Uniknij kary 2430 EUR za brak umowy powierzenia

Siedzisz sobie w domu albo w biurze, spokojnie patrzysz, jak twój biznes rośnie w siłę, a tu nagle jak grom z jasnego nieba spada na Ciebie kara za brak podpisanej umowy powierzenia. I to niemała kara, bo w kwocie 40 tysięcy złotych. Jeżeli obracasz milionami, to może nie zrobi ona na Tobie większego wrażenia. Jeśli jednak Twój roczny obrót wynosi 200 tysięcy złotych, to taka kara stanowić będzie prawie jego 25%. A dla wielu przedsiębiorców o takim obrocie może być to więcej niż ich roczny dochód! Czy stać Cię na lekceważenie wymogów związanych z RODO? Chcesz uniknąć takiej kary?

Kara za brak umowy powierzenia

Wspomniana kara 40 tysięcy złotych została 29 października nałożona na Urząd Miasta w Aleksandrowie Kujawskim. Jest to pierwsza ogłoszona kara nałożona na podmiot administracji państwowej. Na czym polegało przewinienie urzędu? Realizował on nałożone na niego prawem zadania, publikując informacje w tak zwanym Biuletynie Informacji Publicznej. W tym celu korzystał z usług dwóch zewnętrznych firm. Zadaniem pierwszej z nich było dostarczenie i serwisowanie oprogramowania służącego do tworzenia biuletynu. Druga firma zajmowała się udostępnianiem BIP na swoich serwerach, pełniła zatem typową rolę firmy hostingowej.

Prezes Urzędu Ochrony Danych Osobowych dopatrzył się naruszenia przepisów RODO polegających na tym, że z żadną z tych firm nie została przez urząd podpisana umowa powierzenia przetwarzania danych osobowych. Wystarczy, że otworzysz stronę internetową Biuletynu Informacji Publicznej z dowolnego urzędu w kraju, a zobaczysz wiele danych osobowych i kontaktowych nie tylko do urzędników, ale także do osób czy firm, które wygrywały przetargi lub zamówienia. Zdaniem prezesa UODO postępując w ten sposób, burmistrz dopuścił się naruszenia art. 28 ust. 3 RODO.

Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.(...)

art. 28 ust.3 RODO

Kontrolerzy dopatrzyli się także naruszenia związanego z przestrzeganiem terminów dozwolonego przetwarzania danych i związanego z tym braku procedur okresowego przeglądu treści prezentowanych w BIP. Chodziło w szczególności o fakt, że oświadczenia majątkowe były dostępne także po obowiązkowym określonym przez prawo sześcioletnim okresie. Naruszona została zatem zasada ograniczonego przechowywania określona w art. 5 ust. 1 lit. e. Pełen komentarz UODO związany z nałożeniem kary dostępny jest na stronach urzędu.

Czy ta kara jest wysoka?

Ponieważ kara dotyczy podmiotu publicznego, nie można jej jednoznacznie przyrównać do potencjalnej kary nałożonej na przedsiębiorstwo lub nawet osobę fizyczną. Górna granica kary, która może zostać nałożona na jednostki budżetowe, wynosi 100 tysięcy złotych. Określa to wprost artykuł 102 obowiązującej Ustawy o Ochronie Danych Osobowych. W przypadku przedsiębiorców kara ta może wynieść maksymalnie 20 milionów euro lub 4% rocznych światowych obrotów spółki z poprzedniego okresu rozliczeniowego. 

Ile wyniesie kara z RODO?

Możemy za to pokusić się o pewną symulację. Co prawda nie ma czegoś takiego jak taryfikator kar z RODO, niemniej dwa organy nadzorcze, holenderski i niemiecki, opublikowały swoje zasady obliczania kar. Pierwszy z nich ustalił maksymalną wysokość kary na milion euro, drugi zaś uzależnił wysokość od wielkości firmy. Holenderski taryfikator różnicuje karę w zależności od tego, który artykuł został złamany. Każdemu z artykułów Rozporządzenia przypisana została jedna z czterech kategorii, do każdej zaś kategorii maksymalny finansowy wymiar kary. 

Nieco inaczej do problemu podeszli Niemcy. Podzielili oni przedsiębiorców na cztery kategorie. Przypisanie do konkretnej z nich uzależnione jest od wysokości rocznego obrotu firmy. Także na cztery kategorie podzielone są naruszenia, identycznie jak w holenderskim podejściu każdemu artykułowi przypisano odpowiednią kategorię. Jednak zamiast przypisania maksymalnego wymiaru kary, do poszczególnych kategorii przypisano mnożniki. Jego wartość różnicuje się od 1 do 12 w zależności od tego, czy naruszenie podlegać będzie niższej, czy wyższej karze. Przy określaniu wysokości kary brane są także czynniki, które mogą mieć wpływ na zaostrzenie lub złagodzenie kary. Na przykład, jeżeli naruszenie zostało dokonane umyślnie i z pełną świadomością to będzie miało to wypływ na podwyższenie kary. Pod uwagę brane są w takim wypadku elementy wyszczególnione w artykule 83 RODO.

Jak wysoka byłaby kara dla mnie?

Przedstawione rekomendacje nie są oczywiście wiążące dla Urzędu Ochrony Danych Osobowych. Mogą jednak być dla przedsiębiorców wskazówką co do potencjalnej wysokości samej kary. 

Przyjrzyjmy się wyliczeniom na podstawie niemieckiego modelu. Przyjmijmy, że jesteś mikro przedsiębiorcą, a twój obrót nie przekracza 350 000 euro rocznie. Przyjmijmy też, że Twoje naruszenie dotyczyło artykułu 5 i 28 RODO. Za każde naruszenie naliczana będzie oddzielna kara, a na koniec zostaną one zsumowane. Nie będą liczone oddzielne kary za każdy z punktów artykułu piątego, tylko jedna kara za cały artykuł. Wspomniane naruszenia kwalifikują się do niższego limitu kary. Jeżeli chodzi o ich wagę, należy je ocenić w moim odczuciu jako średnie, zatem przypisany mnożnik będzie równy 4. Pamiętaj, że o wadze naruszenie decydować będzie kontroler, biorąc pod uwagę wszystkie dostępne informacje i analizując Twoje działania. W przypadku gdy nie nastąpią żadne okoliczności łagodzące lub zaostrzające, karę z każdego z artykułów można oszacować  na 2430 EUR, czyli około 10500 PLN. Górna granica kary nie powinna przekroczyć zaś 3888 EUR, czyli 16500 PLN. Zatem jako przedsiębiorca w podobnej sytuacji co Urząd Miasta w Aleksandrowie Kujawskim powinieneś spodziewać się kary łącznej w wysokości 4860 EUR, czyli około 21 000 PLN. Nie powinna ona jednak przekroczyć 7776 EUR, czyli 33 200 PLN.

Zachęcam do samodzielnego przeprowadzenia symulacji. Pamiętaj jednak, że są to tylko dane szacunkowe. Niemniej pozwalają przedsiębiorcom określić potencjalne koszty naruszeń. Uproszczony kalkulator znajdziesz tutaj, natomiast nieco bardziej rozbudowany tutaj. Pamiętaj także, że podczas kontroli może zostać stwierdzone naruszenie więcej niż jednego artykułu rozporządzenia.

Jak obliczana jest wysokość kary w Polsce?

Dzień przed planowaną publikacją tego artykułu głos zabrał Prezes Urzędu Ochrony Danych Osobowych. W opublikowanym na stronach urzędu komunikacie przypomina on, że w jego dyspozycji znajdują się nie tylko kary finansowe. Zastosowanie jednej z nich nie wyklucza jedna możliwości nałożenia sankcji finansowych na przedsiębiorstwo. Ponadto tak jak każdy inny organ nadzorczy pod uwagę bierze 11 różnych czynników. Niestety nie odnosi się do kwestii samej wysokości możliwej kary, jedynie przywołuje jej górne granice. 

W moim odczuciu przedstawione stanowisko jest wartościowe, gdyż przypomina, że Prezes UODO dysponuje całym wachlarzem kar. Większość z nich także będzie generować koszty dla firmy. Szkoda jednak, że nie zostało w żaden sposób zaznaczone, jak same kary finansowe są obliczane. Niepokój przedsiębiorców na pewno może wzbudzać fakt, że zasilą one budżet państwa. W czasach, gdy w budżecie brakować będzie pieniędzy może zacząć panować przeświadczenie, że kary nakładane za naruszenia będą służyć łataniu finansów państwa. W tym kontekście jasne określenie zasad ich wyliczania na pewno wzmocniłoby pozycję UODO i przyczyniło się do wzrostu zaufania do urzędu zarówno przez przedsiębiorców, jak i konsumentów.

Nie wiesz jak rozpocząć przygotowanie swojej firmy do RODO? Nie wiesz czy poprawnie masz podpisane umowy powierzenia? Szukasz narzędzi aby usprawnić swoją firmę i przetwarzać dane osobowe zgodnie z RODO? We wszystkich tych kwestiach chętnie Ci pomogę!
Konsultacje

Wyślij mi e-book i informuj mnie o nowościach

Podając nam swój adres email wyrażasz zgodę na otrzymywanie od nas wiadomości o nowościach w serwisie RODOwskaz.pl, usługach czy podsumowaniem ważnych zmian i interpretacji prawa związanych z przetwarzaniem danych osobowych w Twojej firmie. W każdej chwili możesz zrezygnować z otrzymywania informacji wypisując się z listy. Odpowiedni odnośnik znajdziesz w każdym mailu. Więcej informacji o przetwarzaniu danych osobowych znajdziesz w naszej polityce prywatności.

Pobierz poradnik, dzięki któremu zaczniesz dostosowywać swoją firmę do wymogów RODO