020 |
| Cyfrowy Polsat S.A. | 245 000 EURO | Art. 24 (1) RODO Art. 32 (1), (2) RODO, Art. 34 (1) RODO | 2021-04-22 | https://www.uodo.gov.pl/decyzje/DKN.5130.3114.2020 |
| Funeda Sp. z o.o. | 4 900 EURO | Art. 31 RODO, Art. 58 (1) a), e) RODO | 2021-03-19 | https://www.uodo.gov.pl/decyzje/DKE.561.25.2020 |
| Krajowa Szkoła Sądownictwa i Prokuratury | 22 200 EURO | Art. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 28 (3) RODO, Art. 32 (1), (2) RODO | 2021-02-11 | https://www.uodo.gov.pl/decyzje/DKN.5130.2024.2020 |
| Anwara Sp. z.o.o. | 4 600 EURO | Art. 31 RODO, Art. 58 (1) a) RODO | 2021-01-15 | https://uodo.gov.pl/decyzje/DKE.561.16.2020 |
| Enea S.A. | 30 000 EURO | Art. 33 (1) RODO | 2021-01-11 | https://www.uodo.gov.pl/decyzje/DKN.5131.7.2020 |
| Nieznana | 19 000 EURO | Art. 34 (1), (2) RODO, Art. 58 (2) e) RODO | 2021-01-05 | https://uodo.gov.pl/decyzje/DKE.561.11.2020 |
| Śląski Uniwersytet Medyczny | 5 500 EURO | Art. 33 (1) RODO, Art. 34 (1) RODO | 2021-01-05 | https://uodo.gov.pl/decyzje/DKN.5131.6.2020 |
| Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A | 18 930 EURO | Art. 33 (1) RODO, Art. 34 (1) RODO | 2020-12-28 | https://uodo.gov.pl/decyzje/DKN.5131.5.2020 |
| ID Finance Poland Sp. z o.o. | 235 300 EURO | Art. 5 (1) f) RODO, Art. 25 (1) RODO, Art. 32 (1) b), d), (2) RODO | 2020-12-17 | https://uodo.gov.pl/decyzje/DKN.5130.1354.2020 |
| Virgin Mobile Polska | 443 000 EURO | Art. 31 RODO, Art. 58 RODO | 2020-12-14 | https://www.uodo.gov.pl/decyzje/DKN.5112.1.2020 |
| Smart Cities Sp. z o.o. | 2 850 EURO | Art. 31 RODO, Art. 58 RODO | 2020-12-09 | https://www.uodo.gov.pl/decyzje/DKE.561.13.2020%20 |
| TUiR Warta S.A. | 18 850 EURO | Art. 33 (1) RODO, Art. 34 (1) RODO | 2020-12-09 | https://uodo.gov.pl/decyzje/DKN.5131.5.20200 |
| Szkoła Główna Gospodarstwa Wiejskiego w Warszawie | 11 200 EURO | Art. 32 RODO | 2020-09-08 | https://www.uodo.gov.pl/decyzje/ZSO%C5%9AS.421.25.2019 |
| Geodeta Generalny Polski | 22 700 EURO | Art. 5 RODO, Art. 6 RODO | 2020-08-31 | https://uodo.gov.pl/decyzje/DKN.5112.13.2020 |
| Biuro Geodezji i Kartografii | 22 300 EURO | Art. 31 RODO, Art. 58 RODO | 2020-07-15 | https://uodo.gov.pl/decyzje/DKE.561.3.2020 |
| East Power Sp. z o.o. | 3 400 EURO | Art. 31 RODO, Art. 58 RODO | 2020-07-10 | https://uodo.gov.pl/decyzje/DKE.561.1.2020 |
| Przedsiębiorca prowadzący niepubliczny żłobek i przedszkole | 1 168 EURO | Art. 31 RODO, Art. 58 RODO | 2020-06-03 | https://uodo.gov.pl/decyzje/DKE.561.2.2020 |
| Vis Consulting Sp. z o.o. | 4 400 EURO | Art. 31 RODO, Art. 58 RODO | 2020-03-09 | https://uodo.gov.pl/decyzje/ZSPR.421.19.2019 |
| Szkoła w Gdańsku | 0 EURO | Art. 5 RODO, Art. 9 RODO | 2020-03-04 | https://uodo.gov.pl/decyzje/ZSZZS.440.768.2018 http://orzeczenia.nsa.gov.pl/doc/2A2CFDE9D2 |
| L. Sp. z o.o. | 1 770 EURO | Art. 5 (1) a), f) RODO | 2019-11 | http://orzeczenia.nsa.gov.pl/doc/942DE6198F |
| Burmistrz Aleksandrowa Kujawskiego | 9 380 EURO | Art. 28 RODO | 2019-10-18 | https://uodo.gov.pl/decyzje/ZSPU.421.3.2019 |
| ClickQuickNow | 47 000 EURO | Art. 32 RODO | 2019-10-16 | https://uodo.gov.pl/decyzje/ZSPR.421.7.2019 |
| Morele.net | 660 000 EURO | Art. 32 RODO | 2019-09-10 | https://uodo.gov.pl/decyzje/ZSPR.421.2.2019 |
| Związek sportowy | 12 950 EURO | Art. 6 RODO | 2019-04-25 | https://uodo.gov.pl/pl/138/990 https://uodo.gov.pl/decyzje/ZSPR.440.43.2019 |
| Bisnode Polska Sp. z o.o. | 220 000 EURO | Art. 14 RODO | 2019-03-26 | https://uodo.gov.pl/en/553/1009 |
Źródło danych: https://www.enforcementtracker.com/
Kto zapłacił najwięcej a kto najmniej?
Po upływie czterech lat od wprowadzenia RODO na polskie firmy nałożono 35 kar na łączną kwotę 2,2 milionów euro. Do tej pory najwyższą karę w postaci 1 000 000 euro (!) nałożono na Fortum Marketing and Sales Polska S.A. – spółkę zajmująca się sprzedażą energii elektrycznej i paliwa gazowego. Tegoroczna grzywna przebiła głośną już karę w wysokości 660 000 euro zastosowaną wobec Morele.net w pierwszym roku obowiązywania RODO. Najniższą przyznaną karą pozostaje grzywna nałożona na właściciela niepublicznego żłobka i przedszkola, tj. 1 168 euro. W rejestrze widnieje również informacja o naruszeniu przepisów przez Szkołę Podstawową w Gdańsku – jednak w tym przypadku UODO zrezygnował z kary finansowej.
Podsumowanie – kary z tytułu RODO dotyczą wszystkich
Prezes UODO nakłada kary niezależne od wielkości, branży czy specyfiki danej organizacji. Jeśli jakiś podmiot przetwarza dane osobowe, to nie ma żadnego znaczenia czy działa on w zakresie administracji publicznej, jest jednoosobową działalnością czy też zalicza się do firm zatrudniających po kilka tysięcy osób. Dlatego, aby uniknąć kar finansowych, każde przedsiębiorstwo powinno stosować się do obowiązujących przepisów. Tym bardziej że wysokości kar bywają naprawdę spore, a pojedyncza może wynosić nawet 20 milionów euro…
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie RODO i ochrony danych osobowych? Napisz do nas kontakt@resilia.pl lub sprawdź nasze usługi (np. audyty zgodności administratora z RODO i outsorcing IOD).
Informacje o certyfikowanych szkoleniach PECB znajdziesz w tej zakładce, a o szkoleniach dedykowanych dla firm w tym miejscu.
