Kary za brak współpracy z Prezesem UODO
5 kwietnia 2022 / Jacek Cieśliński / Artykuły
Od wejścia w życie RODO w Polsce nałożono już kilkadziesiąt kar finansowych. Spora część z nich wynikała z braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań.
Zwycięzcą naszego rankingu przepisów RODO sprawiających największe trudności przedsiębiorcom jest zatem art. 58 RODO i to jego pierwszego poddajemy analizie w świetle praktyki Prezesa UODO. Ale zacznijmy od początku.
Czy tego typu kary są możliwe?
Otóż tak. Prezes UODO jako organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie RODO. Dla realizacji swoich kompetencji Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 RODO uprawnień, w tym możliwość nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań. Naruszenie wspomnianego przepisu – zgodnie z art. 83 ust. 5 lit e) RODO – podlega administracyjnej karze pieniężnej.
Czy w praktyce są spotykane?
Jak najbardziej. Jak wspomnieliśmy we wstępie artykułu, kary za brak współpracy z Prezesem UODO są jednymi z najczęściej wymierzanych. Do tej pory możemy mówić o ponad dziesięciu takich karach.
Co tak naprawdę oznacza brak współpracy?
W gruncie rzeczy pod tym pojęciem rozumie się każdą opieszałość – czy to wynikającą z braku woli współpracy z organem, czy to z braku odpowiedniego ułożenia procesów uniemożliwiającego terminowe udzielenie wyczerpującej odpowiedzi organowi, czy też zwyczajne niedbalstwo i brak odbioru określonego pisma.
Konkretne przykłady?
Bardzo proszę:
- Anwara (treść decyzji)
Ukarana spółka w związku z postępowaniem administracyjnym prowadzonym w celu rozpoznania skargi osoby fizycznej, dwukrotnie zignorowała wystosowane do niej pisemne wezwania do złożenia wyjaśnień. Pomimo prawidłowego doręczenia pism spółka nie przedstawiła żadnych przyczyn uzasadniających zaniechanie po jej stronie.
W związku z nieudzieleniem przez spółkę informacji niezbędnych do rozstrzygnięcia sprawy, Prezes UODO wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia na nią kary pieniężnej. Spółka także w tej sprawie nie ustosunkowała się w żaden sposób do ww. korespondencji i nie złożyła wyjaśnień.
- Smart Cities (treść decyzji)
Prezes UODO trzykrotnie wezwał spółkę do udzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy. Odpowiedź spółki na pierwsze wezwanie była niepełna (brak wyczerpującej odpowiedzi na żadne z trzech szczegółowych pytań). Kolejnych pism spółka w ogóle nie odebrała. Spółka nie próbowała także usprawiedliwić faktu braku odpowiedzi na dwa wezwania, nie kontaktowała się również z organem celem zasygnalizowania ewentualnych wątpliwości.
Postępowanie spółki wskazywało w ocenie Prezesa UODO na brak woli współpracy lub na co najmniej rażące lekceważenie swoich obowiązków.
- Indywidualny przedsiębiorca prowadzący niepubliczny żłobek i przedszkole (treść decyzji)
Przedsiębiorca zgłosił do Prezesa UODO naruszenia ochrony danych osobowych, polegające na utracie dostępu do danych osobowych przechowywanych w prowadzonym niepublicznym żłobku i przedszkolu.
W związku z brakiem w ww. zgłoszeniu informacji niezbędnych do oceny tego naruszenia, Prezes UODO trzykrotnie skierował wezwania do złożenia stosownych wyjaśnień. Dwa wezwania nie zostały podjęte w terminie, natomiast jedno ukarany podmiot odebrał osobiście. Przedsiębiorca nie udzielił Prezesowi UODO żadnej odpowiedzi na wezwania.
- PNP (treść decyzji)
Prezes UODO w celu ustalenia stanu faktycznego sprawy zainicjowanej skargą, trzykrotnie zwrócił się do Spółki z wezwaniem do ustosunkowania się do treści tej skargi oraz do złożenia wyjaśnień. Żadne ze skierowanych do spółki wezwań nie zostało przez spółkę odebrane.
W konsekwencji niepodejmowania korespondencji Prezes UODO nie uzyskał informacji niezbędnych do rozpatrzenia sprawy. Stanu tego nie zmieniło również wszczęcie postępowania w przedmiocie nałożenia na spółkę kary pieniężnej. Pismo informujące o wszczęciu takiego postępowania również nie zostało przez spółkę odebrane.
- Główny Geodeta Kraju (treść decyzji)
W trakcie kontroli przestrzegania przepisów RODO nie zapewniono Prezesowi UODO dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, a także nie współpracowano z Prezesem UODO w trakcie tej kontroli.
Jak wysokiej kary należy się spodziewać?
W teorii naruszenie wspomnianych przepisów zgodnie z art. 83 ust 5 lit e) RODO podlega karze pieniężnej w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. W praktyce są to kwoty rzędu od kilkunastu do kilkudziesięciu tysięcy złotych (choć bywały i wyższe, w wysokości np. 100.000 zł).
Należy jednak pamiętać, że:
- kara za brak współpracy nie kończy postępowania w głównej sprawie, a okoliczności jej otrzymania mogą się wręcz przyczynić do negatywnego rozstrzygnięcia w sprawie dotyczącej naruszenia np. podstaw przetwarzania czy obowiązku informacyjnego. Brak współpracy z organem często będzie oznaczać brak skutecznego wykazania przez administratora przestrzegania przepisów w myśl zasady rozliczalności;
- Prezes UODO, ustalając wysokość kary, ma obowiązek prawny zwrócić uwagę w każdym indywidualnym przypadku na stopień współpracy z organem w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
- wysokość kary ma być proporcjonalna nie tylko do wagi stwierdzonego naruszenia, ale także do możliwości jej poniesienia przez dany podmiot. I w tym przypadku może się pojawić myśl – skoro i tak już jesteśmy opieszali i organ chce nas za to ukarać, to jeśli nie przekażemy naszych wyników finansowych organ nie będzie w stanie prawidłowo określić wysokości kary. Hmmm… Obeszliśmy system? Nic z tych rzeczy. W przypadku nieprzedstawienia przez dany podmiot żądanych przez Prezesa UODO danych finansowych za konkretny rok, ustalając wysokość kary pieniężnej Prezes UODO może wziąć pod uwagę, na podstawie art. 101a ust. 2 ustawy o ochronie danych osobowych, szacunkową wielkość podmiotu oraz specyfikę, zakres i skalę prowadzonej przez niego działalności. I tak też Prezes UODO działa w praktyce.
Na zakończenie…
… nasz wniosek dla Was. Układajcie procesy i dbajcie o dane osobowe. Dobrze ułożony system oznacza szybką, terminową i wyczerpującą odpowiedź dla organu, która może uchronić nie tylko przed stwierdzeniem naruszenia RODO w obszarze samego przetwarzania, ale także przed karą za brak współpracy.
Potrzebujesz pomocy w tym temacie?
Napisz do naszego eksperta
Artykuły z tej kategorii
Czy potrafimy zadbać o bezpieczeństwo swoich danych w modelach LLM (AI) takich jak ChatGPT?
Czy potrafimy zadbać o bezpieczeństwo swoich danych w modelach LLM (AI) takich jak ChatGPT?Cyber Monday – jak nie dać się oszukać? Cyberbezpieczeństwo klientów e-commerce
Cyber Monday – jak nie dać się oszukać? Cyberbezpieczeństwo klientów e-commerceSuno AI. Szanse i zagrożenia muzyki generowanej przez AI z perspektywy prawnej
Suno AI. Szanse i zagrożenia muzyki generowanej przez AI z perspektywy prawnejdr Wojciech Lamik nominowany w konkursie Rising Stars 2024
dr Wojciech Lamik nominowany w konkursie Rising Stars 2024