Kary pieniężne, czyli to czego wszyscy obawiali się najbardziej
10, 20 milionów euro czy nawet 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – takimi wysokościami kar straszono w 2017 i 2018 roku. Wysokie potencjalne kary pieniężne spędzały sen z powiek zarządów, skraplały pot na skroniach księgowych oraz dyrektorów finansowych i wreszcie powodowały mściwy uśmiech szeregowego obywatela UE, który właśnie zakończył piątą niezamówioną rozmowę z telemarketerem. Szumne zapowiedzi kar okazały się trafione tylko w części – naprawdę dużymi karami oberwali w zasadzie wyłącznie giganci internetowi, ale nie jest pewne czy te kary ich zabolały. W Polsce kar nie było dużo, a też ich wysokość nie okazała się szczególnie przerażająca.
Z udostępnionych danych na temat aktywności Prezesa Urzędu Ochrony Danych Osobowych wynika, że w okresie od 25 maja 2018 r., tj., odkąd stosuje się RODO, do 31 marca 2022 r. Prezes Urzędu Ochrony Danych Osobowych wydał 41 decyzji administracyjnych nakładających karę pieniężną za naruszenie RODO. Jednocześnie na podstawie opublikowanych statystyk można oszacować, że w tym czasie do Prezesa UODO zgłoszono nawet 40 tysięcy naruszeń. Jedna kara pieniężna na tysiąc naruszeń to stosunkowo niewiele. Dodatkowo wiele z tych kar zostało uchylonych przez sądy administracyjne, a więc liczba kar zapłaconych i ostatecznych jest sporo niższa.
Czy to źle? Absolutnie nie.
Upomnienia zamiast kar, czyli jak w rzeczywistości działa Prezes UODO
RODO poza możliwością nałożenia kary pieniężnej daje organom nadzorczym także inne, mniej działające na wyobraźnię uprawnienia, które jednak mogą być nie mniej skuteczne. Zaliczamy do nich przede wszystkim decyzje nakazujące oraz upominające. Decyzje nakazujące mogą dotyczyć m.in. realizacji praw osób, których dane dotyczą, nakazania zawiadomienia o naruszeniu, czy wreszcie dostosowania operacji przetwarzania do przepisów RODO (Prezes UODO może wskazać nawet stosowny termin i sposób dostosowania). Z kolei decyzje upominające stwierdzają, że doszło do naruszenia, ale jego skala, charakter czy aktywność administratora lub podmiotu przetwarzającego w toku postępowania wskazują na to, że wystarczy upomnienie.
Z danych na temat aktywności Prezesa UODO wynika, że np. w roku 2020 Prezes UODO skorzystał z przysługujących mu uprawnień naprawczych ponad 520 razy, z czego około 140 razy wydał decyzję nakazującą, a około 380 decyzję upominającą. Z kolei w roku 2021, Prezes UODO skorzystał z uprawnień naprawczych ponad 780 razy, przy czym wydał około 250 decyzji nakazujących i 530 decyzji upominających. Co istotne, tendencja do wykonywania przez Prezesa UODO uprawnień naprawczych poprzez wydawanie decyzji nakazujących i upominających, zdaje się nie słabnąć, gdyż już w pierwszym kwartale 2022 r., Prezes UODO wydal 60 decyzji nakazujących i ponad 180 decyzji upominających.