Kary za brak zawiadomienia osoby, której dane dotyczą – o naruszeniu ochrony danych osobowych

Naruszenia ochrony danych są jedną z okoliczności, które często wiążą się z nałożeniem na przedsiębiorcę kary pieniężnej. Oczywiście każdy z przedsiębiorców powinien podjąć odpowiednie działania, aby uniknąć tzw. incydentu (np. wdrażając odpowiednie środki techniczne i organizacyjne) – warto jednak wiedzieć, jak zachować się jeśli do incydentu już doszło (szczególnie że RODO przewiduje krótkie terminy na reakcję).

Co zrobić w przypadku incydentu? 

Jeśli dojdzie do naruszenia, w pierwszej kolejności należy oczywiście podjąć działania w celu ustalenia jego przyczyn i możliwych konsekwencji oraz zaradzenia naruszeniu, zabezpieczenia danych i zminimalizowania ew. negatywnych skutków incydentu. Obowiązkiem administratora jest też dokumentowanie wszystkich naruszeń – co w praktyce oznacza prowadzenie tzw. rejestru incydentów.

Czasem zdarza się jednak, że ww. działania nie są wystarczające – w niektórych sytuacjach RODO wprowadza obowiązek zgłoszenia incydentu do PUODO oraz zawiadomienia o nim osób, których dane dotyczą (art. 34 RODO).

Kiedy zawiadomić o incydencie osoby, których dane dotyczą?

Zgodnie z art. 34 RODO, zawiadomienie jest konieczne w przypadku, gdy naruszenie ochrony danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

W praktyce w razie zaistnienia incydentu administrator powinien każdorazowo dokonać kompleksowej oceny wpływu zdarzenia na prawa i wolności osób, których dane dotyczą, przeanalizować, czy istnieje ryzyko naruszenia tych wartości oraz czy ryzyko to jest wysokie.

Warto, aby przebieg i wyniki oceny właściwie udokumentować, szczególnie jeśli incydent podlega zgłoszeniu do PUODO, a administrator nie decyduje się na zawiadomienie o nim osób, których dane dotyczą. W praktyce zdarza się, że po zgłoszeniu do PUODO, organ zwraca się do przedsiębiorcy o wyjaśnienie przyczyn braku takiego zawiadomienia.

Jak szybko należy dokonać zawiadomienia? 

O ile w przypadku obowiązku zgłoszenia incydentu do organu RODO określa, że zgłoszenie to powinno nastąpić w ciągu 72 godzin, o tyle w przypadku zawiadomienia osób, których dane dotyczą RODO stanowi jedynie, że obowiązek ten należy zrealizować „bez zbędnej zwłoki”.

Pojęcie to jest bardzo ogólne, a faktyczny czas wymaganej reakcji uzależniony jest np. od takich czynników jak skala naruszenia i liczba osób, które należy zawiadomić. Nie ulega jednak wątpliwości, że przedsiębiorca powinien działać możliwie szybko, aby nie narazić się na zarzut nienależytej realizacji spoczywającego na nim obowiązku.

Czy brak zawiadomienia wiąże się z realnym ryzykiem nałożenia kary?

Tak — organ nałożył już na przedsiębiorców szereg kar za brak zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. Przykładowo:

Naruszenie polegało na nieuprawnionym skopiowaniu danych stu pacjentów z systemu przez byłego pracownika celem wykorzystania ich do marketingu własnych usług i obejmowało takie dane, jak numery PESEL, imiona i nazwiska, imiona rodziców, daty urodzenia, adresy, numery telefonów.

Pomimo uznania ryzyka naruszenia praw i wolności osób dotkniętych incydentem za wysokie, przedsiębiorca nie zawiadomił o naruszeniu ww. osób w sposób należyty – za co PUODO nałożył na niego karę w wysokości 85 588 zł. 

W uzasadnieniu decyzji PUODO stwierdził m.in. że naruszenie poufności wskazanych wyżej danych powoduje wysokie ryzyko dla praw i wolności osób, których te dane dotyczą i wymaga zawiadomienia tych osób o naruszeniu celem poinformowania ich o możliwych negatywnych skutkach naruszenia oraz działaniach, jakie mogą one podjąć w celu zabezpieczenia się przed tymi skutkami.

  • Śląski Uniwersytet Medyczny (decyzja)

PUDO nałożył 25 tys. zł kary na Śląski Uniwersytet Medyczny w związku naruszeniem ochrony danych oraz brakiem zawiadomienia o nim organu i osób, których dotyczyło naruszenie.

Do naruszenia doszło w toku egzaminów prowadzonych online na dedykowanej platformie e-learningowej – po zakończonych egzaminach nagrania z nich były dostępne nie tylko dla osób egzaminowanych, ale i innych osób mających dostęp do systemu i osób z zewnątrz posiadających bezpośredni link.

Ponieważ przed przystąpieniem do egzaminu studenci byli identyfikowani – na nagraniach (poza informacjami o zdawanym przedmiocie i udzielonych odpowiedziach) zarejestrowane mogły być m.in. takie dane jak wizerunek, PESEL, numer dokumentu tożsamości czy albumu, imię i nazwisko, adres zamieszkania, rok studiów, grupa, kierunek studiów.

W ocenie organu ww. naruszenie generowało wysokie ryzyko dla praw lub wolności dotkniętych nim osób (np. niebezpieczeństwo zaciągnięcia na czyjeś dane różnych zobowiązań), przy czym Uniwersytet niewłaściwie ocenił to ryzyko i nie wywiązał się z obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą.

  • Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A (decyzja)

PUODO stwierdził, że spółka naruszyła przepisy RODO poprzez brak zgłoszenia organowi naruszenia oraz brak zawiadomienia o nim osób, których dane dotyczyły – w konsekwencji nakładając na spółkę karę w wysokości 85 588 zł.

Incydent polegał na wysłaniu e-mailem przez agenta ubezpieczeniowego (procesora spółki) polisy ubezpieczeniowej do nieuprawnionego adresata. Załączony dokument zawierał m.in. takie dane jak imiona, nazwiska, adresy zamieszkania, numery PESEL i informacje o przedmiocie ubezpieczenia — doszło więc do naruszenia poufności ww. danych.

Spółka dokonała oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych i na jej podstawie uznała, że incydent nie wymaga zawiadomienia UODO ani osób dotkniętych naruszeniem. Spółka ustaliła też, że naruszenie powstało w wyniku wysłania polisy na błędny adres e-mail, który podał jej sam klient. TUiR Warta S.A. zwróciła się też do nieuprawnionego odbiorcy o trwałe usunięcie otrzymanej wiadomości.

PUODO stwierdził jednak, że:

  • fakt, że do naruszenia doszło w wyniku błędu klienta nie może mieć wpływu na niezakwalifikowanie zdarzenia jako incydentu — administrator, dopuszczając możliwość wykorzystania do komunikacji z klientem poczty elektronicznej, powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu e-mail,
  • zwrócenie się do nieuprawnionego odbiorcy o trwałe usunięcie wiadomości nie może stanowić o tym, że ryzyko dla praw i wolności osób, których dane dotyczą, nie jest wysokie — administrator nie ma pewności, że adresat nie wykonał np. kserokopii dokumentów lub też ich nie utrwalił.

Jak wysokiej kary należy się spodziewać?

W teorii naruszenie wspomnianych przepisów podlega karze pieniężnej w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

Oczywiście wysokość nakładanych kar może być w praktyce zróżnicowana, i uzależniona jest od wielu czynników, m.in. od  skali naruszenia, jego wagi i skutków, współpracy administratora z organem czy szybkości usunięcia naruszenia po jego wykryciu.

Jaki z tego wniosek? 

Jeśli zdarzy się, że dojdzie do naruszenia ochrony danych – pamiętajmy o możliwe szybkiej i przemyślanej reakcji. Ważne, aby przedsiębiorcy przykładali odpowiednią wagę do oceny ryzyka wynikającego z incydentu i przestrzegali terminów wynikających z RODO – tak, aby w razie ewentualnej kontroli mieć możliwość wykazania należytej staranności po zaistnieniu naruszenia.

Kary za brak zgłoszenia naruszenia ochrony danych osobowych

Jak już sygnalizowaliśmy we wcześniejszych wpisach z naszego cyklu, w Polsce od wejścia RODO nałożono kilkadziesiąt kar finansowych. Istotna część z nich była wynikiem naruszenia przez administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. 

Kolejnym uczestnikiem naszego niechlubnego rankingu przepisów RODO sprawiających największe trudności przedsiębiorcom jest więc art. 33 RODO. Poniżej nasze uwagi do niego w świetle dotychczasowej praktyki Prezesa UODO.

Jakie dokładnie obowiązki nakłada art. 33 RODO na administratora danych?

Omawiany przepis jest dość rozbudowany. My skupimy się jedynie na tych elementach, które okazują się najbardziej kłopotliwe w praktyce.

Zgodnie z art.  33 ust. 1 RODO administrator w przypadku stwierdzenia naruszenia ochrony danych osobowych zobowiązany jest dokonać zgłoszenia takiego naruszenia do organu nadzorczego, którym w Polsce jest Prezes UODO. Szczegółowe wytyczne co do treści zgłoszenia zawiera art. 33 ust. 3 RODO.

Warto też przypomnieć, że przez naruszenie ochrony danych osobowych – zgodnie z art. 4 pkt 12 RODO – należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Tak więc właśnie w takich sytuacjach administrator danych zobligowany jest zawiadamiać Prezesa UODO.

Trzeba również pamiętać, że posługiwanie się przy przetwarzaniu osobami trzecimi (procesorami), nie zwalnia administratora z tego obowiązku. Podmiot przetwarzający naruszenie zgłasza administratorowi – w umowie przetwarzania dobrze jest opisać odpowiednią procedurę, która umożliwi administratorowi pełne i terminowe wywiązania się z obowiązku zgłoszenia do Prezesa UODO.

Jak szybko administrator musi dokonać zgłoszenia?

Poprawna odpowiedź na to pytanie jest tylko jedna – zgłoszenie musi być dokonane bez zbędnej zwłoki. Jedynie doprecyzowując w przepisie wskazano, że – w miarę możliwości – ma być ono dokonane nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Przekroczenie terminu 72 godzin nie musi zatem wiązać się automatycznie z naruszeniem omawianego przepisu. Wymaga ono jednak każdorazowo zamieszenia w zgłoszeniu dodatkowych wyjaśnień w zakresie przyczyn opóźnienia.

W przypadku gdy nie mamy od razu wszystkich niezbędnych informacji, to i tak powinniśmy zgłoszenia dokonać. Jeśli bowiem informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki (art. 33 ust. 4 RODO).

Czy każde naruszenie ochrony danych osobowych musi być zgłaszane Prezesowi UODO?

Każda reguła ma swoje wyjątki, tak więc także obowiązek zgłaszania naruszeń organowi nadzorczemu nie ma charakteru absolutnego. Zgłoszenie jest konieczne, chyba że jest mało prawdopodobne, by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jak pokażemy poniżej (i jak wynika z dotychczasowej praktyki Prezesa UODO), to właśnie o ten wyjątek najczęściej potykają się administratorzy danych.

Na czym polegały naruszenia art. 33 RODO, za które karał Prezes UODO?

Analiza decyzji Prezesa UODO pokazuje, że kary pieniężne były do tej pory nakładane zarówno w przypadku zupełnego zaniechania zgłoszenia, jak i też za dokonanie zgłoszenia z opóźnieniem (tj. dopiero po wszczęciu postępowania administracyjnego).

Jakieś przykłady? 

Poniżej najświeższe przypadki nałożenia kary:

  1. Śląski Uniwersytet Medyczny (treść decyzji)

Naruszenie polegało na udostępnieniu nieuprawnionym odbiorcom (na platformie uniwersyteckiej) nagrań z egzaminów, na których widoczne były m.in. wizerunki studentów, ale też dane z ich dokumentów (legitymacji lub dowodów osobistych) okazywanych egzaminatorom.

Prezes UODO o naruszeniu dowiedział się od osób trzecich. Administrator nie kwestionował, iż naruszenie miało miejsce. Nie dokonał jednak zgłoszenia, gdyż po dokonaniu oceny zdarzenia pod kątem prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych uznał, że zachodzi wyjątek od tego obowiązku.

Prezes UODO w postępowaniu wyjaśniającym dał administratorowi szansę na dokonanie ponownej oceny zdarzenia. Administrator podtrzymał jednak swoje dotychczasowe stanowisko.

W dokonanych ocenach administrator powoływał się na wąski krąg osób, które uzyskały nieuprawniony dostęp do danych, wąski zakres ujawnionych danych oraz podjęte działania zaradcze (mające zapobiec podobnym incydentom w przyszłości).

  1. ENEA (treść decyzji)

Naruszenie polegało na wysłaniu przez osobę związaną z ENEA do nieuprawnionego adresata e-maila z niezaszyfrowanym załącznikiem zawierającym dane osobowe (imiona, nazwiska, adresy e-mail, numery telefonów, daty rejestracji w systemie ENEA) kilkuset klientów tej spółki (w tym adresata wiadomości).

Prezes UODO o naruszeniu dowiedział się od osoby, która stała się nieuprawnionym adresatem danych osobowych. Administrator nie kwestionował zdarzenia. Uznał jednak (po dokonaniu oceny zdarzenia pod kątem prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych), że zachodzi wyjątek od obowiązku zgłoszenia.

Prezes UODO w postępowaniu wyjaśniającym zasugerował administratorowi ponowną ocenę incydentu. Administrator podtrzymał jednak swoje dotychczasowe stanowisko. Wskazał, że analizy dokonał w oparciu o wytyczne European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches. Wskazał również, że stosując je, uzyskał wynik ryzyka na poziomie WN < 2, czyli: „Osoby nie zostaną dotknięte naruszeniem lub wywoła ono drobne niedogodności”.

Administrator powołał się na nasypujące okoliczności:

  1. podstawowy charakter udostępnionych danych, tj. danych niedotyczących zachowań (tzw. danych behawioralnych);
  2. ograniczoną możliwość identyfikacji (niewielki krąg odbiorców oraz nieujawnienie  danych ewidencyjnych typu PESEL);
  3. uzyskanie od nieuprawnionego odbiorcy oświadczenia o zachowaniu poufności.
  1. TUiR WARTA (treść decyzji)

Naruszenie polegało  na wysłaniu e-mailem przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla TUiR WARTA, polisy ubezpieczeniowej zawierającej dane osobowe do nieuprawnionego adresata. W wyniku tego doszło do naruszenia poufności danych dwóch osób w zakresie imion, nazwisk, adresów zamieszkania lub korespondencyjnych, numerów PESEL, numerów telefonów, adresów poczty elektronicznej oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy), zakresu ubezpieczenia, płatności, cesji, a także dodatkowych zapisów wynikających z umowy.

Prezes UODO o naruszeniu dowiedział się od osoby trzeciej. Administrator nie kwestionował  zdarzenia. Powołał się jednak na brak konieczności zgłoszenia (w związku z wynikiem dokonanej oceny pod kątem prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych).

Administrator, wyjaśniając dokonaną ocenę, wskazywał na to, że:

  1. klient (podmiot danych osobowych) sam podał błędny adres e-mail, na który został wysłany dokument polisy ubezpieczeniowej;
  2. nieuprawniony odbiorca sam zwrócił się do administratora, a więc można wnioskować, iż jest on świadomy przepisów i wagi informacji, jakie otrzymał i ich nie ujawni.

Prezes UODO w postępowaniu wyjaśniającym dał administratorowi szansę na dokonanie ponownej oceny zdarzenia. Po przeprowadzeniu takiej oceny administrator dokonał zgłoszenia naruszenia ochrony danych osobowych w toku postępowania.

Jakie kary nakładał Prezes UODO za niezgłoszenie naruszenia ochrony danych osobowych?

Dla przypomnienia – Prezes UODO może nałożyć karę pieniężną w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 4 lit a RODO). Tyle w teorii.

Wymierzając karę, organ musi jednak uwzględnić szereg czynników: stopień współpracy z organem, charakter i  waga stwierdzonego naruszenia, czas jego trwania, ewentualna umyślność działania, sposób dowiedzenia się o naruszeniu, liczba poszkodowanych, kategorie danych objętych naruszeniem, możliwości poniesienia kary przez dany podmiot.

W praktyce nałożone kary były zatem dużo niższe niż maksymalne limity. W omawianych przypadkach oscylowały w przedziale od 25.000 zł (Śląski Uniwersytet Medyczny) do blisko 140.000 zł (TUiR WARTA otrzymało karę wynoszącą równowartość 20.000 EUR, zaś ENEA 30.000 EUR).

Warto także pamiętać, że w każdym z tych przypadków administrator – jak to zazwyczaj bywa – naruszył  także inne przepisy RODO i wysokość nałożonej kary uwzględniała także te pozostałe naruszenia.

Co sprawiało administratorom największą trudność?

Zarówno niedokonanie zgłoszenia, jak i jego dokonania z opóźnieniem najczęściej było wynikiem nieprawidłowej oceny prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych na skutek naruszenia ochrony danych osobowych. Administratorzy w sposób nieuprawniony uznawali, że nie zachodzi takie ryzyko lub że jego wystąpienie jest mało prawdopodobne.

Jak zatem uniknąć błędów przy weryfikacji, czy konieczne jest dokonanie zgłoszenia do Prezesa UODO?

Analizując incydent prowadzący do naruszenia ochrony danych osobowych i sprawdzając, czy konieczne jest zgłoszenie do Prezesa UODO, czy też można zastosować wyjątek od tego obowiązku, należny pamiętać o następujących kwestiach (błędach ukaranych dotychczas administratorów), które przewijają się we wszystkich decyzjach Prezesa UODO:

  1. podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia (oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia);
  2. możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować – samo  wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, oznacza obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu (przykładowo – nie jest ważne, czy odbiorca omyłkowo wysłanych danych się z nimi zapoznał – wystarczy, że miał taką możliwość);
  3. należy prawidłowo określić zakres danych objętych naruszeniem – administratorzy   wielokrotnie skupiając się na najbardziej oczywistych danych osobowych, pomijają mnóstwo rodzajów danych, a przez to nieprawidłowo szacują ryzyko naruszenia praw i wolności osób, których dane dotyczą;
  4. z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślnie; to, że naruszenie jest wynikiem błędu osoby trzeciej (nawet jeśli jest to błąd osoby, której dane dotyczą) nie zwalnia administratora z obowiązku dokonania zgłoszenia;
  5. okoliczność, że naruszenie dotyczy niewielkiej liczby osób (czy wręcz jednej osoby), nie przesądza automatycznie, że nie jest wymagane jego zgłoszenie;
  6. dla oceny konieczności dokonania zgłoszenia nieistotne są działania administratora  mające  uniemożliwić powtórzenie zaistniałego naruszenia (te bowiem są podejmowane na przyszłość i w ogóle nie dotyczą ryzyka naruszenia praw i wolności podmiotów danych objętych naruszeniem).

Dobra rada na zakończenie…

Ponieważ prędzej czy później każdemu przydarzy się naruszenie ochrony danych osobowych, konieczna jest dobra procedura, by sprawnie i prawidłowo przeprowadzić ocenę ryzyka i dokonać ewentualnego zgłoszenia. I na sam koniec coś, co – jak mantra – przewija się we wszystkich decyzjach Prezesa UODO dotyczących naruszenia ochrony danych: w przypadku jakichkolwiek wątpliwości należy naruszenie zgłosić, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.

Kary za brak współpracy z Prezesem UODO

Od wejścia w życie RODO w Polsce nałożono już kilkadziesiąt kar finansowych. Spora część z nich wynikała z braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań. 

Zwycięzcą naszego rankingu przepisów RODO sprawiających największe trudności przedsiębiorcom jest zatem art. 58 RODO  i to jego pierwszego poddajemy analizie w świetle praktyki Prezesa UODO. Ale zacznijmy od początku.

Czy tego typu kary są możliwe?

Otóż tak. Prezes UODO jako organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie RODO.  Dla realizacji swoich kompetencji Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 RODO uprawnień, w tym możliwość nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań. Naruszenie wspomnianego przepisu – zgodnie z art. 83 ust. 5 lit e) RODO – podlega administracyjnej karze pieniężnej.

Czy w praktyce są spotykane?

Jak najbardziej. Jak wspomnieliśmy we wstępie artykułu, kary za brak współpracy z Prezesem UODO są jednymi z najczęściej wymierzanych. Do tej pory możemy mówić o ponad dziesięciu takich karach.

Co tak naprawdę oznacza brak współpracy?

W gruncie rzeczy pod tym pojęciem rozumie się każdą opieszałość – czy to wynikającą z braku woli współpracy z organem, czy to z braku odpowiedniego ułożenia procesów uniemożliwiającego terminowe udzielenie wyczerpującej odpowiedzi organowi, czy też zwyczajne niedbalstwo i brak odbioru określonego pisma.

Konkretne przykłady? 

Bardzo proszę:

  1. Anwara (treść decyzji)

Ukarana spółka w związku z postępowaniem administracyjnym prowadzonym w celu  rozpoznania skargi osoby fizycznej, dwukrotnie zignorowała wystosowane do niej pisemne wezwania do złożenia wyjaśnień. Pomimo prawidłowego doręczenia pism spółka nie przedstawiła żadnych przyczyn uzasadniających zaniechanie po jej stronie.

W związku z nieudzieleniem przez spółkę informacji niezbędnych do rozstrzygnięcia sprawy, Prezes UODO wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia na nią kary pieniężnej. Spółka także w tej sprawie nie ustosunkowała się w żaden sposób do ww. korespondencji i nie złożyła wyjaśnień.

  1. Smart Cities (treść decyzji)

Prezes UODO trzykrotnie wezwał spółkę do udzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy. Odpowiedź spółki na pierwsze wezwanie była niepełna (brak wyczerpującej odpowiedzi na żadne z trzech szczegółowych pytań). Kolejnych pism spółka w ogóle nie odebrała. Spółka nie próbowała także usprawiedliwić faktu braku odpowiedzi na dwa wezwania, nie kontaktowała się również z  organem celem zasygnalizowania ewentualnych wątpliwości.

Postępowanie spółki wskazywało w ocenie Prezesa UODO na brak woli współpracy lub na co najmniej rażące lekceważenie swoich obowiązków.

  1. Indywidualny przedsiębiorca prowadzący niepubliczny żłobek i przedszkole (treść decyzji)

Przedsiębiorca zgłosił do Prezesa UODO naruszenia ochrony danych osobowych, polegające na utracie dostępu do danych osobowych przechowywanych w prowadzonym niepublicznym żłobku i przedszkolu.

W związku z brakiem w ww. zgłoszeniu informacji niezbędnych do oceny tego naruszenia, Prezes UODO trzykrotnie skierował wezwania do złożenia stosownych wyjaśnień. Dwa wezwania nie zostały podjęte w terminie, natomiast jedno ukarany podmiot odebrał osobiście. Przedsiębiorca nie udzielił Prezesowi UODO żadnej odpowiedzi na wezwania.

  1. PNP (treść decyzji)

Prezes UODO w celu ustalenia stanu faktycznego sprawy zainicjowanej skargą, trzykrotnie zwrócił się do Spółki z wezwaniem do ustosunkowania się do treści tej skargi oraz do złożenia wyjaśnień. Żadne ze skierowanych do spółki wezwań nie zostało przez spółkę odebrane.

W konsekwencji niepodejmowania korespondencji Prezes UODO nie uzyskał informacji niezbędnych do rozpatrzenia sprawy. Stanu tego nie zmieniło również wszczęcie postępowania w przedmiocie nałożenia na spółkę kary pieniężnej. Pismo informujące o wszczęciu takiego postępowania również nie zostało przez spółkę odebrane.

  1. Główny Geodeta Kraju (treść decyzji)

W trakcie kontroli przestrzegania przepisów RODO nie zapewniono Prezesowi UODO dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań, a także nie współpracowano z Prezesem UODO w trakcie tej kontroli.

 

Jak wysokiej kary należy się spodziewać?

W teorii naruszenie wspomnianych przepisów zgodnie z art. 83 ust 5 lit e) RODO podlega karze pieniężnej w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. W praktyce są to kwoty rzędu od kilkunastu do kilkudziesięciu tysięcy złotych (choć bywały i wyższe, w wysokości np. 100.000 zł).

Należy jednak pamiętać, że:

  1. kara za brak współpracy nie kończy postępowania w głównej sprawie, a okoliczności jej otrzymania mogą się wręcz przyczynić do negatywnego rozstrzygnięcia w sprawie dotyczącej naruszenia np. podstaw przetwarzania czy obowiązku informacyjnego. Brak współpracy z organem często będzie oznaczać brak skutecznego wykazania przez administratora przestrzegania przepisów w myśl zasady rozliczalności;
  2. Prezes UODO, ustalając wysokość kary, ma obowiązek prawny zwrócić uwagę w każdym indywidualnym przypadku na stopień współpracy z organem w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  3. wysokość kary ma być proporcjonalna nie tylko do wagi stwierdzonego naruszenia, ale także do możliwości jej poniesienia przez dany podmiot. I w tym przypadku może się pojawić myśl – skoro i tak już jesteśmy opieszali i organ chce nas za to ukarać, to jeśli nie przekażemy  naszych wyników finansowych organ nie będzie w stanie prawidłowo określić wysokości kary. Hmmm… Obeszliśmy system? Nic z tych rzeczy. W przypadku nieprzedstawienia przez dany podmiot żądanych przez Prezesa UODO danych finansowych za konkretny rok, ustalając wysokość kary pieniężnej Prezes UODO może wziąć pod uwagę, na podstawie art. 101a ust. 2 ustawy o ochronie danych osobowych, szacunkową wielkość podmiotu oraz specyfikę, zakres i skalę prowadzonej przez niego działalności. I tak też Prezes UODO działa w praktyce.

Na zakończenie…

… nasz wniosek dla Was. Układajcie procesy i dbajcie o dane osobowe. Dobrze ułożony system oznacza szybką, terminową i wyczerpującą odpowiedź dla organu, która może uchronić nie tylko przed stwierdzeniem naruszenia RODO w obszarze samego przetwarzania, ale także przed karą za brak współpracy.

Najczęściej łamane przepisy RODO w Polsce – ranking

Kary za nieprzestrzeganie przepisów RODO od początku stanowiły swego rodzaju „straszak” na przedsiębiorców, mający zmotywować ich do odpowiednich zachowań lub wdrożenia niezbędnych standardów. Mimo tego, wciąż znajdują się jednostki i organizacje, które się na nie narażają. Które artykuły RODO najczęściej naruszają polscy przedsiębiorcy? Za naruszenie jakich przepisów PUODO nakłada w swoich decyzjach kary pieniężne?  Zapraszamy na nasz #TOPranking, utworzony na podstawie decyzji PUODO). W kolejnych artykułach przedstawimy naszą subiektywną ocenę nałożonych przez PUODO kar i omówimy bardziej szczegółowo najczęściej naruszane artykuły. 


Obszary naruszeń

W Polsce, od momentu wejścia w życie przepisów RODO, na firmy nałożono   ponad 30 kar finansowych, na łączną kwotę przekraczającą 2,5 miliona euro. Oczywiście nie wszystkie z tych kar zostały później utrzymane w pełnej wysokości przez sąd, ale pokazują one kierunek, w jakim działa PUODO. Jakie przepisy RODO przedsiębiorcy łamią najczęściej? Poniżej zestawienie przepisów najczęściej sprawiających   trudność przedsiębiorcom:

  1. 10 przypadków nałożenia przez PUODO kary art. 58 RODO oraz art. 31 RODO, czyli brak współpracy z PUODO w ramach wykonywania przez niego jego zadań oraz niedostarczenie wszelkich informacji potrzebnych PUODO do realizacji jego zadań. Jest to zwycięzca naszego rankingu i pierwszy temat, który poddamy analizie w ramach naszej serii artykułów;
  2. 9 przypadków nałożenia karyart. 32 RODO, czyli konieczność wdrożenia przez administratora i podmiot przetwarzający odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku;
  3. 9 wydanych przez PUODO decyzji nakładających kary pieniężneart.  5 RODO określający zasady dotyczące przetwarzania danych osobowych, czyli:
  • zgodność z prawem, rzetelność i przejrzystość;
  • ograniczenie celu;
  • minimalizacja danych;
  • prawidłowość;
  • ograniczenie przechowywania;
  • integralność i poufność;
  • rozliczalność;
  1. 9 wydanych przez PUODO decyzji nakładających kary pieniężne- art. 34 RODO obejmujący obowiązek zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych osobowych;
  2. 7 przypadków nałożenia karyart. 33 RODO, czyli obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu;
  3. 5  przypadków nałożenia karyart. 25 RODO dotyczący uwzględniania przez administratora ochrony danych w fazie projektowania oraz domyślna ochrona danych;
  4. 2 przypadki nałożenia karyart. 6 RODO dotyczący zgodności przetwarzania danych osobowych z prawem;
  5. 2 przypadki nałożenia karyart. 24 RODO, dotyczący obowiązków administratora w zakresie wdrażania odpowiednich środków technicznych i organizacyjnych;
  6. 1 przypadek nałożenia kary- art. 14 RODO odnoszący się do pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą;
  7. 1 przypadek nałożenia karyart. 9 RODO dotyczący przetwarzania szczególnych kategorii danych osobowych.

W kolejnych publikacjach szczegółowo omówimy każdy z wymienionych powyżej przepisów i wskażemy, co było przyczyną nałożenia przez PUODO kary administracyjnej.

Brak współdziałania

W pierwszej kolejności zajmiemy się niekwestionowanym zwycięzcą w zakresie ilości naruszeń, czyli art. 31 RODO w połączeniu z art. 58 RODO. Artykuł 31 RODO wskazuje na obowiązek współpracy z organem nadzorczym (PUODO) w ramach wykonywanych przez niego zadań, jaki leży po stronie administratora oraz podmiotu przetwarzającego.  Natomiast artykuł 58 RODO odnosi się do uprawnień organu nadzorczego w ramach prowadzonych postępowań oraz przysługujących mu uprawnień naprawczych i doradczych. PUODO wydał do tej pory aż 10 decyzji nakładających na przedsiębiorców kary pieniężne za brak współdziałania z organem nadzorczym. Kary za naruszenia art. 31 RODO w połączeniu z właściwym przepisem art. 58 RODO otrzymali m. in. Virgin Mobile Polska, Vis Consulting sp. z o. o., Anwara sp. z o.o., PNP S.A. czy też przedsiębiorca prowadzący niepubliczny żłobek i przedszkole. Jak widać, PUODO „rozdaje” kary równo pomiędzy wielkich graczy jak i małych, lokalnych przedsiębiorców.

Przykłady naruszeń

Na czym polega to współdziałanie i w czym leży jego trudność? Jak postępować, by być  w zgodzie z RODO? Poniżej parę przykładów sytuacji, w których PUODO, mający zastrzeżenia do współdziałania przedsiębiorcy, nałożył na niego karę finansową:

  1. Przedsiębiorca przetwarzał dane osobowe podmiotu danych w zakresie imienia, nazwiska, adresu zamieszkania oraz numeru PESEL bez jego wiedzy i zgody. Jednocześnie przedsiębiorca nie ustosunkował się do treści skargi podmiotu danych oraz nie udzielił PUODO odpowiedzi na szczegółowe pytania dotyczące sprawy, takie jak:
  1. kiedy i z jakiego źródła Spółka pozyskała dane osobowe Skarżącego w szczególności w zakresie imienia, nazwiska, adresu zamieszkania i numeru PESEL;
  2. czy doszło do udostępnienia danych osobowych Skarżącego na rzecz innych podmiotów;
  3. czy Skarżący zwrócił się do Spółki z żądaniem spełnienia wobec niego obowiązku informacyjnego oraz;
  4. czy Skarżący zwrócił się do Spółki o usunięcie jego danych osobowych.

W tym przypadku Spółka, która zignorowała wezwania PUODO naraziła się na karę pieniężną w wysokości 21.397 zł.

Link do decyzji: https://uodo.gov.pl/decyzje/DKE.561.16.2020

  1. Spółce zarzucono nieprawidłowości dotyczące przetwarzania danych osobowych. PUODO zadał Spółce szereg pytań dotyczących m. in. podstaw przetwarzania danych oraz zawartych umów powierzenia przetwarzania danych. Co prawda, PUODO uzyskał pisemną odpowiedź, jednakże w ocenie organu była ona niewystarczająca i niepełna. W efekcie braku współpracy z PUODO, w ramach wykonywania przez niego jego zadań oraz niezapewnienie mu  dostępu do danych osobowych i innych informacji, Spółka naraziła się na karę pieniężną w wysokości 12.838,20 zł.

Link do decyzji: https://www.uodo.gov.pl/decyzje/DKE.561.13.2020%20

  1. PUODO zdecydował o konieczności przeprowadzenia u Głównego Geodety Kraju kontroli przetwarzania danych osobowych, w zakresie udostępniania za pośrednictwem portalu GEOPORTAL2 danych osobowych z ewidencji gruntów i budynków. Jednakże Główny Geodeta Kraju odmówił wyrażenia zgody na przeprowadzenie czynności kontrolnych. Z powodu niezapewnienia PUODO (w trakcie kontroli przestrzegania przepisów o ochronie danych osobowych) dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych PUODO do realizacji jego zadań, na Głównego Geodetę Kraju nałożono karę pieniężną w wysokości 100.000 zł.

Link do decyzji: https://uodo.gov.pl/decyzje/DKE.561.3.2020

Wysokość kary  

Na koniec, w ramach przypomnienia, warto wskazać, że PUODO jest uprawniony do nałożenia kary pieniężnej za naruszenie RODO w kontekście art. 31 RODO w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Opisane powyżej kary nałożone na przedsiębiorców za brak współdziałania z organem nadzorczym nie osiągnęły więc co prawda rekordowych wielkości, ale za pewne były odczuwalne. Stąd, kiedy otrzymujemy pismo z PUODO w związku z prowadzonym przez ten organ postępowaniem, nie należy go bagatelizować. Sprawne udzielenie potrzebnych informacji może nie tylko pozwolić na uniknięcie kary za naruszenie art. 31 RODO, ale także doprowadzić do umorzenia toczącego się postępowania lub nakłonienia Organu do nienałożenia kar za inne potencjalne naruszenia, jeśli przedsiębiorca dysponuje odpowiednimi argumentami.

O kolejnych najbardziej popularnych wykroczeniach w obszarze RODO napiszemy wkrótce. Warto śledzić nasze publikacje, by wiedzieć jak uchronić się przed trafieniem do kolejnych edycji rankingu. Jesteśmy również do dyspozycji jeśli jakieś zagadnienia związane z ochroną danych osobowych wymagają u Państwa konsultacji. Zapraszamy do kontaktu!

Kontakt

Masz pytania?zobacz telefon+48 570 913 713
zobacz e-mail

Biuro w Warszawie

03-737 Warszawa

(Centrum Praskie Koneser – Spaces)

pl. Konesera 12 lok. 119

google maps

Biuro we Wrocławiu

53-659 Wrocław

(Quorum D)

Gen. Władysława Sikorskiego 26

google maps

Hej, Userze
czy jesteś już w newsletterze?

    Zobacz jak przetwarzamy Twoje dane osobowe tutaj