Kary za brak zawiadomienia osoby, której dane dotyczą – o naruszeniu ochrony danych osobowych

Naruszenia ochrony danych są jedną z okoliczności, które często wiążą się z nałożeniem na przedsiębiorcę kary pieniężnej. Oczywiście każdy z przedsiębiorców powinien podjąć odpowiednie działania, aby uniknąć tzw. incydentu (np. wdrażając odpowiednie środki techniczne i organizacyjne) – warto jednak wiedzieć, jak zachować się jeśli do incydentu już doszło (szczególnie że RODO przewiduje krótkie terminy na reakcję).

Co zrobić w przypadku incydentu? 

Jeśli dojdzie do naruszenia, w pierwszej kolejności należy oczywiście podjąć działania w celu ustalenia jego przyczyn i możliwych konsekwencji oraz zaradzenia naruszeniu, zabezpieczenia danych i zminimalizowania ew. negatywnych skutków incydentu. Obowiązkiem administratora jest też dokumentowanie wszystkich naruszeń – co w praktyce oznacza prowadzenie tzw. rejestru incydentów.

Czasem zdarza się jednak, że ww. działania nie są wystarczające – w niektórych sytuacjach RODO wprowadza obowiązek zgłoszenia incydentu do PUODO oraz zawiadomienia o nim osób, których dane dotyczą (art. 34 RODO).

Kiedy zawiadomić o incydencie osoby, których dane dotyczą?

Zgodnie z art. 34 RODO, zawiadomienie jest konieczne w przypadku, gdy naruszenie ochrony danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

W praktyce w razie zaistnienia incydentu administrator powinien każdorazowo dokonać kompleksowej oceny wpływu zdarzenia na prawa i wolności osób, których dane dotyczą, przeanalizować, czy istnieje ryzyko naruszenia tych wartości oraz czy ryzyko to jest wysokie.

Warto, aby przebieg i wyniki oceny właściwie udokumentować, szczególnie jeśli incydent podlega zgłoszeniu do PUODO, a administrator nie decyduje się na zawiadomienie o nim osób, których dane dotyczą. W praktyce zdarza się, że po zgłoszeniu do PUODO, organ zwraca się do przedsiębiorcy o wyjaśnienie przyczyn braku takiego zawiadomienia.

Jak szybko należy dokonać zawiadomienia? 

O ile w przypadku obowiązku zgłoszenia incydentu do organu RODO określa, że zgłoszenie to powinno nastąpić w ciągu 72 godzin, o tyle w przypadku zawiadomienia osób, których dane dotyczą RODO stanowi jedynie, że obowiązek ten należy zrealizować „bez zbędnej zwłoki”.

Pojęcie to jest bardzo ogólne, a faktyczny czas wymaganej reakcji uzależniony jest np. od takich czynników jak skala naruszenia i liczba osób, które należy zawiadomić. Nie ulega jednak wątpliwości, że przedsiębiorca powinien działać możliwie szybko, aby nie narazić się na zarzut nienależytej realizacji spoczywającego na nim obowiązku.

Czy brak zawiadomienia wiąże się z realnym ryzykiem nałożenia kary?

Tak — organ nałożył już na przedsiębiorców szereg kar za brak zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. Przykładowo:

Naruszenie polegało na nieuprawnionym skopiowaniu danych stu pacjentów z systemu przez byłego pracownika celem wykorzystania ich do marketingu własnych usług i obejmowało takie dane, jak numery PESEL, imiona i nazwiska, imiona rodziców, daty urodzenia, adresy, numery telefonów.

Pomimo uznania ryzyka naruszenia praw i wolności osób dotkniętych incydentem za wysokie, przedsiębiorca nie zawiadomił o naruszeniu ww. osób w sposób należyty – za co PUODO nałożył na niego karę w wysokości 85 588 zł. 

W uzasadnieniu decyzji PUODO stwierdził m.in. że naruszenie poufności wskazanych wyżej danych powoduje wysokie ryzyko dla praw i wolności osób, których te dane dotyczą i wymaga zawiadomienia tych osób o naruszeniu celem poinformowania ich o możliwych negatywnych skutkach naruszenia oraz działaniach, jakie mogą one podjąć w celu zabezpieczenia się przed tymi skutkami.

  • Śląski Uniwersytet Medyczny (decyzja)

PUDO nałożył 25 tys. zł kary na Śląski Uniwersytet Medyczny w związku naruszeniem ochrony danych oraz brakiem zawiadomienia o nim organu i osób, których dotyczyło naruszenie.

Do naruszenia doszło w toku egzaminów prowadzonych online na dedykowanej platformie e-learningowej – po zakończonych egzaminach nagrania z nich były dostępne nie tylko dla osób egzaminowanych, ale i innych osób mających dostęp do systemu i osób z zewnątrz posiadających bezpośredni link.

Ponieważ przed przystąpieniem do egzaminu studenci byli identyfikowani – na nagraniach (poza informacjami o zdawanym przedmiocie i udzielonych odpowiedziach) zarejestrowane mogły być m.in. takie dane jak wizerunek, PESEL, numer dokumentu tożsamości czy albumu, imię i nazwisko, adres zamieszkania, rok studiów, grupa, kierunek studiów.

W ocenie organu ww. naruszenie generowało wysokie ryzyko dla praw lub wolności dotkniętych nim osób (np. niebezpieczeństwo zaciągnięcia na czyjeś dane różnych zobowiązań), przy czym Uniwersytet niewłaściwie ocenił to ryzyko i nie wywiązał się z obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą.

  • Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A (decyzja)

PUODO stwierdził, że spółka naruszyła przepisy RODO poprzez brak zgłoszenia organowi naruszenia oraz brak zawiadomienia o nim osób, których dane dotyczyły – w konsekwencji nakładając na spółkę karę w wysokości 85 588 zł.

Incydent polegał na wysłaniu e-mailem przez agenta ubezpieczeniowego (procesora spółki) polisy ubezpieczeniowej do nieuprawnionego adresata. Załączony dokument zawierał m.in. takie dane jak imiona, nazwiska, adresy zamieszkania, numery PESEL i informacje o przedmiocie ubezpieczenia — doszło więc do naruszenia poufności ww. danych.

Spółka dokonała oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych i na jej podstawie uznała, że incydent nie wymaga zawiadomienia UODO ani osób dotkniętych naruszeniem. Spółka ustaliła też, że naruszenie powstało w wyniku wysłania polisy na błędny adres e-mail, który podał jej sam klient. TUiR Warta S.A. zwróciła się też do nieuprawnionego odbiorcy o trwałe usunięcie otrzymanej wiadomości.

PUODO stwierdził jednak, że:

  • fakt, że do naruszenia doszło w wyniku błędu klienta nie może mieć wpływu na niezakwalifikowanie zdarzenia jako incydentu — administrator, dopuszczając możliwość wykorzystania do komunikacji z klientem poczty elektronicznej, powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu e-mail,
  • zwrócenie się do nieuprawnionego odbiorcy o trwałe usunięcie wiadomości nie może stanowić o tym, że ryzyko dla praw i wolności osób, których dane dotyczą, nie jest wysokie — administrator nie ma pewności, że adresat nie wykonał np. kserokopii dokumentów lub też ich nie utrwalił.

Jak wysokiej kary należy się spodziewać?

W teorii naruszenie wspomnianych przepisów podlega karze pieniężnej w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

Oczywiście wysokość nakładanych kar może być w praktyce zróżnicowana, i uzależniona jest od wielu czynników, m.in. od  skali naruszenia, jego wagi i skutków, współpracy administratora z organem czy szybkości usunięcia naruszenia po jego wykryciu.

Jaki z tego wniosek? 

Jeśli zdarzy się, że dojdzie do naruszenia ochrony danych – pamiętajmy o możliwe szybkiej i przemyślanej reakcji. Ważne, aby przedsiębiorcy przykładali odpowiednią wagę do oceny ryzyka wynikającego z incydentu i przestrzegali terminów wynikających z RODO – tak, aby w razie ewentualnej kontroli mieć możliwość wykazania należytej staranności po zaistnieniu naruszenia.

Kary za brak współpracy z Prezesem UODO

Od wejścia w życie RODO w Polsce nałożono już kilkadziesiąt kar finansowych. Spora część z nich wynikała z braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań. 

Zwycięzcą naszego rankingu przepisów RODO sprawiających największe trudności przedsiębiorcom jest zatem art. 58 RODO  i to jego pierwszego poddajemy analizie w świetle praktyki Prezesa UODO. Ale zacznijmy od początku.

Czy tego typu kary są możliwe?

Otóż tak. Prezes UODO jako organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie RODO.  Dla realizacji swoich kompetencji Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 RODO uprawnień, w tym możliwość nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań. Naruszenie wspomnianego przepisu – zgodnie z art. 83 ust. 5 lit e) RODO – podlega administracyjnej karze pieniężnej.

Czy w praktyce są spotykane?

Jak najbardziej. Jak wspomnieliśmy we wstępie artykułu, kary za brak współpracy z Prezesem UODO są jednymi z najczęściej wymierzanych. Do tej pory możemy mówić o ponad dziesięciu takich karach.

Co tak naprawdę oznacza brak współpracy?

W gruncie rzeczy pod tym pojęciem rozumie się każdą opieszałość – czy to wynikającą z braku woli współpracy z organem, czy to z braku odpowiedniego ułożenia procesów uniemożliwiającego terminowe udzielenie wyczerpującej odpowiedzi organowi, czy też zwyczajne niedbalstwo i brak odbioru określonego pisma.

Konkretne przykłady? 

Bardzo proszę:

  1. Anwara (treść decyzji)

Ukarana spółka w związku z postępowaniem administracyjnym prowadzonym w celu  rozpoznania skargi osoby fizycznej, dwukrotnie zignorowała wystosowane do niej pisemne wezwania do złożenia wyjaśnień. Pomimo prawidłowego doręczenia pism spółka nie przedstawiła żadnych przyczyn uzasadniających zaniechanie po jej stronie.

W związku z nieudzieleniem przez spółkę informacji niezbędnych do rozstrzygnięcia sprawy, Prezes UODO wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia na nią kary pieniężnej. Spółka także w tej sprawie nie ustosunkowała się w żaden sposób do ww. korespondencji i nie złożyła wyjaśnień.

  1. Smart Cities (treść decyzji)

Prezes UODO trzykrotnie wezwał spółkę do udzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy. Odpowiedź spółki na pierwsze wezwanie była niepełna (brak wyczerpującej odpowiedzi na żadne z trzech szczegółowych pytań). Kolejnych pism spółka w ogóle nie odebrała. Spółka nie próbowała także usprawiedliwić faktu braku odpowiedzi na dwa wezwania, nie kontaktowała się również z  organem celem zasygnalizowania ewentualnych wątpliwości.

Postępowanie spółki wskazywało w ocenie Prezesa UODO na brak woli współpracy lub na co najmniej rażące lekceważenie swoich obowiązków.

  1. Indywidualny przedsiębiorca prowadzący niepubliczny żłobek i przedszkole (treść decyzji)

Przedsiębiorca zgłosił do Prezesa UODO naruszenia ochrony danych osobowych, polegające na utracie dostępu do danych osobowych przechowywanych w prowadzonym niepublicznym żłobku i przedszkolu.

W związku z brakiem w ww. zgłoszeniu informacji niezbędnych do oceny tego naruszenia, Prezes UODO trzykrotnie skierował wezwania do złożenia stosownych wyjaśnień. Dwa wezwania nie zostały podjęte w terminie, natomiast jedno ukarany podmiot odebrał osobiście. Przedsiębiorca nie udzielił Prezesowi UODO żadnej odpowiedzi na wezwania.

  1. PNP (treść decyzji)

Prezes UODO w celu ustalenia stanu faktycznego sprawy zainicjowanej skargą, trzykrotnie zwrócił się do Spółki z wezwaniem do ustosunkowania się do treści tej skargi oraz do złożenia wyjaśnień. Żadne ze skierowanych do spółki wezwań nie zostało przez spółkę odebrane.

W konsekwencji niepodejmowania korespondencji Prezes UODO nie uzyskał informacji niezbędnych do rozpatrzenia sprawy. Stanu tego nie zmieniło również wszczęcie postępowania w przedmiocie nałożenia na spółkę kary pieniężnej. Pismo informujące o wszczęciu takiego postępowania również nie zostało przez spółkę odebrane.

  1. Główny Geodeta Kraju (treść decyzji)

W trakcie kontroli przestrzegania przepisów RODO nie zapewniono Prezesowi UODO dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, a także nie współpracowano z Prezesem UODO w trakcie tej kontroli.

 

Jak wysokiej kary należy się spodziewać?

W teorii naruszenie wspomnianych przepisów zgodnie z art. 83 ust 5 lit e) RODO podlega karze pieniężnej w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. W praktyce są to kwoty rzędu od kilkunastu do kilkudziesięciu tysięcy złotych (choć bywały i wyższe, w wysokości np. 100.000 zł).

Należy jednak pamiętać, że:

  1. kara za brak współpracy nie kończy postępowania w głównej sprawie, a okoliczności jej otrzymania mogą się wręcz przyczynić do negatywnego rozstrzygnięcia w sprawie dotyczącej naruszenia np. podstaw przetwarzania czy obowiązku informacyjnego. Brak współpracy z organem często będzie oznaczać brak skutecznego wykazania przez administratora przestrzegania przepisów w myśl zasady rozliczalności;
  2. Prezes UODO, ustalając wysokość kary, ma obowiązek prawny zwrócić uwagę w każdym indywidualnym przypadku na stopień współpracy z organem w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  3. wysokość kary ma być proporcjonalna nie tylko do wagi stwierdzonego naruszenia, ale także do możliwości jej poniesienia przez dany podmiot. I w tym przypadku może się pojawić myśl – skoro i tak już jesteśmy opieszali i organ chce nas za to ukarać, to jeśli nie przekażemy  naszych wyników finansowych organ nie będzie w stanie prawidłowo określić wysokości kary. Hmmm… Obeszliśmy system? Nic z tych rzeczy. W przypadku nieprzedstawienia przez dany podmiot żądanych przez Prezesa UODO danych finansowych za konkretny rok, ustalając wysokość kary pieniężnej Prezes UODO może wziąć pod uwagę, na podstawie art. 101a ust. 2 ustawy o ochronie danych osobowych, szacunkową wielkość podmiotu oraz specyfikę, zakres i skalę prowadzonej przez niego działalności. I tak też Prezes UODO działa w praktyce.

Na zakończenie…

… nasz wniosek dla Was. Układajcie procesy i dbajcie o dane osobowe. Dobrze ułożony system oznacza szybką, terminową i wyczerpującą odpowiedź dla organu, która może uchronić nie tylko przed stwierdzeniem naruszenia RODO w obszarze samego przetwarzania, ale także przed karą za brak współpracy.

Kontakt

Masz pytania?zobacz telefon+48 570 913 713
zobacz e-mail

Biuro w Warszawie

03-737 Warszawa

(Centrum Praskie Koneser – Spaces)

pl. Konesera 12 lok. 119

google maps

Biuro we Wrocławiu

53-659 Wrocław

(Quorum D)

Gen. Władysława Sikorskiego 26

google maps

Hej, Userze
czy jesteś już w newsletterze?

    Zobacz jak przetwarzamy Twoje dane osobowe tutaj