Kary za brak zawiadomienia osoby, której dane dotyczą – o naruszeniu ochrony danych osobowych

Naruszenia ochrony danych są jedną z okoliczności, które często wiążą się z nałożeniem na przedsiębiorcę kary pieniężnej. Oczywiście każdy z przedsiębiorców powinien podjąć odpowiednie działania, aby uniknąć tzw. incydentu (np. wdrażając odpowiednie środki techniczne i organizacyjne) – warto jednak wiedzieć, jak zachować się jeśli do incydentu już doszło (szczególnie że RODO przewiduje krótkie terminy na reakcję).

Co zrobić w przypadku incydentu? 

Jeśli dojdzie do naruszenia, w pierwszej kolejności należy oczywiście podjąć działania w celu ustalenia jego przyczyn i możliwych konsekwencji oraz zaradzenia naruszeniu, zabezpieczenia danych i zminimalizowania ew. negatywnych skutków incydentu. Obowiązkiem administratora jest też dokumentowanie wszystkich naruszeń – co w praktyce oznacza prowadzenie tzw. rejestru incydentów.

Czasem zdarza się jednak, że ww. działania nie są wystarczające – w niektórych sytuacjach RODO wprowadza obowiązek zgłoszenia incydentu do PUODO oraz zawiadomienia o nim osób, których dane dotyczą (art. 34 RODO).

Kiedy zawiadomić o incydencie osoby, których dane dotyczą?

Zgodnie z art. 34 RODO, zawiadomienie jest konieczne w przypadku, gdy naruszenie ochrony danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

W praktyce w razie zaistnienia incydentu administrator powinien każdorazowo dokonać kompleksowej oceny wpływu zdarzenia na prawa i wolności osób, których dane dotyczą, przeanalizować, czy istnieje ryzyko naruszenia tych wartości oraz czy ryzyko to jest wysokie.

Warto, aby przebieg i wyniki oceny właściwie udokumentować, szczególnie jeśli incydent podlega zgłoszeniu do PUODO, a administrator nie decyduje się na zawiadomienie o nim osób, których dane dotyczą. W praktyce zdarza się, że po zgłoszeniu do PUODO, organ zwraca się do przedsiębiorcy o wyjaśnienie przyczyn braku takiego zawiadomienia.

Jak szybko należy dokonać zawiadomienia? 

O ile w przypadku obowiązku zgłoszenia incydentu do organu RODO określa, że zgłoszenie to powinno nastąpić w ciągu 72 godzin, o tyle w przypadku zawiadomienia osób, których dane dotyczą RODO stanowi jedynie, że obowiązek ten należy zrealizować „bez zbędnej zwłoki”.

Pojęcie to jest bardzo ogólne, a faktyczny czas wymaganej reakcji uzależniony jest np. od takich czynników jak skala naruszenia i liczba osób, które należy zawiadomić. Nie ulega jednak wątpliwości, że przedsiębiorca powinien działać możliwie szybko, aby nie narazić się na zarzut nienależytej realizacji spoczywającego na nim obowiązku.

Czy brak zawiadomienia wiąże się z realnym ryzykiem nałożenia kary?

Tak — organ nałożył już na przedsiębiorców szereg kar za brak zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. Przykładowo:

Naruszenie polegało na nieuprawnionym skopiowaniu danych stu pacjentów z systemu przez byłego pracownika celem wykorzystania ich do marketingu własnych usług i obejmowało takie dane, jak numery PESEL, imiona i nazwiska, imiona rodziców, daty urodzenia, adresy, numery telefonów.

Pomimo uznania ryzyka naruszenia praw i wolności osób dotkniętych incydentem za wysokie, przedsiębiorca nie zawiadomił o naruszeniu ww. osób w sposób należyty – za co PUODO nałożył na niego karę w wysokości 85 588 zł. 

W uzasadnieniu decyzji PUODO stwierdził m.in. że naruszenie poufności wskazanych wyżej danych powoduje wysokie ryzyko dla praw i wolności osób, których te dane dotyczą i wymaga zawiadomienia tych osób o naruszeniu celem poinformowania ich o możliwych negatywnych skutkach naruszenia oraz działaniach, jakie mogą one podjąć w celu zabezpieczenia się przed tymi skutkami.

  • Śląski Uniwersytet Medyczny (decyzja)

PUDO nałożył 25 tys. zł kary na Śląski Uniwersytet Medyczny w związku naruszeniem ochrony danych oraz brakiem zawiadomienia o nim organu i osób, których dotyczyło naruszenie.

Do naruszenia doszło w toku egzaminów prowadzonych online na dedykowanej platformie e-learningowej – po zakończonych egzaminach nagrania z nich były dostępne nie tylko dla osób egzaminowanych, ale i innych osób mających dostęp do systemu i osób z zewnątrz posiadających bezpośredni link.

Ponieważ przed przystąpieniem do egzaminu studenci byli identyfikowani – na nagraniach (poza informacjami o zdawanym przedmiocie i udzielonych odpowiedziach) zarejestrowane mogły być m.in. takie dane jak wizerunek, PESEL, numer dokumentu tożsamości czy albumu, imię i nazwisko, adres zamieszkania, rok studiów, grupa, kierunek studiów.

W ocenie organu ww. naruszenie generowało wysokie ryzyko dla praw lub wolności dotkniętych nim osób (np. niebezpieczeństwo zaciągnięcia na czyjeś dane różnych zobowiązań), przy czym Uniwersytet niewłaściwie ocenił to ryzyko i nie wywiązał się z obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą.

  • Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A (decyzja)

PUODO stwierdził, że spółka naruszyła przepisy RODO poprzez brak zgłoszenia organowi naruszenia oraz brak zawiadomienia o nim osób, których dane dotyczyły – w konsekwencji nakładając na spółkę karę w wysokości 85 588 zł.

Incydent polegał na wysłaniu e-mailem przez agenta ubezpieczeniowego (procesora spółki) polisy ubezpieczeniowej do nieuprawnionego adresata. Załączony dokument zawierał m.in. takie dane jak imiona, nazwiska, adresy zamieszkania, numery PESEL i informacje o przedmiocie ubezpieczenia — doszło więc do naruszenia poufności ww. danych.

Spółka dokonała oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych i na jej podstawie uznała, że incydent nie wymaga zawiadomienia UODO ani osób dotkniętych naruszeniem. Spółka ustaliła też, że naruszenie powstało w wyniku wysłania polisy na błędny adres e-mail, który podał jej sam klient. TUiR Warta S.A. zwróciła się też do nieuprawnionego odbiorcy o trwałe usunięcie otrzymanej wiadomości.

PUODO stwierdził jednak, że:

  • fakt, że do naruszenia doszło w wyniku błędu klienta nie może mieć wpływu na niezakwalifikowanie zdarzenia jako incydentu — administrator, dopuszczając możliwość wykorzystania do komunikacji z klientem poczty elektronicznej, powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu e-mail,
  • zwrócenie się do nieuprawnionego odbiorcy o trwałe usunięcie wiadomości nie może stanowić o tym, że ryzyko dla praw i wolności osób, których dane dotyczą, nie jest wysokie — administrator nie ma pewności, że adresat nie wykonał np. kserokopii dokumentów lub też ich nie utrwalił.

Jak wysokiej kary należy się spodziewać?

W teorii naruszenie wspomnianych przepisów podlega karze pieniężnej w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

Oczywiście wysokość nakładanych kar może być w praktyce zróżnicowana, i uzależniona jest od wielu czynników, m.in. od  skali naruszenia, jego wagi i skutków, współpracy administratora z organem czy szybkości usunięcia naruszenia po jego wykryciu.

Jaki z tego wniosek? 

Jeśli zdarzy się, że dojdzie do naruszenia ochrony danych – pamiętajmy o możliwe szybkiej i przemyślanej reakcji. Ważne, aby przedsiębiorcy przykładali odpowiednią wagę do oceny ryzyka wynikającego z incydentu i przestrzegali terminów wynikających z RODO – tak, aby w razie ewentualnej kontroli mieć możliwość wykazania należytej staranności po zaistnieniu naruszenia.

Kary za brak zgłoszenia naruszenia ochrony danych osobowych

Jak już sygnalizowaliśmy we wcześniejszych wpisach z naszego cyklu, w Polsce od wejścia RODO nałożono kilkadziesiąt kar finansowych. Istotna część z nich była wynikiem naruszenia przez administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. 

Kolejnym uczestnikiem naszego niechlubnego rankingu przepisów RODO sprawiających największe trudności przedsiębiorcom jest więc art. 33 RODO. Poniżej nasze uwagi do niego w świetle dotychczasowej praktyki Prezesa UODO.

Jakie dokładnie obowiązki nakłada art. 33 RODO na administratora danych?

Omawiany przepis jest dość rozbudowany. My skupimy się jedynie na tych elementach, które okazują się najbardziej kłopotliwe w praktyce.

Zgodnie z art.  33 ust. 1 RODO administrator w przypadku stwierdzenia naruszenia ochrony danych osobowych zobowiązany jest dokonać zgłoszenia takiego naruszenia do organu nadzorczego, którym w Polsce jest Prezes UODO. Szczegółowe wytyczne co do treści zgłoszenia zawiera art. 33 ust. 3 RODO.

Warto też przypomnieć, że przez naruszenie ochrony danych osobowych – zgodnie z art. 4 pkt 12 RODO – należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Tak więc właśnie w takich sytuacjach administrator danych zobligowany jest zawiadamiać Prezesa UODO.

Trzeba również pamiętać, że posługiwanie się przy przetwarzaniu osobami trzecimi (procesorami), nie zwalnia administratora z tego obowiązku. Podmiot przetwarzający naruszenie zgłasza administratorowi – w umowie przetwarzania dobrze jest opisać odpowiednią procedurę, która umożliwi administratorowi pełne i terminowe wywiązania się z obowiązku zgłoszenia do Prezesa UODO.

Jak szybko administrator musi dokonać zgłoszenia?

Poprawna odpowiedź na to pytanie jest tylko jedna – zgłoszenie musi być dokonane bez zbędnej zwłoki. Jedynie doprecyzowując w przepisie wskazano, że – w miarę możliwości – ma być ono dokonane nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Przekroczenie terminu 72 godzin nie musi zatem wiązać się automatycznie z naruszeniem omawianego przepisu. Wymaga ono jednak każdorazowo zamieszenia w zgłoszeniu dodatkowych wyjaśnień w zakresie przyczyn opóźnienia.

W przypadku gdy nie mamy od razu wszystkich niezbędnych informacji, to i tak powinniśmy zgłoszenia dokonać. Jeśli bowiem informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki (art. 33 ust. 4 RODO).

Czy każde naruszenie ochrony danych osobowych musi być zgłaszane Prezesowi UODO?

Każda reguła ma swoje wyjątki, tak więc także obowiązek zgłaszania naruszeń organowi nadzorczemu nie ma charakteru absolutnego. Zgłoszenie jest konieczne, chyba że jest mało prawdopodobne, by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jak pokażemy poniżej (i jak wynika z dotychczasowej praktyki Prezesa UODO), to właśnie o ten wyjątek najczęściej potykają się administratorzy danych.

Na czym polegały naruszenia art. 33 RODO, za które karał Prezes UODO?

Analiza decyzji Prezesa UODO pokazuje, że kary pieniężne były do tej pory nakładane zarówno w przypadku zupełnego zaniechania zgłoszenia, jak i też za dokonanie zgłoszenia z opóźnieniem (tj. dopiero po wszczęciu postępowania administracyjnego).

Jakieś przykłady? 

Poniżej najświeższe przypadki nałożenia kary:

  1. Śląski Uniwersytet Medyczny (treść decyzji)

Naruszenie polegało na udostępnieniu nieuprawnionym odbiorcom (na platformie uniwersyteckiej) nagrań z egzaminów, na których widoczne były m.in. wizerunki studentów, ale też dane z ich dokumentów (legitymacji lub dowodów osobistych) okazywanych egzaminatorom.

Prezes UODO o naruszeniu dowiedział się od osób trzecich. Administrator nie kwestionował, iż naruszenie miało miejsce. Nie dokonał jednak zgłoszenia, gdyż po dokonaniu oceny zdarzenia pod kątem prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych uznał, że zachodzi wyjątek od tego obowiązku.

Prezes UODO w postępowaniu wyjaśniającym dał administratorowi szansę na dokonanie ponownej oceny zdarzenia. Administrator podtrzymał jednak swoje dotychczasowe stanowisko.

W dokonanych ocenach administrator powoływał się na wąski krąg osób, które uzyskały nieuprawniony dostęp do danych, wąski zakres ujawnionych danych oraz podjęte działania zaradcze (mające zapobiec podobnym incydentom w przyszłości).

  1. ENEA (treść decyzji)

Naruszenie polegało na wysłaniu przez osobę związaną z ENEA do nieuprawnionego adresata e-maila z niezaszyfrowanym załącznikiem zawierającym dane osobowe (imiona, nazwiska, adresy e-mail, numery telefonów, daty rejestracji w systemie ENEA) kilkuset klientów tej spółki (w tym adresata wiadomości).

Prezes UODO o naruszeniu dowiedział się od osoby, która stała się nieuprawnionym adresatem danych osobowych. Administrator nie kwestionował zdarzenia. Uznał jednak (po dokonaniu oceny zdarzenia pod kątem prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych), że zachodzi wyjątek od obowiązku zgłoszenia.

Prezes UODO w postępowaniu wyjaśniającym zasugerował administratorowi ponowną ocenę incydentu. Administrator podtrzymał jednak swoje dotychczasowe stanowisko. Wskazał, że analizy dokonał w oparciu o wytyczne European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches. Wskazał również, że stosując je, uzyskał wynik ryzyka na poziomie WN < 2, czyli: „Osoby nie zostaną dotknięte naruszeniem lub wywoła ono drobne niedogodności”.

Administrator powołał się na nasypujące okoliczności:

  1. podstawowy charakter udostępnionych danych, tj. danych niedotyczących zachowań (tzw. danych behawioralnych);
  2. ograniczoną możliwość identyfikacji (niewielki krąg odbiorców oraz nieujawnienie  danych ewidencyjnych typu PESEL);
  3. uzyskanie od nieuprawnionego odbiorcy oświadczenia o zachowaniu poufności.
  1. TUiR WARTA (treść decyzji)

Naruszenie polegało  na wysłaniu e-mailem przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla TUiR WARTA, polisy ubezpieczeniowej zawierającej dane osobowe do nieuprawnionego adresata. W wyniku tego doszło do naruszenia poufności danych dwóch osób w zakresie imion, nazwisk, adresów zamieszkania lub korespondencyjnych, numerów PESEL, numerów telefonów, adresów poczty elektronicznej oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy), zakresu ubezpieczenia, płatności, cesji, a także dodatkowych zapisów wynikających z umowy.

Prezes UODO o naruszeniu dowiedział się od osoby trzeciej. Administrator nie kwestionował  zdarzenia. Powołał się jednak na brak konieczności zgłoszenia (w związku z wynikiem dokonanej oceny pod kątem prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych).

Administrator, wyjaśniając dokonaną ocenę, wskazywał na to, że:

  1. klient (podmiot danych osobowych) sam podał błędny adres e-mail, na który został wysłany dokument polisy ubezpieczeniowej;
  2. nieuprawniony odbiorca sam zwrócił się do administratora, a więc można wnioskować, iż jest on świadomy przepisów i wagi informacji, jakie otrzymał i ich nie ujawni.

Prezes UODO w postępowaniu wyjaśniającym dał administratorowi szansę na dokonanie ponownej oceny zdarzenia. Po przeprowadzeniu takiej oceny administrator dokonał zgłoszenia naruszenia ochrony danych osobowych w toku postępowania.

Jakie kary nakładał Prezes UODO za niezgłoszenie naruszenia ochrony danych osobowych?

Dla przypomnienia – Prezes UODO może nałożyć karę pieniężną w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 4 lit a RODO). Tyle w teorii.

Wymierzając karę, organ musi jednak uwzględnić szereg czynników: stopień współpracy z organem, charakter i  waga stwierdzonego naruszenia, czas jego trwania, ewentualna umyślność działania, sposób dowiedzenia się o naruszeniu, liczba poszkodowanych, kategorie danych objętych naruszeniem, możliwości poniesienia kary przez dany podmiot.

W praktyce nałożone kary były zatem dużo niższe niż maksymalne limity. W omawianych przypadkach oscylowały w przedziale od 25.000 zł (Śląski Uniwersytet Medyczny) do blisko 140.000 zł (TUiR WARTA otrzymało karę wynoszącą równowartość 20.000 EUR, zaś ENEA 30.000 EUR).

Warto także pamiętać, że w każdym z tych przypadków administrator – jak to zazwyczaj bywa – naruszył  także inne przepisy RODO i wysokość nałożonej kary uwzględniała także te pozostałe naruszenia.

Co sprawiało administratorom największą trudność?

Zarówno niedokonanie zgłoszenia, jak i jego dokonania z opóźnieniem najczęściej było wynikiem nieprawidłowej oceny prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych na skutek naruszenia ochrony danych osobowych. Administratorzy w sposób nieuprawniony uznawali, że nie zachodzi takie ryzyko lub że jego wystąpienie jest mało prawdopodobne.

Jak zatem uniknąć błędów przy weryfikacji, czy konieczne jest dokonanie zgłoszenia do Prezesa UODO?

Analizując incydent prowadzący do naruszenia ochrony danych osobowych i sprawdzając, czy konieczne jest zgłoszenie do Prezesa UODO, czy też można zastosować wyjątek od tego obowiązku, należny pamiętać o następujących kwestiach (błędach ukaranych dotychczas administratorów), które przewijają się we wszystkich decyzjach Prezesa UODO:

  1. podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia (oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia);
  2. możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować – samo  wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, oznacza obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu (przykładowo – nie jest ważne, czy odbiorca omyłkowo wysłanych danych się z nimi zapoznał – wystarczy, że miał taką możliwość);
  3. należy prawidłowo określić zakres danych objętych naruszeniem – administratorzy   wielokrotnie skupiając się na najbardziej oczywistych danych osobowych, pomijają mnóstwo rodzajów danych, a przez to nieprawidłowo szacują ryzyko naruszenia praw i wolności osób, których dane dotyczą;
  4. z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślnie; to, że naruszenie jest wynikiem błędu osoby trzeciej (nawet jeśli jest to błąd osoby, której dane dotyczą) nie zwalnia administratora z obowiązku dokonania zgłoszenia;
  5. okoliczność, że naruszenie dotyczy niewielkiej liczby osób (czy wręcz jednej osoby), nie przesądza automatycznie, że nie jest wymagane jego zgłoszenie;
  6. dla oceny konieczności dokonania zgłoszenia nieistotne są działania administratora  mające  uniemożliwić powtórzenie zaistniałego naruszenia (te bowiem są podejmowane na przyszłość i w ogóle nie dotyczą ryzyka naruszenia praw i wolności podmiotów danych objętych naruszeniem).

Dobra rada na zakończenie…

Ponieważ prędzej czy później każdemu przydarzy się naruszenie ochrony danych osobowych, konieczna jest dobra procedura, by sprawnie i prawidłowo przeprowadzić ocenę ryzyka i dokonać ewentualnego zgłoszenia. I na sam koniec coś, co – jak mantra – przewija się we wszystkich decyzjach Prezesa UODO dotyczących naruszenia ochrony danych: w przypadku jakichkolwiek wątpliwości należy naruszenie zgłosić, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.

Kary za przetwarzanie danych bez podstawy prawnej

Przetwarzanie danych osobowych jest dozwolone jedynie w tych przypadkach, gdy istnieje odpowiednia podstawa prawna takiego działania. Podstawy dopuszczalności przetwarzania danych osobowych określa art. 6 RODO (a także art. 9 RODO w stosunku do szczególnych kategorii danych osobowych wymienionych w tym przepisie oraz art. 10 RODO w stosunku do danych osobowych dotyczących skazań). Przepisy te uszczegóławiają podstawową zasadę przetwarzania danych osobowych sformułowaną w art. 5 RODO, którą jest zasada zgodności z prawem przetwarzania danych, stanowiąca  przedmiot naszego poprzedniego wpisu na blogu.

Jakie są przesłanki legalności przetwarzania danych osobowych?

Podstawową przesłanką legalizującą przetwarzanie danych osobowych jest uzyskanie od osoby, której dotyczą dane, zgody na ich przetwarzanie. Jednak nie jest to jedyna podstawa dopuszczalności przetwarzania – każdy, kto słyszał o RODO, w kontekście podstaw przetwarzania, słyszał zapewne również o prawnie uzasadnionym interesie administratora. Art. 6 RODO wskazuje w sumie sześć podstaw dopuszczalności przetwarzania danych. Poza zgodą podmiotu danych są to:

  • wykonanie umowy,
  • wypełnienie obowiązku prawnego ciążącego na administratorze,
  • ochrona żywotnych interesów osoby, której dane dotyczą lub innej osoby,
  • wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej,
  • prawnie uzasadnione interesy administratora lub strony trzeciej (chodzi o sytuacje, w których administrator nie może powołać się na zgodę, przepis, ani realizację umowy, a mimo to powinien on mieć możliwość przetwarzania danych, ponieważ za dopuszczalnością przetwarzania przemawia właśnie „prawnie uzasadniony interes” – będzie to m.in. prowadzenie marketingu bezpośredniego własnych produktów i usług administratora oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej).

Każda z wymienionych okoliczności usprawiedliwiających przetwarzanie danych osobowych ma charakter samoistny, autonomiczny i niezależny, tzn. dla uznania przetwarzania danych za prawnie dopuszczalne wystarczy istnienie jednej z nich. Zasadniczo przesłanki te są również równoprawne, co oznacza, że dla dopuszczalności przetwarzania nie jest istotne, na podstawie której z nich  dokonywane jest przetwarzanie danych. Może również zdarzyć się tak, że określone operacje przetwarzania danych osobowych będą legalizowane przez więcej niż jedną przesłankę. W praktyce szczególne znaczenie odgrywają przesłanki zgody i wypełnienia obowiązku prawnego.

Jak często PUODO nakłada kary za naruszenie art. 6 RODO?

Choć zapewnienie zgodności z prawem przetwarzania danych osobowych jest zasadniczym obowiązkiem administratora, a w tym sensie art. 6 RODO jest centralnym przepisem tego aktu prawnego, w praktyce polski organ nadzorczy nałożył do tej pory zaledwie dwie kary dotyczące tego przepisu.

Statystycznie w Unii Europejskiej wygląda to podobnie, choć są zarówno kraje, które mogą pochwalić się zdecydowanie większą ilością kar dotyczących naruszenia przepisów o zgodności przetwarzania danych osobowych z prawem, jak np. Austria, Niemcy, Włochy czy Hiszpania (która wydaje się „rekordzistką” w tym zakresie), jak i kraje, w których w oparciu o art. 6 RODO nałożono zaledwie jedną karę, jak Dania, Słowacja czy Portugalia.

Decyzje PUODO dotyczące podstaw prawnych przetwarzania – w jakich okolicznościach zapadły?

Główny Geodeta Kraju publikował na portalu GEOPORTAL2 (https://www.geoportal.gov.pl/) informacje pozyskane z ewidencji gruntów i budynków, w tym numery ksiąg wieczystych, prowadzonych przez 90 starostów powiatowych niedysponujących infrastrukturą techniczną umożliwiającą samodzielne publikowanie tych informacji na portalu (na podstawie zawartych w oparciu o art. 5 ustawy Prawo geodezyjne i kartograficzne porozumień z tymi starostwami).

W ramach czynności kontrolnych mających na celu zbadanie prawidłowości powyższej praktyki udostępniania danych przez GGK, Prezes UODO ustalił, że Główny Geodeta Kraju nie wskazał przepisu prawa, który stanowiłby podstawę prawną jego działania. Co więcej, z art. 364 ust. 16 ustawy o księgach wieczystych i hipotece oraz art. 5a ust. 4 ustawy Prawo geodezyjne i kartograficzne wynika wręcz zakaz udostępniania danych pozyskanych ze starostw osobom trzecim. Jawność ewidencji gruntów i budynków oznacza, że informacje zawarte w ewidencji nie mają charakteru informacji niejawnych w rozumieniu prawa, ale nie oznacza to powszechnego dostępu do nich. W ocenie Prezesa UODO Główny Geodeta Kraju, zdając sobie sprawę z braku wyraźnej podstawy prawnej do przetwarzania numerów ksiąg wieczystych, naruszył więc zasadę zgodności z prawem przetwarzania danych osobowych. Organ nadzorczy uznał, że porozumienia zawarte przez GGK ze starostwami stanowiły ważną podstawę tworzenia i utrzymywania wspólnych elementów infrastruktury technicznej przeznaczonej do przechowywania i udostępniania określonych zbiorów danych, nie stanowiły one natomiast podstawy prawnej do udostępniania danych, w tym numerów ksiąg wieczystych. Podstawa taka musi wynikać bowiem z powszechnie obowiązujących przepisów prawa.

Prezes UODO podkreślił jednocześnie, że numery ksiąg wieczystych przetwarzane w serwisie GEOPORTAL2 stanowią dane osobowe. W zakresie, w jakim odnoszą się do osób fizycznych, obejmują one m.in. imiona, nazwiska, imiona rodziców, numer PESEL, adresy nieruchomości. Tym samym podane do publicznej wiadomości numery ksiąg wieczystych pozwalają na zidentyfikowanie osoby, której dane są zawarte w księdze wieczystej. Poprzez upublicznienie numerów ksiąg wieczystych dostęp do zawartych w nich danych osobowych może uzyskać każdy użytkownik internetu. To z kolei naraża bardzo dużą liczbę osób na kradzież ich tożsamości, a w konsekwencji narusza ochronę danych osobowych ustanowioną przez RODO.

Kara nałożona na GGK przez Prezesa UODO wyniosła 100 000 złotych, czyli maksymalny wymiar kary, jaka może zostać nałożona na jednostkę sektora publicznego. Nakładając karę, organ nadzorczy wziął pod uwagę nie tylko wagę naruszenia, jego charakter oraz czas trwania, ale także umyślny charakter działania i wysoki stopień odpowiedzialności GGK jako podmiotu administracji publicznej, który powinien stać na straży praworządności.

  • Dolnośląski Związek Piłki Nożnej (decyzja)

Dolnośląski Związek Piłki Nożnej upublicznił w sieci dane 585 sędziów, którym w 2015 r. przyznano licencje sędziowskie. Podano nie tylko ich imiona i nazwiska, ale także dokładne adresy zamieszkania oraz numery PESEL. Tymczasem w ocenie Prezesa UODO nie ma żadnych podstaw prawnych, by w internecie dostępny był aż tak szeroki zakres danych sędziów (zwłaszcza dane adresowe oraz numery PESEL). Upubliczniając je, administrator stworzył potencjalne ryzyko bezprawnego wykorzystania tych danych, np. do podszycia się pod te osoby w celu zaciągania pożyczek czy innych zobowiązań. W konsekwencji na DZPN nałożona została kara finansowa w wysokości 55.750,50 złotych (czyli w przeliczeniu 95,30 złotych za dane jednego sędziego).

PUODO zauważył, że wprawdzie Związek sam dostrzegł swój błąd, czego dowodzi zgłoszenie Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych polegającego na niezamierzonej publikacji danych sędziów, a także powiadomienie sędziów o naruszeniu oraz zwrócenie się do wyszukiwarek internetowych za pośrednictwem firmy informatycznej  o usunięcie danych z wyników wyszukiwania, jednak fakt, że próby usunięcia naruszenia podejmowane przez Związek okazały się nieskuteczne, przesądził o nałożeniu kary. Ponadto zgłoszenie naruszenia oraz fakt, że w dacie orzekania DZPN na swojej stronie internetowej nie przetwarzał danych osobowych osób, którym przyznano licencje sędziowskie, nie mogły stanowić okoliczności łagodzącej, gdyż działania takie są wymagane przepisami prawa.

Czy mimo braku istnienia podstawy przetwarzania administrator może uchronić się przed karą?

W decyzji z 16 kwietnia 2019 r. (decyzja) Prezes UODO odmówił nałożenia kary, pomimo stwierdzenia niezgodnego z prawem udostępnienia danych osobowych, z tego powodu, że działanie administratora – choć stanowiło naruszenie RODO –  było jednorazowe i nie było następnie kontynuowane (sprawa dotyczyła burmistrza, który przekazał lokalnej gazecie dane osobowe byłej pracownicy, w tym dotyczące rozwiązania z nią umowy o pracę).

Podobnym wynikiem zakończyła się sprawa (decyzja) dotycząca nieprawidłowości w przetwarzaniu danych osobowych pracownika przez byłego pracodawcę, które miały polegać na dalszym wykorzystywaniu adresu mailowego pracownika po jego odejściu pracy, jak również głosu pracownika w zapowiedzi słownej na telefonie firmowym. Kary nie nałożono, gdyż w odniesieniu do zapowiedzi głosowej w dacie orzekania przez PUODO pracodawca zaprzestał przetwarzania tych danych, z kolei adres mailowy byłego pracownika został zdezaktywowany i był wykorzystywany jedynie do wysyłania przez pracodawcę komunikatu obejmującego informację o tym, że pracownik nie jest już zatrudniony w spółce oraz o tym, pod jakim adresem mailowym można kontaktować się z aktualnymi przedstawicielami spółki – co można potraktować jako prawnie usprawiedliwiony interes administratora danych w rozumieniu art. 6 ust. 1 lit. f RODO.

Jaki z tego wniosek?

Czy zatem fakt, że jak dotąd polski organ nadzorczy nałożył stosunkowo mało kar w oparciu o art. 6 RODO (a także – jak się wydaje – jest „wyrozumiały” w przypadku, gdy naruszenia są mniejszej wagi) może uśpić czujność administratorów, jeśli chodzi o ich dbałość o legitymowanie się zgodną z prawem i aktualną podstawą przetwarzania danych osobowych? W żadnym wypadku! Zapewnienie zgodności z prawem czynności przetwarzania jest jednym z elementarnych obowiązków administratorów danych i trudno liczyć na pobłażliwość UODO w tym zakresie. Wręcz przeciwnie, raczej należy oczekiwać, że organ będzie badał tę kwestię dość surowo, a dodatkowym argumentem na niekorzyść naruszycieli będzie z pewnością czas, jaki upłynął od wejścia w życie RODO, w którym to czasie administratorzy powinni byli podjąć odpowiednie czynności dostosowawcze.

Dziękujemy, że jesteś z nami i przeczytałeś do końca. Możliwe, że zainteresują Cię również pozostałe nasze wpisy z serii praktycznych wskazówek dla uniknięcia kar

Kary za brak odpowiednich zabezpieczeń danych

Jednym z głównych obowiązków wynikających z RODO jest wdrożenie właściwych środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa przetwarzanych danych (art. 32 RODO). Realizacja tego obowiązku jest w praktyce faktycznie monitorowana przez Prezesa Urzędu Ochrony Danych Osobowych – dotychczas w wyniku jego naruszenia organ nałożył już szereg kar, z których część omówiliśmy w naszym artykule.

Jakie środki należy wdrożyć, aby działać zgodnie z RODO?

Jedną z podstawowych trudności, wynikających z omawianego obowiązku, jest brak określenia konkretnych i uniwersalnych środków, które zapewniłyby zgodność z aktualnymi przepisami. RODO wskazuje oczywiście przykładowe środki, jednak  to po stronie administratorów i podmiotów przetwarzających jest każdorazowe dokonanie oceny procesów przetwarzania i dobranie środków tak, aby były adekwatne do zidentyfikowanych ryzyk. Jak wynika z RODO, środki te należy wdrożyć z uwzględnieniem stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

Jak organ ocenia wdrożenie odpowiednich środków technicznych i organizacyjnych?

Prezes Urzędu Ochrony Danych Osobowych (PUODO) wskazuje, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym i obejmuje:

  1. określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych,
  2. ustalenie, jakie środki będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Jak wynika z decyzji PUODO, obowiązkiem administratora i podmiotu przetwarzającego jest jednak nie tylko wdrożenie odpowiednich środków, ale też ich regularne i kompleksowe testowanie, pomiary i oceny ich skuteczności.

Podejście PUODO — konkretne decyzje

  1. Cyfrowy Polsat S.A. (decyzja)

Postępowanie zostało wszczęte przez Prezesa UODO, w związku z regularnym dokonywaniem przez spółkę zgłoszeń naruszeń ochrony danych, które polegały m.in. na utracie przez kurierów dokumentów zawierających dane klientów lub na wydaniu przez kurierów dokumentów, w których znajdowały się dane  niewłaściwym osobom.

PUODO zarzucił spółce brak wdrożenia odpowiednich środków pozwalających szybko identyfikować naruszenia ochrony danych. Jak wskazał, nie jest wystarczające działanie administratora polegające na zgłaszaniu naruszeń, gdy tylko informację o nich otrzymał od firmy kurierskiej (z którą podpisał umowę), ale przede wszystkim to administrator powinien podjąć skuteczne działania, które po pierwsze zminimalizują skalę naruszeń, a po drugie pozwolą na szybkie identyfikowanie takich incydentów i tym samym powiadamianie PUODO i osób, których dotyczy dane zdarzenie. W wyniku stwierdzenia ww. naruszenia PUODO nałożył na spółkę karę w wysokości 1 136 975 zł.

  1. Krajowa Szkoła Sądownictwa i Prokuratury (decyzja)

Jak wskazał PUODO, KSSIP nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych znajdujących się w kopii bazy danych platformy szkoleniowej KSSIP, co stanowiło naruszenie art. 32 RODO. W konsekwencji PUODO nałożył na KSSIP karę w wysokości 100 tys. zł.

  1. ID Finance Poland Sp. z o.o. w likwidacji (decyzja)

Jak wynika z decyzji PUODO, spółka (właściciel portalu pożyczkowego MoneyMan.pl) nie zareagowała odpowiednio na sygnał o lukach w jej zabezpieczeniach oraz nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów. Kilka dni po otrzymanym przez spółkę sygnale, osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera, jednocześnie żądając okupu za zwrot wykradzionych informacji.

Jak wskazał PUODO, odpowiedzialności spółki nie wyłącza fakt, że spółka przekazała podmiotowi przetwarzającemu informację o potencjalnej luce w zabezpieczeniach serwera, a brak odpowiednio szybkiej reakcji leżał po stronie podmiotu przetwarzającego. W ocenie organu to administrator musi mieć zdolność do wykrywania naruszeń, zarządzania nim oraz ich zgłaszania, co stanowi kluczowy element środków technicznych i organizacyjnych. Wobec stwierdzenia ww. naruszenia PUODO nałożył na spółkę karę w wysokości ponad 1 mln zł.

  1. Szkoła Główna Gospodarstwa Wiejskiego (decyzja)

Postępowanie wszczęte zostało przez PUODO po otrzymaniu zgłoszenia o kradzieży prywatnego komputera pracownika uczelni, który używał go również do celów służbowych, w tym do przetwarzania danych kandydatów na studia.

W wyniku postępowania PUODO stwierdził, że administrator:

  1. nie miał wiedzy o przetwarzaniu danych na prywatnym komputerze pracownika,
  2. nie kontrolował procesu przetwarzania danych poprzez:

– brak weryfikacji, na jakich nośnikach przetwarzane są dane kandydatów pobierane z systemu informatycznego,
– brak rejestrowania tej operacji w systemie informatycznym.

Po stwierdzeniu ww. naruszeń PUODO nałożył na SGGW karę w wysokości 50 tys. zł.

  1. Morele.net Sp. z o.o. (decyzja)

W decyzji nakładającej karę Prezes UODO uznał, że spółka nie zastosowała wystarczających środków  technicznych ochrony danych, w wyniku czego doszło do nieuprawnionego dostępu do danych jej klientów.

Organ uznał, że brak odpowiednich środków polegał m.in. na zastosowaniu nieskutecznego mechanizmu uwierzytelniania dostępu do danych oraz na nieskutecznym monitorowaniu potencjalnych zagrożeń związanych z nietypowymi zachowaniami w sieci. W konsekwencji PUODO nałożył na spółkę karę w wysokości ponad 2,8 mln zł.

  1. Decyzja Virgin Mobile Polska Sp. z o.o. (decyzja)

Jak wynika z decyzji PUODO, Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i ocen skuteczności zastosowanych środków mających zapewnić bezpieczeństwo przetwarzanych danych – co PUODO również uznał za naruszenie i nałożył na Virgin Mobile Polska karę w wysokości 1,9 mln zł.

Według ustaleń PODUO, działania w ww. zakresie podejmowane były jedynie incydentalnie (przy okazji pojawiających się podejrzeń zaistnienia podatności, czy w związku ze zmianami organizacyjnymi) i nie obejmowały wszystkich systemów, w których przetwarzane są dane.

Jak wysokiej kary należy się spodziewać?

W teorii naruszenie wspomnianych przepisów podlega karze pieniężnej w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

Jak wynika chociażby z powyższych decyzji, w praktyce wysokość kar nakładanych przez PUODO jest zróżnicowana (w ww. sprawach waha się ona od kilkudziesięciu tysięcy do kilku milionów złotych). Oczywiście wysokość kary uzależniona jest od wielu czynników, m.in. od  skali naruszenia, jego wagi i skutków, współpracy administratora z organem czy szybkości usunięcia naruszenia po jego wykryciu.

Jaki z tego wniosek? 

Projektując procesy przetwarzania danych, dokonujmy niezbędnej oceny i od początku uwzględniajmy adekwatne zabezpieczenia danych, które będziemy następnie poddawać regularnym testom i monitorowaniu. Takie podejście pozwoli nie tylko zapewnić faktyczne bezpieczeństwo przetwarzanych danych i uniknąć tzw. incydentów (które często muszą być zgłaszane organowi i stają się przyczyną wszczynanych kontroli), ale umożliwi też uniknięcie nałożenia kar za sam brak adekwatnych zabezpieczeń.

Kary za brak współpracy z Prezesem UODO

Od wejścia w życie RODO w Polsce nałożono już kilkadziesiąt kar finansowych. Spora część z nich wynikała z braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań. 

Zwycięzcą naszego rankingu przepisów RODO sprawiających największe trudności przedsiębiorcom jest zatem art. 58 RODO  i to jego pierwszego poddajemy analizie w świetle praktyki Prezesa UODO. Ale zacznijmy od początku.

Czy tego typu kary są możliwe?

Otóż tak. Prezes UODO jako organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie RODO.  Dla realizacji swoich kompetencji Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 RODO uprawnień, w tym możliwość nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań. Naruszenie wspomnianego przepisu – zgodnie z art. 83 ust. 5 lit e) RODO – podlega administracyjnej karze pieniężnej.

Czy w praktyce są spotykane?

Jak najbardziej. Jak wspomnieliśmy we wstępie artykułu, kary za brak współpracy z Prezesem UODO są jednymi z najczęściej wymierzanych. Do tej pory możemy mówić o ponad dziesięciu takich karach.

Co tak naprawdę oznacza brak współpracy?

W gruncie rzeczy pod tym pojęciem rozumie się każdą opieszałość – czy to wynikającą z braku woli współpracy z organem, czy to z braku odpowiedniego ułożenia procesów uniemożliwiającego terminowe udzielenie wyczerpującej odpowiedzi organowi, czy też zwyczajne niedbalstwo i brak odbioru określonego pisma.

Konkretne przykłady? 

Bardzo proszę:

  1. Anwara (treść decyzji)

Ukarana spółka w związku z postępowaniem administracyjnym prowadzonym w celu  rozpoznania skargi osoby fizycznej, dwukrotnie zignorowała wystosowane do niej pisemne wezwania do złożenia wyjaśnień. Pomimo prawidłowego doręczenia pism spółka nie przedstawiła żadnych przyczyn uzasadniających zaniechanie po jej stronie.

W związku z nieudzieleniem przez spółkę informacji niezbędnych do rozstrzygnięcia sprawy, Prezes UODO wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia na nią kary pieniężnej. Spółka także w tej sprawie nie ustosunkowała się w żaden sposób do ww. korespondencji i nie złożyła wyjaśnień.

  1. Smart Cities (treść decyzji)

Prezes UODO trzykrotnie wezwał spółkę do udzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy. Odpowiedź spółki na pierwsze wezwanie była niepełna (brak wyczerpującej odpowiedzi na żadne z trzech szczegółowych pytań). Kolejnych pism spółka w ogóle nie odebrała. Spółka nie próbowała także usprawiedliwić faktu braku odpowiedzi na dwa wezwania, nie kontaktowała się również z  organem celem zasygnalizowania ewentualnych wątpliwości.

Postępowanie spółki wskazywało w ocenie Prezesa UODO na brak woli współpracy lub na co najmniej rażące lekceważenie swoich obowiązków.

  1. Indywidualny przedsiębiorca prowadzący niepubliczny żłobek i przedszkole (treść decyzji)

Przedsiębiorca zgłosił do Prezesa UODO naruszenia ochrony danych osobowych, polegające na utracie dostępu do danych osobowych przechowywanych w prowadzonym niepublicznym żłobku i przedszkolu.

W związku z brakiem w ww. zgłoszeniu informacji niezbędnych do oceny tego naruszenia, Prezes UODO trzykrotnie skierował wezwania do złożenia stosownych wyjaśnień. Dwa wezwania nie zostały podjęte w terminie, natomiast jedno ukarany podmiot odebrał osobiście. Przedsiębiorca nie udzielił Prezesowi UODO żadnej odpowiedzi na wezwania.

  1. PNP (treść decyzji)

Prezes UODO w celu ustalenia stanu faktycznego sprawy zainicjowanej skargą, trzykrotnie zwrócił się do Spółki z wezwaniem do ustosunkowania się do treści tej skargi oraz do złożenia wyjaśnień. Żadne ze skierowanych do spółki wezwań nie zostało przez spółkę odebrane.

W konsekwencji niepodejmowania korespondencji Prezes UODO nie uzyskał informacji niezbędnych do rozpatrzenia sprawy. Stanu tego nie zmieniło również wszczęcie postępowania w przedmiocie nałożenia na spółkę kary pieniężnej. Pismo informujące o wszczęciu takiego postępowania również nie zostało przez spółkę odebrane.

  1. Główny Geodeta Kraju (treść decyzji)

W trakcie kontroli przestrzegania przepisów RODO nie zapewniono Prezesowi UODO dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, a także nie współpracowano z Prezesem UODO w trakcie tej kontroli.

 

Jak wysokiej kary należy się spodziewać?

W teorii naruszenie wspomnianych przepisów zgodnie z art. 83 ust 5 lit e) RODO podlega karze pieniężnej w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. W praktyce są to kwoty rzędu od kilkunastu do kilkudziesięciu tysięcy złotych (choć bywały i wyższe, w wysokości np. 100.000 zł).

Należy jednak pamiętać, że:

  1. kara za brak współpracy nie kończy postępowania w głównej sprawie, a okoliczności jej otrzymania mogą się wręcz przyczynić do negatywnego rozstrzygnięcia w sprawie dotyczącej naruszenia np. podstaw przetwarzania czy obowiązku informacyjnego. Brak współpracy z organem często będzie oznaczać brak skutecznego wykazania przez administratora przestrzegania przepisów w myśl zasady rozliczalności;
  2. Prezes UODO, ustalając wysokość kary, ma obowiązek prawny zwrócić uwagę w każdym indywidualnym przypadku na stopień współpracy z organem w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  3. wysokość kary ma być proporcjonalna nie tylko do wagi stwierdzonego naruszenia, ale także do możliwości jej poniesienia przez dany podmiot. I w tym przypadku może się pojawić myśl – skoro i tak już jesteśmy opieszali i organ chce nas za to ukarać, to jeśli nie przekażemy  naszych wyników finansowych organ nie będzie w stanie prawidłowo określić wysokości kary. Hmmm… Obeszliśmy system? Nic z tych rzeczy. W przypadku nieprzedstawienia przez dany podmiot żądanych przez Prezesa UODO danych finansowych za konkretny rok, ustalając wysokość kary pieniężnej Prezes UODO może wziąć pod uwagę, na podstawie art. 101a ust. 2 ustawy o ochronie danych osobowych, szacunkową wielkość podmiotu oraz specyfikę, zakres i skalę prowadzonej przez niego działalności. I tak też Prezes UODO działa w praktyce.

Na zakończenie…

… nasz wniosek dla Was. Układajcie procesy i dbajcie o dane osobowe. Dobrze ułożony system oznacza szybką, terminową i wyczerpującą odpowiedź dla organu, która może uchronić nie tylko przed stwierdzeniem naruszenia RODO w obszarze samego przetwarzania, ale także przed karą za brak współpracy.

Najczęściej łamane przepisy RODO w Polsce – ranking

Kary za nieprzestrzeganie przepisów RODO od początku stanowiły swego rodzaju „straszak” na przedsiębiorców, mający zmotywować ich do odpowiednich zachowań lub wdrożenia niezbędnych standardów. Mimo tego, wciąż znajdują się jednostki i organizacje, które się na nie narażają. Które artykuły RODO najczęściej naruszają polscy przedsiębiorcy? Za naruszenie jakich przepisów PUODO nakłada w swoich decyzjach kary pieniężne?  Zapraszamy na nasz #TOPranking, utworzony na podstawie decyzji PUODO). W kolejnych artykułach przedstawimy naszą subiektywną ocenę nałożonych przez PUODO kar i omówimy bardziej szczegółowo najczęściej naruszane artykuły. 


Obszary naruszeń

W Polsce, od momentu wejścia w życie przepisów RODO, na firmy nałożono   ponad 30 kar finansowych, na łączną kwotę przekraczającą 2,5 miliona euro. Oczywiście nie wszystkie z tych kar zostały później utrzymane w pełnej wysokości przez sąd, ale pokazują one kierunek, w jakim działa PUODO. Jakie przepisy RODO przedsiębiorcy łamią najczęściej? Poniżej zestawienie przepisów najczęściej sprawiających   trudność przedsiębiorcom:

  1. 10 przypadków nałożenia przez PUODO kary art. 58 RODO oraz art. 31 RODO, czyli brak współpracy z PUODO w ramach wykonywania przez niego jego zadań oraz niedostarczenie wszelkich informacji potrzebnych PUODO do realizacji jego zadań. Jest to zwycięzca naszego rankingu i pierwszy temat, który poddamy analizie w ramach naszej serii artykułów;
  2. 9 przypadków nałożenia karyart. 32 RODO, czyli konieczność wdrożenia przez administratora i podmiot przetwarzający odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku;
  3. 9 wydanych przez PUODO decyzji nakładających kary pieniężneart.  5 RODO określający zasady dotyczące przetwarzania danych osobowych, czyli:
  • zgodność z prawem, rzetelność i przejrzystość;
  • ograniczenie celu;
  • minimalizacja danych;
  • prawidłowość;
  • ograniczenie przechowywania;
  • integralność i poufność;
  • rozliczalność;
  1. 9 wydanych przez PUODO decyzji nakładających kary pieniężne- art. 34 RODO obejmujący obowiązek zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych osobowych;
  2. 7 przypadków nałożenia karyart. 33 RODO, czyli obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu;
  3. 5  przypadków nałożenia karyart. 25 RODO dotyczący uwzględniania przez administratora ochrony danych w fazie projektowania oraz domyślna ochrona danych;
  4. 2 przypadki nałożenia karyart. 6 RODO dotyczący zgodności przetwarzania danych osobowych z prawem;
  5. 2 przypadki nałożenia karyart. 24 RODO, dotyczący obowiązków administratora w zakresie wdrażania odpowiednich środków technicznych i organizacyjnych;
  6. 1 przypadek nałożenia kary- art. 14 RODO odnoszący się do pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą;
  7. 1 przypadek nałożenia karyart. 9 RODO dotyczący przetwarzania szczególnych kategorii danych osobowych.

W kolejnych publikacjach szczegółowo omówimy każdy z wymienionych powyżej przepisów i wskażemy, co było przyczyną nałożenia przez PUODO kary administracyjnej.

Brak współdziałania

W pierwszej kolejności zajmiemy się niekwestionowanym zwycięzcą w zakresie ilości naruszeń, czyli art. 31 RODO w połączeniu z art. 58 RODO. Artykuł 31 RODO wskazuje na obowiązek współpracy z organem nadzorczym (PUODO) w ramach wykonywanych przez niego zadań, jaki leży po stronie administratora oraz podmiotu przetwarzającego.  Natomiast artykuł 58 RODO odnosi się do uprawnień organu nadzorczego w ramach prowadzonych postępowań oraz przysługujących mu uprawnień naprawczych i doradczych. PUODO wydał do tej pory aż 10 decyzji nakładających na przedsiębiorców kary pieniężne za brak współdziałania z organem nadzorczym. Kary za naruszenia art. 31 RODO w połączeniu z właściwym przepisem art. 58 RODO otrzymali m. in. Virgin Mobile Polska, Vis Consulting sp. z o. o., Anwara sp. z o.o., PNP S.A. czy też przedsiębiorca prowadzący niepubliczny żłobek i przedszkole. Jak widać, PUODO „rozdaje” kary równo pomiędzy wielkich graczy jak i małych, lokalnych przedsiębiorców.

Przykłady naruszeń

Na czym polega to współdziałanie i w czym leży jego trudność? Jak postępować, by być  w zgodzie z RODO? Poniżej parę przykładów sytuacji, w których PUODO, mający zastrzeżenia do współdziałania przedsiębiorcy, nałożył na niego karę finansową:

  1. Przedsiębiorca przetwarzał dane osobowe podmiotu danych w zakresie imienia, nazwiska, adresu zamieszkania oraz numeru PESEL bez jego wiedzy i zgody. Jednocześnie przedsiębiorca nie ustosunkował się do treści skargi podmiotu danych oraz nie udzielił PUODO odpowiedzi na szczegółowe pytania dotyczące sprawy, takie jak:
  1. kiedy i z jakiego źródła Spółka pozyskała dane osobowe Skarżącego w szczególności w zakresie imienia, nazwiska, adresu zamieszkania i numeru PESEL;
  2. czy doszło do udostępnienia danych osobowych Skarżącego na rzecz innych podmiotów;
  3. czy Skarżący zwrócił się do Spółki z żądaniem spełnienia wobec niego obowiązku informacyjnego oraz;
  4. czy Skarżący zwrócił się do Spółki o usunięcie jego danych osobowych.

W tym przypadku Spółka, która zignorowała wezwania PUODO naraziła się na karę pieniężną w wysokości 21.397 zł.

Link do decyzji: https://uodo.gov.pl/decyzje/DKE.561.16.2020

  1. Spółce zarzucono nieprawidłowości dotyczące przetwarzania danych osobowych. PUODO zadał Spółce szereg pytań dotyczących m. in. podstaw przetwarzania danych oraz zawartych umów powierzenia przetwarzania danych. Co prawda, PUODO uzyskał pisemną odpowiedź, jednakże w ocenie organu była ona niewystarczająca i niepełna. W efekcie braku współpracy z PUODO, w ramach wykonywania przez niego jego zadań oraz niezapewnienie mu  dostępu do danych osobowych i innych informacji, Spółka naraziła się na karę pieniężną w wysokości 12.838,20 zł.

Link do decyzji: https://www.uodo.gov.pl/decyzje/DKE.561.13.2020%20

  1. PUODO zdecydował o konieczności przeprowadzenia u Głównego Geodety Kraju kontroli przetwarzania danych osobowych, w zakresie udostępniania za pośrednictwem portalu GEOPORTAL2 danych osobowych z ewidencji gruntów i budynków. Jednakże Główny Geodeta Kraju odmówił wyrażenia zgody na przeprowadzenie czynności kontrolnych. Z powodu niezapewnienia PUODO (w trakcie kontroli przestrzegania przepisów o ochronie danych osobowych) dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych PUODO do realizacji jego zadań, na Głównego Geodetę Kraju nałożono karę pieniężną w wysokości 100.000 zł.

Link do decyzji: https://uodo.gov.pl/decyzje/DKE.561.3.2020

Wysokość kary  

Na koniec, w ramach przypomnienia, warto wskazać, że PUODO jest uprawniony do nałożenia kary pieniężnej za naruszenie RODO w kontekście art. 31 RODO w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Opisane powyżej kary nałożone na przedsiębiorców za brak współdziałania z organem nadzorczym nie osiągnęły więc co prawda rekordowych wielkości, ale za pewne były odczuwalne. Stąd, kiedy otrzymujemy pismo z PUODO w związku z prowadzonym przez ten organ postępowaniem, nie należy go bagatelizować. Sprawne udzielenie potrzebnych informacji może nie tylko pozwolić na uniknięcie kary za naruszenie art. 31 RODO, ale także doprowadzić do umorzenia toczącego się postępowania lub nakłonienia Organu do nienałożenia kar za inne potencjalne naruszenia, jeśli przedsiębiorca dysponuje odpowiednimi argumentami.

O kolejnych najbardziej popularnych wykroczeniach w obszarze RODO napiszemy wkrótce. Warto śledzić nasze publikacje, by wiedzieć jak uchronić się przed trafieniem do kolejnych edycji rankingu. Jesteśmy również do dyspozycji jeśli jakieś zagadnienia związane z ochroną danych osobowych wymagają u Państwa konsultacji. Zapraszamy do kontaktu!

Prosta Spółka Akcyjna, nowy typ spółki kapitałowej.

PSA stanowi odpowiedź na potrzeby rynku innowacyjnych przedsięwzięć – startupów i spółek technologicznych. 

 

CEL PSA: 

  • ułatwienie pozyskiwania kapitału zewnętrznego (komponent akcyjny), przy zmniejszeniu kosztówułatwieniu zarządzania (w kontrze do klasycznej S.A.); 
  • utrzymanie korporacyjnego charakteru jako osoby prawnej, w tym wyłączenie osobistej odpowiedzialności wspólników za zobowiązania; 

 

MNIEJSZE KOSZTY:

  • wymagany przy zakładaniu kapitał na poziomie 1 zł (dla kontrastu obecnie w S.A.: 100.000 zł); 
  • tańsze codzienne funkcjonowanie (np. brak potrzeby powołania rady nadzorczej, obligatoryjnej w S.A.); 
  • uproszczenie procedur m.in. brak potrzeby udziału notariusza przy podejmowaniu uchwał walnego zgromadzenia (tak to działa obecnie w S.A.) i umożliwienie ich podejmowania na piśmie lub zdalnie; 
  • uproszczone reguły likwidacji; 

 

POZYSKIWANIE KAPITAŁU: 

  • swoboda w kształtowaniu akcji uprzywilejowanych (możliwość pozyskiwania kapitału w drodze emisji akcji bez utraty kontroli nad spółką); 
  • dopuszczenie nowych kategorii wkładów na pokrycie obejmowanych praw członkowskich – w postaci świadczenia pracy lub usług (nieznanych ani klasycznej S.A. ani sp. z o.o.); 
  • utrzymana możliwość przyznania akcji spółki za inny wkład niepieniężny, np. w postaci rozwiązań IT; 

 

SWOBODA: 

  • elastyczne podejście do organów spółki, możliwość połączenia funkcji zarządczych i nadzorczych w jednym organie (szybsze reagowanie, brak potrzeby zgód różnych organów dla podjęcia działania); 
  • szybka rejestracja (24 h / elektroniczna); 
  • brak sformalizowanego trybu podwyższenia bądź obniżenia kapitału zakładowego; 

 

Przepisy umożliwiające tworzenie PSA lub przekształcanie obecnych struktur w PSA wchodzą w życie 1 lipca 2021 r.  

 

Autor: apl. radc. Anika Wojtasik

 

Systemy kafeteryjne bez zwolnienia składkowego

Zdecydowana większość pracowników w Polsce otrzymuje od pracodawcy przynajmniej jedno świadczenie pozapłacowe. Do grupy najpopularniejszych benefitów z pewnością należy zaliczyć m.in. prywatną opiekę medyczną, kartę sportową, bony towarowe / karty przedpłacone, wszelkiego rodzaju dofinansowania np. do szkoleń, dojazdów do pracy, urlopów czy wydarzeń kulturalnych.

Pracodawcy chcąc wyjść naprzeciw indywidualnym oczekiwaniom pracowników, coraz częściej decydują się na wdrożenie w ramach organizacji tzw. systemów kafeteryjnych. W ramach takiego systemu pracownicy posiadają indywidualne konta, zasilane w cyklach miesięcznych określoną ilością punktów (najczęściej 1 punkt = 1 zł), które następnie mogą wymienić na usługi lub towary oferowane przez zewnętrzne podmioty (np. wymienić punkty na bilet do kina). W takim przypadku pracodawca może dotrzeć z ofertą benefitów do o wiele szerszej grupy pracowników czy kandydatów, zapewniając im możliwość wyboru konkretnego świadczenia, w zgodzie z ich indywidualną potrzebą.

Omawiane rozwiązanie niewątpliwie posiada szereg walorów ze stricte „HR-owego” punktu widzenia, zwiększając jednocześnie atrakcyjność pracodawcy na rynku pracy. Jednak pomimo korzyści w zakresie budowania i podtrzymywania relacji z pracownikami, tzw. systemy kafeteryjne mogą stanowić niemały problem w kontekście ich prawidłowego rozliczania.

 

Co jest przychodem pracownika i kiedy stanowi podstawę wymiaru składek ZUS?

Co do zasady za przychody ze stosunku służbowego, stosunku pracy, pracy nakładczej oraz spółdzielczego stosunku pracy, uważa się wszelkiego rodzaju wypłaty pieniężne oraz wartość pieniężną świadczeń w naturze bądź ich ekwiwalenty, bez względu na źródło finansowania tych wypłat i świadczeń, (…) a ponadto świadczenia pieniężne ponoszone za pracownika, jak również wartość innych nieodpłatnych świadczeń lub świadczeń częściowo odpłatnych.

 

Jednak na mocy § 2 ust. 1 pkt 26 rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 18 grudnia 1998 r. w sprawie szczegółowych zasad ustalania podstawy wymiaru składek na ubezpieczenia emerytalne i rentowe (dalej również: rozporządzenie składkowe), tzw. zwolnieniem składkowym objęte są korzyści materialne wynikające z układów zbiorowych pracy, regulaminów wynagradzania lub przepisów o wynagradzaniu, a polegające na uprawnieniu do zakupu po cenach niższych niż detaliczne niektórych artykułów, przedmiotów lub usług (…).

W konsekwencji, zwolnienie ze składek ZUS przychodów z tytułu świadczeń pozapłacowych jest możliwe pod warunkiem, że:

  • ich przyznanie oraz warunki częściowej odpłatności ponoszonej przez pracowników, wynikają z postanowień układów zbiorowych pracy, regulaminów wynagradzania lub przepisów o wynagradzaniu;
  • korzyść uzyskiwana przez pracownika polega na uprawnieniu do zakupu artykułów, przedmiotów lub usług po cenie niższej niż detaliczna (świadczenie pracodawcy ma charakter niepieniężny!);
  • pracownik partycypuje w kosztach zakupu ww. artykułów przedmiotów lub usług, nawet w symbolicznej wysokości.

Wszystkie wymienione warunki muszą zostać spełnione łącznie!

 

Czy przychody uzyskiwane przez pracowników z tzw. systemów kafeteryjnych, stanowią podstawę wymiaru składek na ZUS?

W zasadzie wszystkie analizowane przez nas interpretacje indywidualne wydane przez ZUS na tym gruncie wykluczyły tzw. zwolnienie składkowe z omawianego tytułu, nawet w sytuacji gdy pracodawca spełnił warunki formalne wynikające z przepisów tj. np. uwzględnił postanowienia dot. systemu kafeteryjnego w regulaminie wynagradzania.

ZUS w każdej z niekorzystnych interpretacji opierał się na podobnej argumentacji wskazującej na fakt, że świadczenie pracodawcy w ramach tzw. systemu kafeteryjnego polega de facto na udostępnieniu pracownikom określonej puli punktów stanowiących środek płatniczy, a nie na bezpośrednim umożliwieniu zakupu konkretnych artykułów, przedmiotów lub usług. W konsekwencji ma ono charakter pieniężny, wykluczający możliwość objęcia ww. przychodów zwolnieniem składkowym. Bez znaczenia, zdaniem ZUS, pozostawał fakt spełnienia przez pracodawcę pozostałych wymogów wynikających z odpowiednich przepisów tj. zapewnienie właściwej podstawy prawnej i partycypacji pracownika w kosztach.

Co istotne, „spór” pomiędzy pracodawcami a ZUS dot. interpretacji ww. rozporządzenia składkowego, nie doczekał się stanowiska sądów powszechnych, które moglibyśmy uznać za równie ugruntowane. Jednakże w sprawach, w których wnioskodawcy zdecydowali się złożyć odwołania, wydane orzeczenia finalnie potwierdzały stanowisko ZUS (vide: sygn. akt: III AUa 139/17, III AUa 411/16).

Podsumowując powyższe, pracodawcy rozważający przejście ze „standardowych” rozwiązań dot. świadczeń pozapłacowych (sprowadzających się do zawierania jednostkowych umów ich dotyczących z odpowiednimi dostawcami) na tzw. system kafeteryjny, powinni wziąć pod uwagę jednolite stanowisko ZUS nakazujące włączenie przychodów uzyskiwanych z tego tytułu przez pracownika do podstawy wymiaru składek. Nie wykluczając bowiem potencjalnej możliwości zmiany stanowiska przez sądy powszechne (do tej pory zagadnienie to nie doczekało się bogatego orzecznictwa), mając na uwadze omawiane wyżej interpretacje, pracodawca potencjalnie może narazić się na spór z ZUS.

 

Analizowane interpretacje ZUS dot. zagadnienia: DI/100000/43/540/2019, DI/100000/43/829/2018, WPI/200000/43/802/2018, WPI/200000/43/819/2018, WPI/200000/43/838/2018, WPI/200000/43/1263/2018, WPI/200000/43/261/2016, DI/100000/43/1176/2015, DI/100000/43/1292/2015, WPI/200000/43/869/2015, WPI/200000/43/869/2014.

 

Autor: radca prawny Natalia Wojciechowska- Chałupińska

Wyższe koszty uzyskania przychodu a honorarium autorskie

Coraz więcej pracodawców decyduje się na wdrożenie modelu umożliwiającego stosowanie podwyższonych (50%) kosztów uzyskania przychodu (KUP). Podwyższone koszty stosuje się do części wynagrodzenia pracownika za przeniesienie autorskich praw majątkowych do stworzonych przez niego utworów, czyli do tzw. honorarium autorskiego. W praktyce model oznacza, że obniżeniu ulega podstawa obliczenia podatku dochodowego pracowników, a tym samym wynagrodzenie wpływające na ich rachunek bankowy jest wyższe. Takie rozwiązanie jest korzystne nie tylko dla pracowników, ale również pracodawców, którzy mogą zaoferować wyższe wynagrodzenia, zwiększając tym samym swoją konkurencyjność na rynku pracy, bez ponoszenia wyższych kosztów.

 

W jaki sposób można obliczyć wysokość honorarium autorskiego?

Temat jest o tyle dyskusyjny, że podejście organów w tym zakresie zmieniło się już kilkakrotnie, pomimo braku formalnej zmiany przepisów. Jeszcze do niedawna standardowa metoda kalkulacji honorarium autorskiego opierała się na czasie poświęconym przez pracownika na pracę twórczą. Czas ten był odpowiednio ewidencjonowany, a następnie ilość godzin mnożona była przez stawkę godzinową pracownika. Tak obliczone wynagrodzenie stanowiło honorarium, do którego zastosowanie miały 50% koszty uzyskania przychodu.

Metoda ta została jednak zakwestionowana przez organy podatkowe, które coraz częściej odmawiały wydania pozytywnych interpretacji podatkowych wskazując, że fakt poświęcenia określonego czasu na pracę twórczą nie oznacza, że praca ta wykonywana była efektywnie, a nawet że doprowadziła do rzeczywistego powstania jakiegokolwiek utworu. Tym samym, w ocenie organów, kwota obliczona w oparciu o czas pracy twórczej nie odzwierciedlała rzeczywistej wartości utworu przeniesionego na pracodawcę.

Jednocześnie organy coraz częściej wskazywały na konieczność ustalenia honorarium autorskiego tak, aby stanowiło ono rynkową wartość utworów. Pracodawcy zaczęli więc opracowywać modele kalkulacji wynagrodzeń oparte, przykładowo, na stałej zryczałtowanej i z góry określonej w umowie z pracownikiem wysokości honorarium obliczanej m.in. z uwzględnieniem posiadanych przez pracownika kwalifikacji, doświadczenia czy zadań przypisanych do jego stanowiska. Model ten nie był jednak idealny – wiele wątpliwości pojawiało się przykładowo w sytuacji, gdy pracownik był nieobecny w pracy, chociażby ze względu na chorobę czy urlop. Kontrowersje budziło też to, czy miesięczna kwota wypłacana w stałej wysokości, nawet w sytuacji, gdy pracownik był na zwolnieniu lekarskim (pobierał zasiłek chorobowy), powinna być uwzględniania przez ZUS przy obliczaniu podstawy wymiaru zasiłku chorobowego.

 

Kompromis, który może ułatwić przedsiębiorcom wdrażanie modelu 50% KUP (…)

(…) to rozwiązanie zaproponowane niedawno w interpretacji indywidualnej wydanej przez dyrektora Krajowej Informacji Skarbowej. Organ uznał, że honorarium autorskie może być skalkulowane jako iloczyn stawki godzinowej i godzin przeznaczonych na wykonanie utworu zgodnie z ewidencją pracy. Kluczowe jest, aby stawka godzinowa pracownika ustalana była na podstawie rynkowej wartości jego prac.

Takie rozwiązanie stanowi istotne ułatwienie dla pracodawców- mogą oni wykorzystać funkcjonujące u nich standardowe narzędzia do ewidencjonowania czasu pracy i na tej podstawie obliczać kwotę honorarium autorskiego – przy założeniu, że oferowania przez nich stawka godzinowa pracowników będzie miała charakter rynkowy.

 

 

Autor: aplikant adwokacki Marta Maliszewska

Dobre Zmiany w Białej Liście

Dozwolone płatności na rachunki spoza Białej Listy

Zgodnie z nowymi regułami, podatnicy będą mogli dokonywać płatności na rachunek spoza Białej Listy bez narażania się na negatywne konsekwencje podatkowe w następujących sytuacjach:

  1. zlecania przelewów na rachunki cesyjne (rachunki banku lub SKOKu służące do dokonywania rozliczeń z tytułu nabywanych przez ten bank lub tę kasę wierzytelności pieniężnych), faktoringowe lub rachunki prowadzone przez bank lub SKOK w ramach gospodarki własnej

– jeżeli odpowiednio bank, SKOK lub podmiot będący wystawcą faktury, wraz z informacją o numerze rachunku do zapłaty, przekazali podatnikowi informację, że rachunek wskazany do zapłaty jest jednym w powyższych rachunków

  1. dokonania płatności z zastosowaniem mechanizmu podzielonej płatności,
  2. płatność wynika z faktury dokumentującej czynności z tytułu wewnątrzwspólnotowego nabycia towarów, importu towarów, importu usług lub dostawy towarów rozliczanej przez nabywcę.

 

Łatwiejsze zawiadomienia o nieprawidłowościach

Nowe regulacje wprowadzają też serię ułatwień w zakresie składania zawiadomień o płatnościach na nieprawidłowy rachunek (tzw. ZAW-NR). Po pierwsze, na stałe wydłużono termin na składanie takich zawiadomień z 3 do 7 dni od dnia zlecenia przelewu. Co więcej, zawiadomienie takie trzeba będzie złożyć do naczelnika urzędu skarbowego właściwego dla podatnika, który dokonał nieprawidłowej płatności (a nie jak dawniej do naczelnika właściwego dla naszego kontrahenta). Wreszcie, ustawodawca zwalnia podatników z każdorazowego składania zawiadomień o błędnej płatności na dany rachunek. Wystarczy, że podatnik raz zawiadomi organy podatkowe o swojej pomyłce i jeśli w przyszłości ponownie przydarzy mu się wpłata na ten konkretnie błędny rachunek, nie będzie musiał ponawiać zawiadomienia.

 

Autor: radca prawny Urszula Ilnicka-Karaban

Kontakt

Masz pytania?zobacz telefon+48 570 913 713
zobacz e-mail

Biuro w Warszawie

03-737 Warszawa

(Centrum Praskie Koneser – Spaces)

pl. Konesera 12 lok. 119

google maps

Biuro we Wrocławiu

53-659 Wrocław

(Quorum D)

Gen. Władysława Sikorskiego 26

google maps

Hej, Userze
czy jesteś już w newsletterze?

    Zobacz jak przetwarzamy Twoje dane osobowe tutaj