Kary RODO - jakie są kary za brak RODO?

Wielu przedsiębiorców myśli tak:
„RODO? To nie dla mnie. Kary dostają wielkie firmy, ja mam mały sklep / salon / gabinet — mnie to nie dotyczy.”

No to mam dla Ciebie złą wiadomość.
PUODO (czyli Urząd Ochrony Danych Osobowych) wcale nie poluje tylko na korporacje. Coraz więcej kar trafia do małych firm — takich jak Twoja.

I nie mówimy tu o gigantycznych wyciekach danych czy aferach medialnych. Mówimy o prostych rzeczach:

• źle skonstruowany formularz na stronie
• brak polityki prywatności
• publikacja zdjęć bez zgody
• niewłaściwie ustawiony monitoring
• mailing bez zgody

To są sprawy, za które PUODO naprawdę nakłada kary RODO — często na podstawie zwykłej skargi klienta.

Dlaczego dziś łatwiej dostać karę

PUODO działa na zasadzie: wpływa skarga — jest postępowanie.

I tych skarg jest coraz więcej. Klienci, pracownicy, sąsiedzi — dziś każdy zna hasło "RODO" i coraz chętniej je zgłasza. Do tego PUODO sam zwiększa aktywność — kontroluje wyrywkowo różne branże.

Efekt?

Wystarczy jedna niezadowolona osoba, jedno zgłoszenie — i masz na głowie kontrolę.
A potem już jest tylko pytanie: ostrzeżenie, czy kara pieniężna.

Dlaczego zwykli przedsiębiorcy są na celowniku

PUODO nie działa „z urzędu” tylko wobec wielkich graczy. Większość kontroli zaczyna się od... skargi.

Urząd dostaje rocznie tysiące skarg — od klientów, byłych pracowników, konkurencji, a nawet przypadkowych osób. I wtedy działa. Nie patrzy, czy masz fakturę na 1 mln zł miesięcznie, czy sprzedajesz ręcznie robione świeczki w internecie.

Jeśli naruszysz prawo — skala działalności nie ma znaczenia. Możesz być:

• salonem fryzjerskim
• gabinetem kosmetycznym
• sklepem internetowym prowadzonym z domu
• przedszkolem
• niewielką firmą usługową

PUODO sprawdzi i oceni zgodność z RODO.
A co jest najczęstszym problemem? Niewiedza.

"Niewiedza nie chroni" — typowe błędy małych firm

Wielu przedsiębiorców myśli: "Nie jestem korporacją, nie muszę mieć RODO ogarniętego."
To błąd. PUODO nie interesuje, czy masz czas lub budżet na prawników — interesuje go, czy przetwarzasz dane zgodnie z prawem.

Najczęstsze błędy:

• Brak polityki prywatności na stronie WWW
• Brak klauzuli informacyjnej w formularzu kontaktowym
• Zbieranie danych marketingowych bez zgody (np. zapisywanie się na newsletter przez checkbox domyślnie zaznaczony)
• Nieprawidłowy monitoring wizyjny — brak oznaczenia, brak klauzuli informacyjnej
• Publikowanie zdjęć klientów lub dzieci bez zgody
• Brak podstawy prawnej do przetwarzania danych pracowników lub klientów
• Brak dokumentacji RODO — choćby podstawowej

I uwaga — nawet jeśli wszystko masz "na słowo", ale nie masz tego udokumentowanego lub pokazujesz dokumenty napisane "na kolanie", dla PUODO to jest naruszenie.

Przykłady realnych kar dla zwykłych przedsiębiorców

Żeby nie było, że to tylko teoria.
Oto realne przykłady kar, które w ostatnich latach PUODO nałożył na małe firmy. Takie, jak Twoja.

Sklep internetowy — 15 000 zł

Właściciel sklepu online nie miał polityki prywatności na stronie.
Do tego zbierał dane klientów do celów marketingowych, ale bez wymaganej zgody (checkbox był zaznaczony domyślnie albo nie było go wcale).
Klient złożył skargę — PUODO zrobił kontrolę. Efekt: 15 000 zł kary za brak RODO.

Salon kosmetyczny — 12 000 zł

Salon zbierał dane klientek (imię, nazwisko, telefon, historia wizyt), ale nie miał żadnej podstawy prawnej do ich przetwarzania.
Nie było klauzuli informacyjnej, zgody — nic.
Do tego brak podstawowej dokumentacji RODO (np. rejestru czynności przetwarzania).
Kontrola = 12 000 zł kary za brak RODO.

Przedszkole — 8 000 zł

Na stronie przedszkola i w mediach społecznościowych publikowano zdjęcia dzieci — bez zgody rodziców.
Skarga jednego z rodziców wystarczyła.
PUODO orzekł naruszenie i nałożył 8 000 zł kary.

Gabinet dentystyczny — 20 000 zł

Gabinet dentystyczny przekazywał dane pacjentów (imię, nazwisko, numer PESEL, informacje medyczne) osobom nieuprawnionym — np. przez wysyłanie mailem do firmy współpracującej, która nie miała do tego podstawy prawnej.
To poważne naruszenie — wrażliwe dane osobowe.
Efekt? 20 000 zł kary za naruszenie RODO.

Bisnode — 943 000 zł

Firma zbierała dane z publicznych rejestrów (np. CEIDG), ale nie poinformowała tysięcy osób o tym, że ich dane przetwarza.
Uzasadnienie? „Nie mamy do nich e-maili, więc nie da się.”
PUODO uznał, że brak kontaktu nie zwalnia z obowiązku — można było wysłać list, a jak się nie da, to przynajmniej opublikować informację publicznie.
Efekt? 943 000 zł kary.

I choć Bisnode to większa firma, to sprawa pokazuje coś ważnego:
brak spełnienia obowiązku informacyjnego = gruby problem.

Morele.net — 2 800 000 zł

Jeden z najbardziej znanych przypadków.
Po ataku hakerskim wyciekły dane ponad 2 milionów klientów sklepu Morele.net.
PUODO uznał, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które mogłyby temu zapobiec.
Kara? 2 800 000 zł.
Tak, to duży e-commerce, ale problem dotyczył tego samego, co u małych firm:
ochrona danych + brak szybkiego zgłoszenia incydentu.

Jak widzisz — kary dostają wszyscy.
Od sklepów internetowych, salonów kosmetycznych, przedszkoli i gabinetów dentystycznych, aż po duże firmy jak Morele.net czy Bisnode.

Skala działalności nie ma znaczenia.
Wystarczy brak polityki prywatności, zgody marketingowej, klauzuli informacyjnej albo zignorowanie obowiązku poinformowania klientów.

I tyle — już jesteś na celowniku PUODO.
Da się tego uniknąć, jeśli masz porządek w dokumentach i poprawnie wdrożone podstawy RODO.

Co uruchamia kontrolę PUODO

Najczęstsze pytanie, które słyszę od właścicieli firm:
„Ale skąd oni mają wiedzieć, że coś jest nie tak?”

Odpowiedź: od ludzi.

PUODO w większości przypadków nie chodzi po firmach z własnej inicjatywy.
Kontrola zaczyna się wtedy, gdy ktoś złoży skargę. A kto może to zrobić?

1. Klient
   Najczęstszy scenariusz.
   Zrobił zakupy, zapisał się na newsletter, dostał spam bez zgody, nie znalazł polityki prywatności…
   Wystarczy, że się zirytuje i w 3 minuty pisze skargę przez formularz online.
   
   
2. Były pracownik
   Klasyka.
   Został zwolniony albo sam odszedł i chce się „odwdzięczyć”.
   Zgłasza, że firma przetwarzała jego dane nielegalnie, że mail nie został skasowany, że dane były dostępne dla wszystkich.
   I w wielu przypadkach ma rację.
   
   
3.  Przypadkowa osoba
   Ktoś zobaczy zdjęcie swojego dziecka na stronie szkoły.
   Ktoś znajdzie swoje dane w wynikach Google.
   Ktoś odkryje, że maile od firmy zawierają dane innych klientów.
   Nie trzeba być klientem ani pracownikiem, żeby złożyć skargę.
4. Inna instytucja (np. Urząd Pracy, ZUS, PIP)
   To rzadziej, ale się zdarza.
   W trakcie innej kontroli wychodzi, że firma źle przetwarza dane osobowe, np. nie ma zgody na monitoring albo źle przechowuje dokumenty kadrowe.
   PUODO jest wtedy zawiadamiany i przejmuje sprawę.

Wniosek jest prosty:
Nie trzeba pecha, wystarczy jedna niezadowolona osoba.
Kontrola może się pojawić z dnia na dzień.

A wtedy pytają o wszystko: politykę prywatności, zgodę na mailing, monitoring, formularze, dokumentację, rejestry.

Co najczęściej jest karane u małych firm

PUODO nie poluje na błędy trudne do wykrycia.
Najczęściej karane są najprostsze rzeczy, które można szybko sprawdzić i które... bardzo często są zaniedbywane.

Lista typowych naruszeń:

• brak polityki prywatności na stronie WWW lub sklepie internetowym
• formularz kontaktowy bez klauzuli informacyjnej
• checkbox do zgody marketingowej domyślnie zaznaczony albo brak checkboxa w ogóle
• monitoring bez tabliczki informacyjnej i bez obowiązku informacyjnego
• przesyłanie danych osobowych mailem bez zabezpieczeń
• brak dokumentacji RODO — w tym rejestru czynności przetwarzania, polityki bezpieczeństwa, upoważnień dla pracowników
• udostępnianie danych osobom nieuprawnionym (np. dane klientów trafiają do zewnętrznej firmy bez umowy powierzenia)
• wysyłka mailingów bez zgody albo bez możliwości wypisania się

W skrócie: jeśli coś zbierasz, coś publikujesz albo coś monitorujesz — to podlega RODO.
A jeśli nie masz na to papierów (czyli podstawy prawnej + dokumentacji) — możesz mieć problem.

Jakie kary dostają mikroprzedsiębiorcy

Nie zawsze kończy się to od razu wielką karą finansową.
PUODO czasem daje ostrzeżenie albo nakaz usunięcia nieprawidłowości. Ale coraz częściej nakładane są też kary pieniężne — i dla małych firm to poważny problem.

Przykładowe widełki:

• ostrzeżenie lub pouczenie — najczęściej przy pierwszym naruszeniu lub gdy przedsiębiorca współpracuje w trakcie kontroli
• kary 2 000 – 5 000 zł — typowe dla drobnych uchybień (np. brak klauzuli informacyjnej)
• kary 8 000 – 20 000 zł — za poważniejsze naruszenia (np. niezgodne zbieranie danych, ujawnienie danych osobowych)
• kary powyżej 20 000 zł — w sytuacji rażącego naruszenia lub powtórnych przewinień

Ważne — to nie są kary dla korporacji.
Takie kwoty PUODO nakłada na salony kosmetyczne, fryzjerów, gabinety lekarskie, małe sklepy online, przedszkola, wspólnoty mieszkaniowe.
Czyli na takie firmy jak Twoja.

Podsumowanie

To, że prowadzisz małą firmę, nie chroni Cię przed karą od PUODO.
Nie ma znaczenia, czy masz korporację, JDG, sklep online czy przedszkole. Jeśli przetwarzasz dane osobowe, musisz robić to zgodnie z prawem.

Najczęściej karane są rzeczy banalne: brak checkboxa, brak polityki prywatności, zdjęcia bez zgody, formularz bez klauzuli.
I nie — to nie są "detale", które można olać. Dla PUODO to konkretne naruszenia, za które lecą kary.

Co możesz zrobić, żeby spać spokojnie?

• Sprawdź, co zbierasz i w jakim celu
• Uporządkuj politykę prywatności i zgody na stronie
• Wprowadź odpowiednie checkboxy i obowiązki informacyjne
• Podpisz umowy powierzenia, jeśli dane trafiają do innych firm (np. biura rachunkowego, firmy od hostingu)
• Przygotuj podstawową dokumentację RODO
• I przede wszystkim: nie czekaj, aż ktoś Cię zgłosi

PUODO nie musi zapukać z hukiem — wystarczy jedno zgłoszenie, a Ty możesz zostać bez pieniędzy i bez nerwów.

Chcesz mieć to z głowy raz a dobrze?
Zgłoś się — sprawdzimy Twoją stronę, sklep lub firmę i zadbamy o to, żeby PUODO nie miał się do czego przyczepić.