Kary za brak współpracy z Prezesem UODO

Od wejścia w życie RODO w Polsce nałożono już kilkadziesiąt kar finansowych. Spora część z nich wynikała z braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań. 

Zwycięzcą naszego rankingu przepisów RODO sprawiających największe trudności przedsiębiorcom jest zatem art. 58 RODO  i to jego pierwszego poddajemy analizie w świetle praktyki Prezesa UODO. Ale zacznijmy od początku.

Czy tego typu kary są możliwe?

Otóż tak. Prezes UODO jako organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie RODO.  Dla realizacji swoich kompetencji Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 RODO uprawnień, w tym możliwość nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań. Naruszenie wspomnianego przepisu – zgodnie z art. 83 ust. 5 lit e) RODO – podlega administracyjnej karze pieniężnej.

Czy w praktyce są spotykane?

Jak najbardziej. Jak wspomnieliśmy we wstępie artykułu, kary za brak współpracy z Prezesem UODO są jednymi z najczęściej wymierzanych. Do tej pory możemy mówić o ponad dziesięciu takich karach.

Co tak naprawdę oznacza brak współpracy?

W gruncie rzeczy pod tym pojęciem rozumie się każdą opieszałość – czy to wynikającą z braku woli współpracy z organem, czy to z braku odpowiedniego ułożenia procesów uniemożliwiającego terminowe udzielenie wyczerpującej odpowiedzi organowi, czy też zwyczajne niedbalstwo i brak odbioru określonego pisma.

Konkretne przykłady? 

Bardzo proszę:

1. Anwara (treść decyzji)

Ukarana spółka w związku z postępowaniem administracyjnym prowadzonym w celu  rozpoznania skargi osoby fizycznej, dwukrotnie zignorowała wystosowane do niej pisemne wezwania do złożenia wyjaśnień. Pomimo prawidłowego doręczenia pism spółka nie przedstawiła żadnych przyczyn uzasadniających zaniechanie po jej stronie.

W związku z nieudzieleniem przez spółkę informacji niezbędnych do rozstrzygnięcia sprawy, Prezes UODO wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia na nią kary pieniężnej. Spółka także w tej sprawie nie ustosunkowała się w żaden sposób do ww. korespondencji i nie złożyła wyjaśnień.

2. Smart Cities (treść decyzji)

Prezes UODO trzykrotnie wezwał spółkę do udzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy. Odpowiedź spółki na pierwsze wezwanie była niepełna (brak wyczerpującej odpowiedzi na żadne z trzech szczegółowych pytań). Kolejnych pism spółka w ogóle nie odebrała. Spółka nie próbowała także usprawiedliwić faktu braku odpowiedzi na dwa wezwania, nie kontaktowała się również z  organem celem zasygnalizowania ewentualnych wątpliwości.

Postępowanie spółki wskazywało w ocenie Prezesa UODO na brak woli współpracy lub na co najmniej rażące lekceważenie swoich obowiązków.

3. Indywidualny przedsiębiorca prowadzący niepubliczny żłobek i przedszkole (treść decyzji)

Przedsiębiorca zgłosił do Prezesa UODO naruszenia ochrony danych osobowych, polegające na utracie dostępu do danych osobowych przechowywanych w prowadzonym niepublicznym żłobku i przedszkolu.

W związku z brakiem w ww. zgłoszeniu informacji niezbędnych do oceny tego naruszenia, Prezes UODO trzykrotnie skierował wezwania do złożenia stosownych wyjaśnień. Dwa wezwania nie zostały podjęte w terminie, natomiast jedno ukarany podmiot odebrał osobiście. Przedsiębiorca nie udzielił Prezesowi UODO żadnej odpowiedzi na wezwania.

4. PNP (treść decyzji)

Prezes UODO w celu ustalenia stanu faktycznego sprawy zainicjowanej skargą, trzykrotnie zwrócił się do Spółki z wezwaniem do ustosunkowania się do treści tej skargi oraz do złożenia wyjaśnień. Żadne ze skierowanych do spółki wezwań nie zostało przez spółkę odebrane.

W konsekwencji niepodejmowania korespondencji Prezes UODO nie uzyskał informacji niezbędnych do rozpatrzenia sprawy. Stanu tego nie zmieniło również wszczęcie postępowania w przedmiocie nałożenia na spółkę kary pieniężnej. Pismo informujące o wszczęciu takiego postępowania również nie zostało przez spółkę odebrane.

5. Główny Geodeta Kraju (treść decyzji)

W trakcie kontroli przestrzegania przepisów RODO nie zapewniono Prezesowi UODO dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, a także nie współpracowano z Prezesem UODO w trakcie tej kontroli.

Jak wysokiej kary należy się spodziewać?

W teorii naruszenie wspomnianych przepisów zgodnie z art. 83 ust 5 lit e) RODO podlega karze pieniężnej w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. W praktyce są to kwoty rzędu od kilkunastu do kilkudziesięciu tysięcy złotych (choć bywały i wyższe, w wysokości np. 100.000 zł).

Należy jednak pamiętać, że:

1. kara za brak współpracy nie kończy postępowania w głównej sprawie, a okoliczności jej otrzymania mogą się wręcz przyczynić do negatywnego rozstrzygnięcia w sprawie dotyczącej naruszenia np. podstaw przetwarzania czy obowiązku informacyjnego. Brak współpracy z organem często będzie oznaczać brak skutecznego wykazania przez administratora przestrzegania przepisów w myśl zasady rozliczalności;
2. Prezes UODO, ustalając wysokość kary, ma obowiązek prawny zwrócić uwagę w każdym indywidualnym przypadku na stopień współpracy z organem w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
3. wysokość kary ma być proporcjonalna nie tylko do wagi stwierdzonego naruszenia, ale także do możliwości jej poniesienia przez dany podmiot. I w tym przypadku może się pojawić myśl – skoro i tak już jesteśmy opieszali i organ chce nas za to ukarać, to jeśli nie przekażemy  naszych wyników finansowych organ nie będzie w stanie prawidłowo określić wysokości kary. Hmmm… Obeszliśmy system? Nic z tych rzeczy. W przypadku nieprzedstawienia przez dany podmiot żądanych przez Prezesa UODO danych finansowych za konkretny rok, ustalając wysokość kary pieniężnej Prezes UODO może wziąć pod uwagę, na podstawie art. 101a ust. 2 ustawy o ochronie danych osobowych, szacunkową wielkość podmiotu oraz specyfikę, zakres i skalę prowadzonej przez niego działalności. I tak też Prezes UODO działa w praktyce.

Na zakończenie…

… nasz wniosek dla Was. Układajcie procesy i dbajcie o dane osobowe. Dobrze ułożony system oznacza szybką, terminową i wyczerpującą odpowiedź dla organu, która może uchronić nie tylko przed stwierdzeniem naruszenia RODO w obszarze samego przetwarzania, ale także przed karą za brak współpracy.