Czy każda kontrola Urzędu Ochrony Danych Osobowych kończy się karą finansową RODO?

RODO obowiązuje od 3 lat, jednak widmo kontroli z Urzędu Ochrony Danych Osobowych oraz ogromne kary finansowe za nieprzestrzeganie przepisów w dalszym ciągu krąży nad przedsiębiorcami. Czy faktycznie jest się czego bać?

Kary finansowe RODO

Zasady wymierzania kar zostały jasno ujęte w Ogólnym rozporządzeniu o ochronie danych osobowych RODO. Niemniej jednak jeszcze przed wejściem w życie przepisów zostało to odebrane jako kolejny „bat” na przedsiębiorców, dzięki któremu państwo podreperuje budżet. Oczywiście nie było to i nie jest prawdą, gdyż po pierwsze: przepisy RODO nie są stworzone na potrzeby wyłącznie naszego kraju, a po drugie: po trzech latach ich obowiązywania okazuje się, że Urząd Ochrony Danych Osobowych wcale nie nałożył tak wielu kar.

Niemniej jednak tematyka kar nakładanych przez Prezesa UODO (PUODO) wzbudziła przerażenie. W sieci nagle znalazło się mnóstwo znawców problematyki, który opisywali zasady nakładania kar przez PUODO. W rzeczywistości nie mieli oni nigdy do czynienia z żadną kontrolą, a co dopiero wiedzą odnośnie jak ona jest przeprowadzana.

Wychodząc naprzeciw, poniższy artykuł nie będzie skupiał się na opisywaniu, jakie mogą być przyznane kary pieniężne, ponieważ to wszystko zostało wyjaśnione wprost w przepisach rozporządzenia w art. 83 RODO.  Poza tym, na bieżąco aktualizujemy spis finansowych kar RODO w Europie. W naszym opracowaniu skupimy się na opisaniu kontroli organu. Źródłem niniejszej wiedzy jest osoba, która sama prowadziła postępowania w ramach działalności nadzorczej Urzędu Ochrony Danych Osobowych.

Kiedy Urząd Ochrony Danych Osobowych przeprowadza kontrole?

Prezes Urzędu Ochrony Danych Osobowych rzadko wszczyna postępowanie przeciwko administratorowi danych osobowych z urzędu. Istnieje taka praktyka, ale jedynie w określonych przypadkach. Często są to tzw. kontrole branżowe. Czyli takie, które zostały określone przez UODO na początku roku i ogłoszone do publicznej wiadomości. W rzeczywistości wygląda to tak, że organ określa plan na dany rok w postaci np. kontroli firm marketingowych czy kancelarii adwokackich. Wtedy wyrywkowo przeprowadzane są kontrole w podmiotach działających w tym zakresie. Nie jest to jednak duża liczba. Zwykle kilka, kilkanaście organizacji w skali całego kraju.

Druga możliwość to postępowanie skargowe. Czyli takie, w którym osoba fizyczna złożyła skargę do UODO na konkretnego administratora w zakresie przetwarzania przez niego, jej danych osobowych. Takie postępowanie odbywa się na podstawie przepisów Kodeksu postępowania administracyjnego, z tym że jest ono jednoinstancyjne. Nie ma więc możliwości odwołania się od decyzji organu w ponownym postępowaniu. Zostaje jedynie skarga do Wojewódzkiego Sądu Administracyjnego. Dlaczego tak? Ponieważ jeszcze za czasów istnienia Generalnego Inspektora Ochrony Danych Osobowych postępowanie dwuetapowe doprowadziło do niewydolności urzędu. Dodatkowo decyzję GIODO ponownie rozpatrywał… GIODO. Rzadko zdarzało się, aby urząd sam podważył swoją decyzję.

W przypadku postępowania skargowego urząd w sposób listowny wzywa administratora danych do złożenia wyjaśnień w sprawie. Pismo zawiera oznaczenie osoby, której dane dotyczą oraz bezpośrednie pytania wynikające ze złożonej skargi. Nie są prawdziwe informacje, że każda skarga wszczyna kontrolę! Podstawowym sposobem załatwienia takiej sprawy są pisma wymieniane pomiędzy stronami.

Zadaniem administratora danych jest odniesienie się do pytań. Jeśli urząd stwierdzi, że wyjaśnienia są wystarczające informuje strony postępowania o zebranym materiale dowodowym potrzebnym do wydania decyzji, a następnie ją wydaje. Jeśli zaś wyjaśnienia i dowody są niewystarczające do wydania decyzji, wtedy ponownie administrator danych wzywany jest do uzupełnienia wyjaśnień.

Kiedy zachodzi ryzyko kontroli z Urzędu Ochrony Danych Osobowych

Należy zauważyć, że Urząd Ochrony Danych Osobowych jest jeden na całą Polską, a jego struktura osobowa nie jest zbytnio rozbudowana. Dlatego dąży się do załatwienia spraw na podstawie samych wyjaśnień. Niemniej jednak w niektórych przypadkach Prezes UODO może podjąć decyzję o kontroli podmiotu, na którego złożono skargę.

Bardzo często dochodzi do sytuacji, w której administratorzy danych nie składają wyjaśnień lub unikają ich złożenia. Organ wzywa ponownie taki podmiot, jednak korespondencja pozostaje bez odpowiedzi. W takiej sytuacji bardzo często pracownik prowadzący postępowanie w danej sprawie występuje z wnioskiem o przeprowadzenie kontroli w tym podmiocie. W większości spraw organizacje po uzyskaniu informacji o możliwej kontroli urzędu, „nagle” przypominają sobie, że otrzymali takie pisma i składają wyjaśnienia w danej sprawie.

Kolejną przesłanką do przeprowadzenia kontroli może być powaga sprawy. Jeśli urząd podejrzewa, iż u danego administratora może dochodzić do łamania przepisów RODO w większym zakresie niż tym określonym w skardze, wtedy często również podejmowane są działania kontrolne. Powyższe dotyczy się w szczególności przypadków wycieków danych w dużych przedsiębiorstwach. Przykładowo osoba złożyła skargę na administratora danych osobowych, a w toku postępowania okazało się, że mogło dojść do wycieku danych wielu osób, nie tylko tej składającej skargę. Wtedy Urząd Ochrony Danych ma prawo podjąć ogólne działania kontrolne.

Prezes UODO może również rozpocząć kontrolę w przypadku uzyskania informacji medialnych o nieprawidłowościach u konkretnego administratora danych osobowych. Bardzo często w portalach branżowych publikowane są informacje dotyczące wycieków danych z jakiegoś podmiotu. Urząd również je analizuje i w miarę potrzeby podejmuje stosowne działania.

Przebieg kontroli z Urzędu Ochrony Danych Osobowych

Kontrolerzy UODO nie są funkcjonariuszami służb specjalnych i jako administratorzy danych nie musimy się obawiać, że zapukają do nas w czasie porannej kawy. Kontrole z urzędu są zazwyczaj zapowiadane, tak aby organizacja miała czas na techniczne umożliwienie jej przeprowadzenia. Zwykle jest to około tygodnia, dwóch przed planowanym terminem.

Kontrola nie ma nic wspólnego z policyjnym przeszukaniem i przewracaniem lokalu „do góry nogami”. Zespół kontrolerów składa się z dwóch-trzech osób: pracownika tzw. informatyki, który sprawdza przetwarzanie danych osobowych w systemach informatycznych. oraz kontrolerów merytorycznych – specjalistów z zakresu regulacji RODO.

Kontroler oczywiście ma prawo wejścia do pomieszczeń, w których przetwarzane są dane osobowe w sposób analogowy, a więc tradycyjny. Taki pracownik UODO zobowiązany jest do oceny zabezpieczeń fizycznych zbiorów danych. Może również zadawać pytania odnośnie sposobów obiegu danych w organizacji.

Czas przeprowadzania kontroli jest, co oczywiste, zależny od wielkości podmiotu, a raczej ilości przetwarzanych przez niego danych. W przypadku kontroli wynikających ze złożonej skargi, kontrola będzie krótsza, ponieważ dotyczy ona danych tylko jednej osoby. W przypadku kontroli urzędowych, ogólnych czas kontroli będzie się proporcjonalnie wydłużał do zakresu ustalonego przez urząd w planach kontrolnych.

Kontrola z Urzędu Ochrony Danych - czy jest się czego bać?

Organizacje powinny mieć świadomość, że kontrole z UODO oraz kary finansowe RODO nakładane przez Prezesa Urzędu Ochrony Danych Osobowych za nieprzestrzeganie przepisów dotyczących danych osobowych mają miejsce. Kontrole jednak zazwyczaj są zapowiadane i poprzedzone korespondencją wyjaśniającą ich okoliczności. Należy jednak pamiętać, że nie taki diabeł straszny, jak go malują. Nie każda kontrola z Urzędu kończy się karą finansową. Administratorzy danych nie powinni bać się Urzędu Ochrony Danych Osobowych, wręcz przeciwnie konieczna jest współpraca z organem.