O tym, że w postępowaniu przed Prezesem UODO, milczenie nie jest złotem świadczą wymierzone w ostatnim czasie kary pieniężne.
W ostatnim czasie obserwujemy wzrost kar nakładanych przez Prezesa Urzędu Ochrony Danych Osobowych (dalej Prezes UODO, PUODO) za brak współpracy z organem nadzorczym. W trakcie prowadzonych postępowań kontrolerzy UODO stawiali zarzuty związane z niezapewnieniem przez kontrolowanych administratorów lub podmiotów przetwarzających dostępu do informacji niezbędnych organowi nadzorczemu do realizacji jego zadań lub utrudniania postępowania. Sam urząd przyznaje, że to poważny i częsty problem, z którym zmaga się w trakcie prowadzonych postępowań.
Obowiązek współpracy z Prezesem UODO
RODO przewiduje obowiązek współpracy z Prezesem UODO w trakcie prowadzonego postępowania, tj. zapewnienia dostępu:
- do wszelkich danych osobowych i informacji,
- do pomieszczeń, sprzętu i środków.
Prezes UODO, pod pojęciem braku współpracy, rozumie nie udzielanie odpowiedzi na pisma urzędowe lub utrudnienie wykonywania jego zadań w inny sposób. W ocenie organu nadzorczego takie postępowanie administratorów lub podmiotów przetwarzających, utrudnia kontrolerom z ramienia UODO wykonywanie obowiązków ustawowych oraz może się przyczyniać do nadmiernego wydłużania postępowań, a w efekcie naruszać prawa obywateli do rozpatrzenia spraw związanych z ochroną danych osobowych w rozsądnym terminie.
Jakie kary zostały nałożone przez Prezesa UODO za brak współpracy?
- Kara nałożona na spółkę z Jeleniej Góry w wysokości 15 tys. zł. Kara została nałożona za brak współpracy z organem nadzorczym w transgranicznym postępowaniu dotyczącym naruszenia jego praw do ochrony danych osobowych. Ukarana spółka dwukrotnie nie udzieliła UODO wyjaśnień. Na jedno z wezwań spółka udzieliła odpowiedzi, jednakże wyjaśnienia w niej zawarte były niepełne i wewnętrznie sprzeczne.
- Kara w wysokości 5 tys. zł nałożona na przedsiębiorcę prowadzącego jednoosobową działalność gospodarczą w formie niepublicznego żłobka i przedszkola. Organ nadzorczy trzykrotnie skierował do przedsiębiorcy wezwania do złożenia wyjaśnień w sprawie wniesionego przez niego zgłoszenia dotyczącego naruszenia ochrony danych osobowych.
- Kara dla Głównego Geodety Kraju w wysokości 100 tys. złotych. Kara została nałożona w związku ze stwierdzonym naruszeniem zasady zgodności z prawem przetwarzania danych osobowych oraz udostępnianiem bez podstawy prawnej na portalu GEOPORTAL2 danych osobowych w postaci numerów ksiąg wieczystych pozyskanych z ewidencji gruntów i budynków. GGK udaremnił możliwość zbadania legalności publikowania na GEOPORTAL2 informacji o numerach ksiąg wieczystych. W toku kontroli udostępnił jedynie dokumentację określającą środki organizacyjne zastosowane w celu zapewnienia bezpieczeństwa danych oraz dowody potwierdzające wyznaczenie inspektora ochrony danych.
- Kara dla Burmistrza Aleksandrowa Kujawskiego w wysokości 40 tys. Jednym z powodów nałożenia kary na burmistrza miasta było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane. W trakcie postępowania postawiono również zarzut braku współpracy administratora. PUODO uznał, że administrator w odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego nie odniósł się do wskazanych w nim naruszeń poza kwestią związaną z terminem retencji danych udostępnionych na stronie internetowej BIP.
Cel nałożenia kary za brak współpracy z Prezesem UODO:
- dyscyplinowanie administratorów i podmiotów przetwarzających,
- zapobieganie utrudnianiu lub uniemożliwianiu kontroli, które są traktowane, jako naruszenia o dużej wadze skutkujące wymierzeniem kary,
- zapobieganie lekceważeniu obowiązków związanych ze współpracą z organem, które są traktowane jako naruszenia o dużej wadze skutkujące wymierzeniem kary,
- przeciwdziałanie nadmiernemu wydłużeniu się toczącego postępowania.
Co rzuca się w oczy?
Dla UODO duże znaczenie ma aspekt dobrej współpracy ze strony kontrolowanych podmiotów. Prześledzone powyżej decyzje – dotyczące zarówno podmiotów prywatnych jak i publicznych – wyraźnie wskazują, że lekceważenie, utrudnienie lub uniemożliwianie postępowania jest traktowane bardzo poważnie. Prezes UODO wszczyna wtedy odrębne postępowanie dotyczące ukarania kontrolowanego administratora lub podmiotu przetwarzającego. PUODO w pisemnych motywach rozstrzygnięć wskazuje, że kara ta powinna zdyscyplinować stronę do prawidłowej współpracy z Prezesem UODO, zarówno w dalszym toku trwającego postępowania w sprawie zgłoszenia naruszenia ochrony danych osobowych, jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z jego udziałem przed Prezesem UODO. Kara jest jasnym sygnałem, że lekceważenie obowiązków związanych ze współpracą z organem nadzorczym – w szczególności utrudnianie dostępu do informacji niezbędnych do realizacji jego zadań – stanowi naruszenie o dużej wadze i jako takie podlega sankcjom finansowym.
Jak tłumaczy karanie PUODO?
Kary pieniężne wymierzane za brak współpracy służą dyscyplinowaniu administratorów i podmiotów przetwarzających. Lekceważenie przez kontrolowane podmioty obowiązków związanych ze współpracą z Prezesem UODO prowadzi bowiem do przedłużania prowadzonych przez niego postępowań. W ten sposób utrudniona jest realizacja praw osób, których ochrona danych osobowych jest naruszana.
Co nam pozostaje?
Wbrew obiegowym teoriom warto postawić na dobrą współpracę z organem nadzorczym. Możemy to najłatwiej osiągnąć, gdy terminowo udzielamy wyjaśnień i udzielamy odpowiedzi Prezesowi UODO. Pamiętajmy, że administracyjna kara pieniężna nakładana przez organ nadzorczy, ma charakter zindywidualizowany i zależy od oceny okoliczności konkretnej sprawy. Przy wymierzaniu kary, organ zawsze bierze pod uwagę „stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków” oraz „sposób, w jaki Prezes UODO dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (np. czy sam zgłosił „wyciek danych”).” Dlatego też dobra współpraca z administratorem i np. jednorazowy charakter naruszenia mogą pozwolić uniknąć kary pieniężnej lub zostanie nam udzielone jedynie upomnienie. Nasza pełna współpraca z organem nadzorczym może zostać również potraktowana jako okoliczność łagodząca przy wymiarze kary (por. decyzja w sprawie spółki Morele.net).
Źródła:
Komunikat PUODO z dnia 29.07.2020 r. dostępny na oficjalnej stronie organu pt. „Współpraca z Prezesem UODO i trzy ostatnie kary”. Pełna treść dostępna: https://uodo.gov.pl/pl/138/1622
Art. 31 Rozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO).
Decyzja w sprawie East Power sp. z o.o. z siedzibą w Jeleniej Góry z dnia 10 lipca 2020 r., znak: DKE.561.1.2020. Pełna treść decyzji dostępna: https://uodo.gov.pl/decyzje/DKE.561.1.2020
Decyzja w sprawie przedsiębiorcy prowadzącego przedszkole z dnia 3 czerwca 2020 r., nr DKE.561.2.2020. Pełna treść decyzji dostępna: https://www.uodo.gov.pl/decyzje/DKE.561.2.2020
Decyzja w sprawie Głównego Geodety Kraju z dnia 28 sierpnia 2020 r., nr DKN.5112.13.2020. Pełna treść decyzji dostępna jest tutaj: https://uodo.gov.pl/decyzje/DKN.5112.13.2020
Decyzja w sprawie Aleksandrowa Kujawskiego z dnia 18 października 2019 r., nr ZSPU.421.3.2019. https://uodo.gov.pl/decyzje/ZSPU.421.3.2019
Komunikat PUODO z dnia 4.11.2019 r. dostępny na oficjalnej stronie organu pt. Jak Prezes UODO nakłada administracyjne kary pieniężne?. Pełna treść dostępna: https://uodo.gov.pl/pl/138/1244
Decyzja w sprawie Morele.net sp. z o.o. z siedzibą w Krakowie z dnia 10 września 2019 r., nr ZSPR.421.2.2019
Pełna treść decyzji dostępna: https://uodo.gov.pl/decyzje/ZSPR.421.2.2019