30 lip Współpraca z organem się opłaca – kolejne kary Prezesa UODO
Od początku obowiązywania RODO, Prezes UODO wydał już 10 decyzji nakładających administracyjne kary pieniężne na podmioty z różnych sektorów – 4 z nich dotyczą braku współpracy z organem nadzorczym. To dotychczas najbardziej powtarzalne naruszenie ze strony administratorów danych, choć nie dotyczy ono bezpośrednio kwestii przetwarzania danych osobowych.
Dla administratorów danych oznacza to, że liczą się nie tylko odpowiednio wdrożone procedury i praktyki, ale także sposób prowadzenia komunikacji z organem i chęć współpracy w ramach prowadzonych postępowań.
Obowiązek współpracy z organem
Administrator i podmiot przetwarzający (a gdy ma to zastosowanie – również ich przedstawiciele), na żądanie, mają obowiązek współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań, na co wskazuje art. 31 RODO.
Organ nadzorczy, prowadząc postępowania, ma zagwarantowany szeroki dostęp do zbiorów administratora, podmiotów przetwarzających i ich przedstawicieli. Podmiot, u którego prowadzona jest kontrola powinien udostępniać na żądanie organu nadzorczego wszelkie informacje, dokumentację oraz miejsca, w których odbywają się procesy przetwarzania danych osobowych w jego organizacji. Zobowiązany jest również do zapewnienia dostępu do danych osobowych i informacji koniecznych do realizacji zadań Prezesa UODO.
Prezes UODO zwraca szczególną uwagę właśnie na aspekt współpracy z nim, co potwierdzają wydane decyzje. Jednocześnie pokazują one, że kary za brak współpracy mogą zostać nałożone przy okazji różnych stanów faktycznych. W jednym przypadku było to związane ze zgłoszeniem incydentu naruszenia ochrony danych osobowych, w innym kara nałożona została w ramach prowadzonego postępowania wyjaśniającego (jeszcze bez decyzji merytorycznej).
Pierwsze kary Presesa UODO
Pierwsza kara za brak współpracy została nałożona przez Prezesa UODO na spółkę związaną z branżą telemarketingową. Dotyczyła uniemożliwienia przeprowadzenia kontroli – decyzję o jej przeprowadzeniu organ nadzorczy podjął w związku z ustaleniami dokonanymi w ramach innej przeprowadzonej kontroli u podmiotu z tej samej branży, z którą spółka współpracowała. Chcąc dokonać zapowiadanego wcześniej przeglądu, przedstawiciele UODO nie zastali nikogo w siedzibie ukaranej spółki, a dodatkowo uzyskali informację od jej pełnomocnika, że kontrola się nie odbędzie. Sytuacja powtórzyła się kilkukrotnie, wobec czego Prezes UODO zdecydował o nałożeniu kary.
W porównaniu do innych nałożonych przez Prezesa UODO kar, ta nie wywołała dużego zainteresowania, bo nie dotyczyła wprost merytorycznych uchybień w przetwarzaniu danych osobowych. Nie minął jednak długi czas, a Prezes UODO nałożył w krótkim odstępie kolejne trzy kary za brak współpracy w następstwie przeprowadzanych kontroli u podmiotów z różnych branż.
Kolejną karę w wysokości 15 tys. zł Prezes UODO nałożył na spółkę zajmującą się pośrednictwem pracy na terenie Polski i Niemiec. Organ nadzorczy uznał, że spółka nie zapewniła mu dostępu do danych osobowych oraz innych potrzebnych informacji do realizacji jego zadań.
W ramach prowadzonego postępowania spółka została trzykrotnie zobowiązana przez Prezesa UODO do złożenia wyjaśnień – odpowiedziała tylko raz, a wyjaśnienia zawarte w przesłanej odpowiedzi były niekompletne i wewnętrznie sprzeczne. Co więcej, ukarana spółka w żaden sposób nie próbowała też usprawiedliwić braku jakiejkolwiek odpowiedzi na poprzednie wezwania do złożenia wyjaśnień, pomimo że była pouczona o tym, że brak odpowiedzi na wezwania Prezesa UODO może wiązać się z nałożeniem administracyjnej kary pieniężnej. Warto podkreślić, że spółka nie kontaktowała się również z UODO, by zasygnalizować ewentualne wątpliwości co do zakresu koniecznych informacji do złożenia wyjaśnień.
Prezes UODO uznał, że złożone przez spółkę wyjaśnienia nie pozwoliły na pełne ustalenie stanu faktycznego, a jej działanie pokazuje lekceważący stosunek do prowadzonego postępowania.
W uzasadnieniu decyzji o nałożeniu kary na spółkę wskazano na niski stopień współpracy, umyślny charakter naruszenia oraz jego wagę i czas trwania.
Współpraca ważna także przy zgłaszaniu incydentów
Następna kara została nałożona na podmiot prowadzący żłobek i przedszkole. W wyniku utraty dostępu do danych osobowych, które były przechowywane w placówce, administrator danych zgłosił do Prezesa UODO wystąpienie naruszenia ochrony danych osobowych. Zgłoszenie zostało dokonane z pominięciem istotnych informacji, które były niezbędne do oceny tego naruszenia i związanych z nim ryzyk. Wobec tego, Prezes UODO trzykrotnie skierował do przedsiębiorcy prośbę o uzupełnienie informacji oraz złożenie wyjaśnień. Niestety na żadną z nich podmiot nie odpowiedział, mimo faktu, że to on sam pierwotnie dokonał zgłoszenia naruszenia ochrony danych osobowych. W związku z tym, Prezes UODO zdecydował o nałożeniu administracyjnej kary pieniężnej w wysokości 5 tys. zł.
Jak widać, Prezes UODO dokonując oceny współpracy bierze pod uwagę nie tylko jakość i kompletność złożonego zgłoszenia, ale także poziom reakcji na dodatkowe pytania, które ma on prawo zadać przy każdej sprawie. Dobrze prowadzona komunikacja oraz wyjaśnianie wszelkich wątpliwości organowi mogą uchronić firmę przed przykrymi konsekwencjami.
Najwyższa kara za brak współpracy
Najnowsza kara, która została nałożona na organ publiczny okazała się być najwyżej nałożoną karą za brak współpracy z Prezesem UODO.
W związku z faktem, że Główny Geodeta Kraju przetwarza dane osobowe pochodzące z powiatowych ewidencji gruntów i budynków – organ nadzorczy zdecydował o przeprowadzeniu kontroli w sprawie stosowania przepisów RODO. Pomimo pisemnego poinformowania GGK o terminie i zakresie planowanej kontroli, ten uniemożliwił przeprowadzenie jej w pełnym zakresie. Powołał się na argument, że planowana kontrola miała dotyczyć numerów ksiąg wieczystych, co zgodnie z przepisami ustawy Prawo geodezyjne i kartograficznie, nie stanowi danych osobowych.
Warto na marginesie podkreślić, że Prezes UODO miał inne zdanie w tym zakresie. W jego ocenie dane osobowe nie tylko bezpośrednio identyfikują daną osobę, ale pozwalają także na identyfikację
w pośredni sposób, chociażby za pośrednictwem powszechnie dostępnych ksiąg wieczystych, dzięki którym można pozyskać podstawowe informacje o właścicielu danej nieruchomości.
Mimo to, GGK nie wyraził zgody na przeprowadzenie kontroli (w tym na udostępnienie pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych). Uniemożliwiło to ustalenie, czy wdrożył on odpowiednie środki techniczne w celu zabezpieczenia przetwarzanych danych. W związku z tym Prezes UODO nałożył na niego karę za brak współpracy w wysokości 100 tys. zł.
Dyscyplina względem administratorów i podmiotów przetwarzających
Ostatnie działania Prezesa UODO potwierdzają, że przedsiębiorcy muszą mieć na uwadze, iż zgodnie z przepisami RODO ich obowiązkiem jest podejmowanie współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań. Dlatego warto na bieżąco reagować i odpowiadać na zapytania, angażować do tego Inspektora Ochrony Danych, a także, w przypadku jakichkolwiek wątpliwości, korzystać z pomocy prawników specjalizujących się w zakresie ochrony danych osobowych.
Widać, że ze względu na powtarzające się naruszenia w tym zakresie Prezes UODO wziąć sobie do serca edukacje przedsiębiorców i przygotował krótki materiał filmowy dostępny TUTAJ, w którym wyjaśnia także powody nałożonych kar na poszczególne podmioty.
