Czy każda kontrola Urzędu Ochrony Danych Osobowych kończy się karą finansową RODO?

RODO obowiązuje od 3 lat, jednak widmo kontroli z Urzędu Ochrony Danych Osobowych oraz ogromne kary finansowe za nieprzestrzeganie przepisów w dalszym ciągu krąży nad przedsiębiorcami. Czy faktycznie jest się czego bać?

Kary finansowe RODO

Zasady wymierzania kar zostały jasno ujęte w Ogólnym rozporządzeniu o ochronie danych osobowych RODO. Niemniej jednak jeszcze przed wejściem w życie przepisów zostało to odebrane jako kolejny „bat” na przedsiębiorców, dzięki któremu państwo podreperuje budżet. Oczywiście nie było to i nie jest prawdą, gdyż po pierwsze: przepisy RODO nie są stworzone na potrzeby wyłącznie naszego kraju, a po drugie: po trzech latach ich obowiązywania okazuje się, że Urząd Ochrony Danych Osobowych wcale nie nałożył tak wielu kar.

Niemniej jednak tematyka kar nakładanych przez Prezesa UODO (PUODO) wzbudziła przerażenie. W sieci nagle znalazło się mnóstwo znawców problematyki, który opisywali zasady nakładania kar przez PUODO. W rzeczywistości nie mieli oni nigdy do czynienia z żadną kontrolą, a co dopiero wiedzą odnośnie jak ona jest przeprowadzana.

Wychodząc naprzeciw, poniższy artykuł nie będzie skupiał się na opisywaniu, jakie mogą być przyznane kary pieniężne, ponieważ to wszystko zostało wyjaśnione wprost w przepisach rozporządzenia w art. 83 RODO.  Poza tym, na bieżąco aktualizujemy spis finansowych kar RODO w Europie. W naszym opracowaniu skupimy się na opisaniu kontroli organu. Źródłem niniejszej wiedzy jest osoba, która sama prowadziła postępowania w ramach działalności nadzorczej Urzędu Ochrony Danych Osobowych.

Kiedy Urząd Ochrony Danych Osobowych przeprowadza kontrolę?

Prezes Urzędu Ochrony Danych Osobowych rzadko wszczyna postępowanie przeciwko administratorowi danych osobowych z urzędu. Istnieje taka praktyka, ale jedynie w określonych przypadkach. Często są to tzw. kontrole branżowe. Czyli takie, które zostały określone przez UODO na początku roku i ogłoszone do publicznej wiadomości. W rzeczywistości wygląda to tak, że organ określa plan na dany rok w postaci np. kontroli firm marketingowych czy kancelarii adwokackich. Wtedy wyrywkowo przeprowadzane są kontrole w podmiotach działających w tym zakresie. Nie jest to jednak duża liczba. Zwykle kilka, kilkanaście organizacji w skali całego kraju.

Druga możliwość to postępowanie skargowe. Czyli takie, w którym osoba fizyczna złożyła skargę do UODO na konkretnego administratora w zakresie przetwarzania przez niego, jej danych osobowych. Takie postępowanie odbywa się na podstawie przepisów Kodeksu postępowania administracyjnego, z tym że jest ono jednoinstancyjne. Nie ma więc możliwości odwołania się od decyzji organu w ponownym postępowaniu. Zostaje jedynie skarga do Wojewódzkiego Sądu Administracyjnego. Dlaczego tak? Ponieważ jeszcze za czasów istnienia Generalnego Inspektora Ochrony Danych Osobowych postępowanie dwuetapowe doprowadziło do niewydolności urzędu. Dodatkowo decyzję GIODO ponownie rozpatrywał… GIODO. Rzadko zdarzało się, aby urząd sam podważył swoją decyzję.

W przypadku postępowania skargowego urząd w sposób listowny wzywa administratora danych do złożenia wyjaśnień w sprawie. Pismo zawiera oznaczenie osoby, której dane dotyczą oraz bezpośrednie pytania wynikające ze złożonej skargi. Nie są prawdziwe informacje, że każda skarga wszczyna kontrolę! Podstawowym sposobem załatwienia takiej sprawy są pisma wymieniane pomiędzy stronami.

Zadaniem administratora danych jest odniesienie się do pytań. Jeśli urząd stwierdzi, że wyjaśnienia są wystarczające informuje strony postępowania o zebranym materiale dowodowym potrzebnym do wydania decyzji, a następnie ją wydaje. Jeśli zaś wyjaśnienia i dowody są niewystarczające do wydania decyzji, wtedy ponownie administrator danych wzywany jest do uzupełnienia wyjaśnień.

Kiedy zachodzi ryzyko kontroli z Urzędu Ochrony Danych Osobowych

Należy zauważyć, że Urząd Ochrony Danych Osobowych jest jeden na całą Polską, a jego struktura osobowa nie jest zbytnio rozbudowana. Dlatego dąży się do załatwienia spraw na podstawie samych wyjaśnień. Niemniej jednak w niektórych przypadkach Prezes UODO może podjąć decyzję o kontroli podmiotu, na którego złożono skargę.

Bardzo często dochodzi do sytuacji, w której administratorzy danych nie składają wyjaśnień lub unikają ich złożenia. Organ wzywa ponownie taki podmiot, jednak korespondencja pozostaje bez odpowiedzi. W takiej sytuacji bardzo często pracownik prowadzący postępowanie w danej sprawie występuje z wnioskiem o przeprowadzenie kontroli w tym podmiocie. W większości spraw organizacje po uzyskaniu informacji o możliwej kontroli urzędu, „nagle” przypominają sobie, że otrzymali takie pisma i składają wyjaśnienia w danej sprawie.

Kolejną przesłanką do przeprowadzenia kontroli może być powaga sprawy. Jeśli urząd podejrzewa, iż u danego administratora może dochodzić do łamania przepisów RODO w większym zakresie niż tym określonym w skardze, wtedy często również podejmowane są działania kontrolne. Powyższe dotyczy się w szczególności przypadków wycieków danych w dużych przedsiębiorstwach. Przykładowo osoba złożyła skargę na administratora danych osobowych, a w toku postępowania okazało się, że mogło dojść do wycieku danych wielu osób, nie tylko tej składającej skargę. Wtedy Urząd Ochrony Danych ma prawo podjąć ogólne działania kontrolne.

Prezes UODO może również rozpocząć kontrolę w przypadku uzyskania informacji medialnych o nieprawidłowościach u konkretnego administratora danych osobowych. Bardzo często w portalach branżowych publikowane są informacje dotyczące wycieków danych z jakiegoś podmiotu. Urząd również je analizuje i w miarę potrzeby podejmuje stosowne działania.

Przebieg kontroli z Urzędu Ochrony Danych Osobowych

Kontrolerzy UODO nie są funkcjonariuszami służb specjalnych i jako administratorzy danych nie musimy się obawiać, że zapukają do nas w czasie porannej kawy. Kontrole z urzędu są zazwyczaj zapowiadane, tak aby organizacja miała czas na techniczne umożliwienie jej przeprowadzenia. Zwykle jest to około tygodnia, dwóch przed planowanym terminem.

Kontrola nie ma nic wspólnego z policyjnym przeszukaniem i przewracaniem lokalu „do góry nogami”. Zespół kontrolerów składa się z dwóch-trzech osób: pracownika tzw. informatyki, który sprawdza przetwarzanie danych osobowych w systemach informatycznych. oraz kontrolerów merytorycznych – specjalistów z zakresu regulacji RODO.

Kontroler oczywiście ma prawo wejścia do pomieszczeń, w których przetwarzane są dane osobowe w sposób analogowy, a więc tradycyjny. Taki pracownik UODO zobowiązany jest do oceny zabezpieczeń fizycznych zbiorów danych. Może również zadawać pytania odnośnie sposobów obiegu danych w organizacji.

Czas przeprowadzania kontroli jest, co oczywiste, zależny od wielkości podmiotu, a raczej ilości przetwarzanych przez niego danych. W przypadku kontroli wynikających ze złożonej skargi, kontrola będzie krótsza, ponieważ dotyczy ona danych tylko jednej osoby. W przypadku kontroli urzędowych, ogólnych czas kontroli będzie się proporcjonalnie wydłużał do zakresu ustalonego przez urząd w planach kontrolnych.

Kontrola z Urzędu Ochrony Danych - czy jest się czego bać?


Organizacje powinny mieć świadomość, że kontrole z UODO oraz kary finansowe RODO nakładane przez Prezesa Urzędu Ochrony Danych Osobowych za nieprzestrzeganie przepisów dotyczących danych osobowych mają miejsce. Kontrole jednak zazwyczaj są zapowiadane i poprzedzone korespondencją wyjaśniającą ich okoliczności. Należy jednak pamiętać, że nie taki diabeł straszny, jak go malują. Nie każda kontrola z Urzędu kończy się karą finansową. Administratorzy danych nie powinni bać się Urzędu Ochrony Danych Osobowych, wręcz przeciwnie konieczna jest współpraca z organem.

Wysokość wymierzania kary RODO oraz sposób ich obliczania.


W świetle przepisów RODO kara może być określona w wysokości:
· do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego;
· do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego;
· do 100 000 złotych;
· do 10 000 złotych;

Dość osobliwą kwestią jest problematyka określania wysokości kary w euro. Oczywiście RODO nie jest jedynym aktem prawnym obowiązującym w Polsce, w którym określone zostały kary administracyjne w europejskiej walucie. Zwykle oznacza się kwotę według kursu na 1 stycznia bieżącego roku kalendarzowego. W przypadku kar z RODO nie jest to takie oczywiste. Podczas prac legislacyjnych osoby odpowiedzialne za projekt ustawy o ochronie danych osobowych zaproponowały, aby kurs określany był na dzień 28 stycznia. Dlaczego? Ponieważ jest to data, w której obchodzony jest Europejski Dzień Ochrony Danych Osobowych.

Od czego zależy wysokość kary za naruszenie ochrony danych osobowych?


Kary do 10 milionów euro mogą być nałożone za określony rodzaj naruszenia. Takimi wykroczeniami można nazwać tzw. wykroczenia w zakresie prowadzenia dokumentacji. Dotyczą one nieprawidłowości w zakresie powierzenia przetwarzania danych, niewłaściwe prowadzenie rejestru czynności przetwarzania lub jego brak czy niezgłoszenie naruszenia ochrony danych lub niezawiadomienie o naruszeniu osoby, której dane dotyczą.

Wiadome jest, że wysokość kary zależna jest nie tylko do wykroczenia, ale również lub przede wszystkim od wielkości ukaranego podmiotu. Tak szeroki zakres kar ma na celu dostosowanie przepisów do panujących realiów. Chodzi o to, aby nie było takich niesprawiedliwości, jak w przypadku mandatów za wykroczenia drogowe. Inaczej 500 zł mandatu odczuje osoba zarabiająca najniższą krajową, a inaczej osoba z średniej klasy. W przypadku ochrony danych osobowych kara w wysokości 10 tysięcy złotych dla spółki jawnej będzie dotkliwa, ale dla światowego koncernu ledwie odczuwalna.

Znaczące naruszenie ochrony danych osobowych

Kolejna kwota możliwa do nałożenia została podwojona w stosunku do poprzednio omówionej. Dotyczy ona już znaczących naruszeń. Procedura jej wymierzania może zostać użyta w przypadku sporych naruszeń przepisów o ochronie danych osobowych. Dotyczy ona przetwarzania danych osobowych niezgodnych z zasadami RODO, niedotrzymania warunku wyrażenia zgody na przetwarzanie danych, niedotrzymania warunków przetwarzania szczególnych kategorii danych osobowych (tj. np. danych o stanie zdrowia, wyznaniu, orientacji seksualnej), niedopełnienie obowiązku informacyjnego, czy prawa do sprostowania.

Należy zauważyć, że wymieniony wyżej katalog naruszeń dotyczy po pierwsze świadomych działań administratora danych osobowych, a po drugie bezpośrednio praw osób lub danych szczególnych kategorii. W powyższych przypadkach ciężko mówić o nieświadomości działań administratora ochrony danych lub jego niewiedzy. Wyrażenie zgody czy przetwarzanie danych wrażliwych jest szczególnie chronione przez przepisy ogólnego rozporządzenia, dlatego europejski prawodawca zdecydował się na wyższą kwalifikację naruszeń.

Niższe kary RODO dla administracji publicznej


Podczas przyjmowania przepisów krajowych zdecydowano się na szczególne potraktowanie organów administracji. Maksymalna kara nałożona na organy samorządowe lub rządowe, czy NBP nie może przekroczyć stu tysięcy złotych. Ale czy to ma sens?

Już podczas prac nad przepisami podniosły się głosy, że karanie administracji nie ma sensu. Przecież w zasadzie i tak wszystkie pieniądze wpływające z tytułu nałożonych kar czy te wydane na ich uregulowanie, trafią w ostateczności do jednego wspólnego mianownika – budżetu państwa.

Kara nałożona np. na jakiegoś ministra będzie pochodziła z środków publicznych, po czym trafi do UODO, aby następnie znów trafić do budżetu państwa, a w konsekwencji ponownie do tegoż ministra, ponieważ wykaże on w kolejnym planie budżetowym zapotrzebowanie na wyższe środki pieniężne w celu obsługi urzędu.

Ustawodawca posłużył się dość dziwną konstrukcją, ponieważ nie wyłączył organów administracji z odpowiedzialności finansowej, a zmniejszył maksymalne kwoty kar za naruszenie przepisów.

Nie dobijajmy kultury, czyli symboliczne kary RODO dla instytucji kulturalnych


Należy krótko wspomnieć, że państwowe i samorządowe instytucje kultury, odpowiadają jedynie do wysokości 10 tysięcy złotych. Jest to dobre rozwiązanie, ponieważ nie prowadzą one działalności na znaczących ilości danych osobowych oraz zwykle i tak ich sytuacja finansowa jest nie do pozazdroszczenia. W tym miejscu należy pochwalić prawodawców za zasadne postępowanie.

Czas na zapłacenie kary RODO?


Niestety, ale czasu na zapłacenie kary pieniężnej nie jest zbyt wiele. Ustawodawca określił go na 14 dni od otrzymania decyzji. W przypadku mniejszych, prywatnych przedsiębiorstw jest to trudny do spełnienia termin. W przypadku dużych organizacji, które posiadają zabezpieczone środki pieniężne sytuacja wygląda już lepiej.

Rozwiązaniem może być złożenie skargi do Wojewódzkiego Sądu Administracyjnego. Koszt pozwu jest niewielki, ale czas uzyskany dzięki temu pozwoli na wygospodarowanie środków pieniężnych albo w przypadku korzystnego wyroku, uchylenia decyzji organu. Rozpatrywanie spraw w sądach administracyjnych trwa zwykle około roku, więc jest to czas działający na korzyść ukaranego.