W ubiegłym roku Polacy wnieśli do Urzędu Ochrony Danych Osobowych ok. 6,4 tys. spraw. Sprawdzenie każdej z nich, o ile spełniono wymogi formalne, rozpoczyna się od kontaktu z administratorem danych i prośbą o przesłanie niezbędnych informacji. Niektórzy z nich wolą udawać, że ich nie ma. Czasem nie odbierają korespondencji, częściej po prostu na nią nie odpowiadają.
– To bardzo zły pomysł na obronę, biorąc pod uwagę całe instrumentarium kar, jakimi dysponuje prezes UODO, oraz ich wysokość – przestrzega Tomasz Osiej, radca prawny i prezes zarządu firmy doradczej Omni Modo.
Firmy, które decydują się na ignorowanie żądań UODO, w zasadzie mogą z góry założyć, że odbije się to na ich kieszeni. Kary finansowe w takich sytuacjach są niemal pewne.
– Trudno liczyć na pobłażliwość prezesa UODO, gdy lekceważy się zarówno organ nadzorczy, przepisy o ochronie danych osobowych, jak i prawa osób, których dane są przetwarzane. Kary pieniężne mają być nie tylko skuteczne i odstraszające, ale i działać prewencyjnie zarówno na ukarany podmiot, jak i na inne – zwraca uwagę Adam Sanocki, rzecznik UODO.
Bez reakcji
Przykładów nie trzeba daleko szukać. Ostatnie dwie kary nałożone przez urząd dotyczą właśnie nie merytorycznych uchybień związanych z ochroną danych, lecz lekceważenia wezwań. Jedna z nich dotyczy spółki Funeda, na którą złożono skargę za bezprawne udostępnianie danych osobowych innych podmiotom. Aby wyjaśnić okoliczności sprawy, UODO dwukrotnie przesyłał do niej pisma, w których zażądał przedstawienia informacji, m.in. na temat podstawy prawnej przetwarzania danych i tego, czy została zawarta umowa ich powierzenia. Odebrano je, ale pozostawiono bez reakcji. Urząd próbował dzwonić na numer podany na stronie internetowej i kontaktować się za pośrednictwem poczty elektronicznej. Bezskutecznie. W tej sytuacji zdecydował się wszcząć postępowanie w sprawie nałożenia kary za brak współpracy. O tym również powiadomił spółkę – znów bez jakiejkolwiek reakcji. Skończyło się nałożeniem kary ok. 23 tys. zł.
– Administratorzy muszą pamiętać, że prezes UODO występuje wobec nich władczo, kontrolując ich działalność. W okresie przedepidemicznym przeprowadzano jeszcze inspekcje na miejscu w jednostkach organizacyjnych kontrolowanego, ale w trwającym stanie epidemii pozostały jedynie wezwania do złożenia pisemnych wyjaśnień i przedstawiania dowodów, na które należy terminowo odpowiadać – zwraca uwagę prof. Grzegorz Sibiga, adwokat i partner w kancelarii Traple, Konarski, Podrecki.
Nieodbieranie urzędowej korespondencji również nie jest dobrą metodą. Przekonała się o tym spółka maklerska PNP SA.
UODO trzykrotnie wysłał pisma na widniejący w Krajowym Rejestrze Sądowym adres; za każdym razem bez odzewu. Wiadomość o oficjalnym wszczęciu postępowania również nie została odebrana. W tej sytuacji urząd zdecydował się nałożyć karę pieniężną za brak współpracy (również ok. 23 tys. zł), do której zobowiązuje RODO. W decyzji podkreślił, że firmy nie zwalnia od odpowiedzialności to, że nie odebrała korespondencji. Nawet w pandemii ma ona obowiązek tak zorganizować pracę, by zapewnić kontakt.
Zły przykład
Takich kar nałożono więcej (patrz: grafika). Ich wysokość wynosi od 5 tys. zł (jednoosobowa działalność gospodarcza) do wspomnianych już 23 tys. zł. Z jednym wyjątkiem – kary nałożonej na głównego geodetę kraju. Tu sytuacja była szczególna – odmówiono zgody na przeprowadzenie czynności kontrolnych. Stąd maksymalna sankcja, jaką można nałożyć na administrację – 100 tys. zł.
– To wyjątkowo rażące zachowanie, zwłaszcza że dopuścił się go podmiot publiczny. Taki organ powinien szczególnie starannie podchodzić do respektowania prawa, kompetencji innych organów. Tymczasem dał zły przykład innym administratorom danych – podkreśla Adam Sanocki.
GGK próbował podważyć tę karę przed sądem administracyjnym. Ten jednak przyznał rację prezesowi UODO. Uzasadnienie nie pozostawia wątpliwości co do oceny sądu.
„Nie do wyobrażenia wręcz w państwie prawa, będącym państwem członkowskim UE, jest uniemożliwianie kontroli, bojkotowanie i kwestionowanie uprawnień prezesa UODO. Organ publiczny, jakim jest GGK, powinien też znać przepisy prawa i wiedzieć o tym, nawet bez konieczności uzyskiwania stosownych dokumentów, jakie uprawnienia posiada prezes UODO i jakie są podstawy prawne jego działań. Jeżeli przepisów tych nie zna GGK i tylko z tej przyczyny kwestionuje kontrolę prezesa UODO, to jak mają zachowywać się obywatele czy indywidualne podmioty, do których kierowana jest kontrola” – można w nim przeczytać (wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 23 lutego 2021 r., sygn. akt II SA/Wa 1746/20).
Nawet więzienie
GGK nie chciał dopuścić do kontroli, bo uznał, że numery ksiąg wieczystych nie stanowią danych osobowych. Sąd uznał, że nie ma to znaczenia – miał obowiązek współpracować. To wskazówka także dla prywatnych firm.
– Potencjalnie kontrolowany może podjąć ryzyko i zająć stanowisko prawne, że z określonych przyczyn nie podlega kontroli, np. że nie przetwarza danych osobowych, nie został zaliczony w RODO do grupy podmiotów kontrolowanych czy też UODO stosuje wobec niego niedozwolone środki kontrolne. Osobiście jednak doradzałbym wówczas – co do zasady – dopuszczenie do kontroli i podnoszenie tych argumentów przed i w jej trakcie, ewentualnie później, podczas sprawy przed sądem administracyjnym. Odmawiając spełnienia żądań UODO, narażamy się nie tylko na administracyjną karę pieniężną, ale także możemy popełnić przestępstwo z art. 108 ust. 1 ustawy o ochronie danych osobowych polegające na udaremnieniu lub utrudnieniu kontroli ochrony danych osobowych – ostrzega prof. Grzegorz Sibiga.
Nie są to tylko teoretyczne rozważania. Jedna z pierwszych spraw dotyczących uniemożliwiania kontroli w spółce Vis Consulting skończyła się orzeczeniem przez sąd grzywny. To najniższa z możliwych kar – najwyższa to dwa lata pozbawienia wolności.
Nawet jeśli firma nie jest w stanie natychmiast odpowiedzieć na wszystkie pytania UODO, to i tak powinna nawiązać współpracę. Już samo rozpoczęcie dialogu może uchronić ją przed karą.
– Zdarzają się też sytuacje, w których z uwagi na skomplikowany charakter sprawy, konieczność jej dokładnego zbadania po stronie administratora lub dużą ilość pytań organu nadzoru, pojawia się prośba o wydłużenie terminu udzielenia odpowiedzi. UODO to doskonale rozumie. Zależy nam przede wszystkim na uzyskaniu dokładnej i rzetelnej informacji, a nie pobieżnej odpowiedzi. Warunkiem jest jednak kontakt ze strony administratora – mówi Adam Sanocki.
Co równie ważne, zachowanie przedsiębiorcy może mieć też wpływ na wynik właściwego postępowania. I to niezależnie od kary za brak współpracy.
– Taka sankcja nie kończy sprawy, jest jedynie specyficzną, bardzo wysoką karą porządkową, podobną do kar dyscyplinujących za niestawiennictwo na rozprawie. Jest to tym ważniejsze, że UODO przychylnym okiem patrzy na zaangażowanych i aktywnych w wyjaśnianiu sprawy administratorów i taka postawa prowadzi do korzystniejszych ocen i decyzji końcowych. A contrario, brak współpracy może zwiększyć końcową odpowiedzialność spółki – uważa Tomasz Osiej.
Kary za brak współpracy z UODO