Kary za nieprzestrzeganie przepisów RODO od początku stanowiły swego rodzaju „straszak” na przedsiębiorców, mający zmotywować ich do odpowiednich zachowań lub wdrożenia niezbędnych standardów. Mimo tego, wciąż znajdują się jednostki i organizacje, które się na nie narażają. Które artykuły RODO najczęściej naruszają polscy przedsiębiorcy? Za naruszenie jakich przepisów PUODO nakłada w swoich decyzjach kary pieniężne? Zapraszamy na nasz #TOPranking, utworzony na podstawie decyzji PUODO). W kolejnych artykułach przedstawimy naszą subiektywną ocenę nałożonych przez PUODO kar i omówimy bardziej szczegółowo najczęściej naruszane artykuły.
Obszary naruszeń
W Polsce, od momentu wejścia w życie przepisów RODO, na firmy nałożono ponad 30 kar finansowych, na łączną kwotę przekraczającą 2,5 miliona euro. Oczywiście nie wszystkie z tych kar zostały później utrzymane w pełnej wysokości przez sąd, ale pokazują one kierunek, w jakim działa PUODO. Jakie przepisy RODO przedsiębiorcy łamią najczęściej? Poniżej zestawienie przepisów najczęściej sprawiających trudność przedsiębiorcom:
- 10 przypadków nałożenia przez PUODO kary – art. 58 RODO oraz art. 31 RODO, czyli brak współpracy z PUODO w ramach wykonywania przez niego jego zadań oraz niedostarczenie wszelkich informacji potrzebnych PUODO do realizacji jego zadań. Jest to zwycięzca naszego rankingu i pierwszy temat, który poddamy analizie w ramach naszej serii artykułów;
- 9 przypadków nałożenia kary– art. 32 RODO, czyli konieczność wdrożenia przez administratora i podmiot przetwarzający odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku;
- 9 wydanych przez PUODO decyzji nakładających kary pieniężne– art. 5 RODO określający zasady dotyczące przetwarzania danych osobowych, czyli:
- zgodność z prawem, rzetelność i przejrzystość;
- ograniczenie celu;
- minimalizacja danych;
- prawidłowość;
- ograniczenie przechowywania;
- integralność i poufność;
- rozliczalność;
- 9 wydanych przez PUODO decyzji nakładających kary pieniężne- art. 34 RODO obejmujący obowiązek zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych osobowych;
- 7 przypadków nałożenia kary– art. 33 RODO, czyli obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu;
- 5 przypadków nałożenia kary– art. 25 RODO dotyczący uwzględniania przez administratora ochrony danych w fazie projektowania oraz domyślna ochrona danych;
- 2 przypadki nałożenia kary– art. 6 RODO dotyczący zgodności przetwarzania danych osobowych z prawem;
- 2 przypadki nałożenia kary– art. 24 RODO, dotyczący obowiązków administratora w zakresie wdrażania odpowiednich środków technicznych i organizacyjnych;
- 1 przypadek nałożenia kary- art. 14 RODO odnoszący się do pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą;
- 1 przypadek nałożenia kary– art. 9 RODO dotyczący przetwarzania szczególnych kategorii danych osobowych.
W kolejnych publikacjach szczegółowo omówimy każdy z wymienionych powyżej przepisów i wskażemy, co było przyczyną nałożenia przez PUODO kary administracyjnej.
Brak współdziałania
W pierwszej kolejności zajmiemy się niekwestionowanym zwycięzcą w zakresie ilości naruszeń, czyli art. 31 RODO w połączeniu z art. 58 RODO. Artykuł 31 RODO wskazuje na obowiązek współpracy z organem nadzorczym (PUODO) w ramach wykonywanych przez niego zadań, jaki leży po stronie administratora oraz podmiotu przetwarzającego. Natomiast artykuł 58 RODO odnosi się do uprawnień organu nadzorczego w ramach prowadzonych postępowań oraz przysługujących mu uprawnień naprawczych i doradczych. PUODO wydał do tej pory aż 10 decyzji nakładających na przedsiębiorców kary pieniężne za brak współdziałania z organem nadzorczym. Kary za naruszenia art. 31 RODO w połączeniu z właściwym przepisem art. 58 RODO otrzymali m. in. Virgin Mobile Polska, Vis Consulting sp. z o. o., Anwara sp. z o.o., PNP S.A. czy też przedsiębiorca prowadzący niepubliczny żłobek i przedszkole. Jak widać, PUODO „rozdaje” kary równo pomiędzy wielkich graczy jak i małych, lokalnych przedsiębiorców.
Przykłady naruszeń
Na czym polega to współdziałanie i w czym leży jego trudność? Jak postępować, by być w zgodzie z RODO? Poniżej parę przykładów sytuacji, w których PUODO, mający zastrzeżenia do współdziałania przedsiębiorcy, nałożył na niego karę finansową:
- Przedsiębiorca przetwarzał dane osobowe podmiotu danych w zakresie imienia, nazwiska, adresu zamieszkania oraz numeru PESEL bez jego wiedzy i zgody. Jednocześnie przedsiębiorca nie ustosunkował się do treści skargi podmiotu danych oraz nie udzielił PUODO odpowiedzi na szczegółowe pytania dotyczące sprawy, takie jak:
- kiedy i z jakiego źródła Spółka pozyskała dane osobowe Skarżącego w szczególności w zakresie imienia, nazwiska, adresu zamieszkania i numeru PESEL;
- czy doszło do udostępnienia danych osobowych Skarżącego na rzecz innych podmiotów;
- czy Skarżący zwrócił się do Spółki z żądaniem spełnienia wobec niego obowiązku informacyjnego oraz;
- czy Skarżący zwrócił się do Spółki o usunięcie jego danych osobowych.
W tym przypadku Spółka, która zignorowała wezwania PUODO naraziła się na karę pieniężną w wysokości 21.397 zł.
Link do decyzji: https://uodo.gov.pl/decyzje/DKE.561.16.2020
- Spółce zarzucono nieprawidłowości dotyczące przetwarzania danych osobowych. PUODO zadał Spółce szereg pytań dotyczących m. in. podstaw przetwarzania danych oraz zawartych umów powierzenia przetwarzania danych. Co prawda, PUODO uzyskał pisemną odpowiedź, jednakże w ocenie organu była ona niewystarczająca i niepełna. W efekcie braku współpracy z PUODO, w ramach wykonywania przez niego jego zadań oraz niezapewnienie mu dostępu do danych osobowych i innych informacji, Spółka naraziła się na karę pieniężną w wysokości 12.838,20 zł.
Link do decyzji: https://www.uodo.gov.pl/decyzje/DKE.561.13.2020%20
- PUODO zdecydował o konieczności przeprowadzenia u Głównego Geodety Kraju kontroli przetwarzania danych osobowych, w zakresie udostępniania za pośrednictwem portalu GEOPORTAL2 danych osobowych z ewidencji gruntów i budynków. Jednakże Główny Geodeta Kraju odmówił wyrażenia zgody na przeprowadzenie czynności kontrolnych. Z powodu niezapewnienia PUODO (w trakcie kontroli przestrzegania przepisów o ochronie danych osobowych) dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych PUODO do realizacji jego zadań, na Głównego Geodetę Kraju nałożono karę pieniężną w wysokości 100.000 zł.
Link do decyzji: https://uodo.gov.pl/decyzje/DKE.561.3.2020
Wysokość kary
Na koniec, w ramach przypomnienia, warto wskazać, że PUODO jest uprawniony do nałożenia kary pieniężnej za naruszenie RODO w kontekście art. 31 RODO w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Opisane powyżej kary nałożone na przedsiębiorców za brak współdziałania z organem nadzorczym nie osiągnęły więc co prawda rekordowych wielkości, ale za pewne były odczuwalne. Stąd, kiedy otrzymujemy pismo z PUODO w związku z prowadzonym przez ten organ postępowaniem, nie należy go bagatelizować. Sprawne udzielenie potrzebnych informacji może nie tylko pozwolić na uniknięcie kary za naruszenie art. 31 RODO, ale także doprowadzić do umorzenia toczącego się postępowania lub nakłonienia Organu do nienałożenia kar za inne potencjalne naruszenia, jeśli przedsiębiorca dysponuje odpowiednimi argumentami.
O kolejnych najbardziej popularnych wykroczeniach w obszarze RODO napiszemy wkrótce. Warto śledzić nasze publikacje, by wiedzieć jak uchronić się przed trafieniem do kolejnych edycji rankingu. Jesteśmy również do dyspozycji jeśli jakieś zagadnienia związane z ochroną danych osobowych wymagają u Państwa konsultacji. Zapraszamy do kontaktu!