19 mar Kary od UODO – czego możemy się spodziewać?

W ostatnich miesiącach w mediach głośno było na temat pierwszych kar, nakładanych przez unijne organy nadzorcze ds. ochrony danych osobowych. Polski Urząd jak dotąd nie wymierzył nikomu kary na podstawie przepisów rozporządzenia, które obowiązują od maja ubiegłego roku. Czy dotychczasowe sankcje u naszych zachodnich sąsiadów będą miały odzwierciedlenie w karach, jakie w przyszłości może nałożyć Prezes UODO?

Nie tylko Google

Najgłośniejszą z dotychczasowych kar była z pewnością ta dla Google w wysokości 50 milionów euro (o której szerzej pisaliśmy w naszym newsletterze). Francuski organ nałożył ją m.in. za naruszenie obowiązków dotyczących przejrzystości w informowaniu użytkowników o przetwarzaniu ich danych.

Pomimo tego, że kara dla internetowego potentata może być medialnie najbardziej interesująca, to przedsiębiorcy powinni uważnie śledzić również inne postępowania, słabiej nagłośnione, ale równie istotne pod kątem codziennych procesów przetwarzania przez nich danych.

Sankcje milionowe? Nie zawsze

Wśród spraw, które mogłyby wzbudzić zainteresowanie polskich przedsiębiorców jest na pewno kara w wysokości 4.800 euro wymierzona przez austriacki organ lokalnej firmie za objęcie dużej części sąsiedniego chodnika monitoringiem, bez odpowiedniego oznaczenia. Organ uznał ponadto takie działanie za monitorowanie przestrzeni publicznej na dużą skalę.

W ostatnim czasie, również w kontekście monitorowania, francuski organ nadzorczy wydał prywatnej szkole nakaz wprowadzenia zmian w stosowanym przez nią systemie monitoringu wizyjnego. Obowiązek informowania osób objętych monitoringiem nie został dochowany, a kamery nagrywały również obszary służące wypoczynkowi studentów, m.in. kawiarnię.

Przypadki przetwarzania, które analizowały organy we Francji i Austrii nie wydają się wyjątkowe, a naruszenia z którymi się spotkały mogą być zidentyfikowane również w polskich realiach. Nietrudno wyobrazić sobie podobny kontekst przetwarzania danych z monitoringu wizyjnego wśród przedsiębiorców na polskim rynku.

Najprostsza droga do kar – kontrole sektorowe

Prezes UODO zapowiedział kontynuowanie kontroli dotyczących monitoringu w ramach planowanych na 2019 rok kontroli sektorowych. W związku ze zmianą przepisów kodeksu pracy dotyczących monitorowania pracowników w bieżącym roku, Urząd skieruje swoją uwagę w szczególności w stronę pracodawców monitorujących pracowników.

Jak pokazują zagraniczne przypadki, nakładane kary nie muszą być wysokie, ale proporcjonalne do naruszeń. Nie należy oczekiwać, że wobec przedsiębiorcy o rocznym obrocie nieprzekraczającym 50 tysięcy euro zostanie wymierzona kara administracyjna w maksymalnej wysokości 20 milionów euro.

Nakładając karę organ bierze pod uwagę każdy indywidualny przypadek i wobec małego przedsiębiorcy kary rzędu kilku tysięcy złotych mogą okazać się skuteczne i odstraszające. Jednocześnie mogą stanowić dla firmy istotne obciążenie wobec skali prowadzonej działalności.

Drugi ze wspomnianych zagranicznych przypadków przypomina, że zamiast kary pieniężnej organ może zastosować inne środki, w szczególności wydać ostrzeżenie dotyczące możliwości naruszenia przepisów przez planowane operacje przetwarzania, udzielić upomnienia czy – jak w opisywanej francuskiej sprawie –  nakazać dostosowanie działalności do przepisów o ochronie danych osobowych.

Duże zróżnicowanie wysokości dotychczas nakładanych kar pokazuje, jak ważny jest kontekst przetwarzania i kompleksowa ocena indywidualnego przypadku.

Na bieżąco monitorujemy zmiany w polskich i europejskich przepisach dotyczących ochrony danych osobowych oraz praktykę organów nadzorczych. Zapraszamy na pozostałe artykuły z cyklu #RODOponiedziałki na naszym blogu.