Lepiej współpracuj z organem! Analizując kary nałożone przez Prezesa Urzędu Ochrony Danych Osobowych w 2020 r., szczególną uwagę zwraca to, co łączy znakomitą większość z nich. Mianowicie, decyzje w sprawach: Vis Consulting sp. z o.o., podmiotu prowadzący niepubliczny żłobek i przedszkole, East Power sp. z o.o. oraz Głównego Geodety Kraju w znacznej mierze skupiają się na braku współpracy z organem nadzorczym w toku kontroli.
Główny Geodeta na cenzurowanym
Najnowsza z kar administracyjnych ogłoszonych przez UODO dotyczy Głównego Geodety Kraju. Największe emocje w tej sprawie budzi kwota, którą obciążono przywołaną organizację – 100 tysięcy zł. Na pierwszy rzut oka suma nie wydaje się zbyt pokaźna, niemniej należy wziąć pod uwagę, że w świetle przepisów jest to maksymalna wysokość kary, która może być nałożona na podmiot publiczny.
Za co dokładnie upomniany został GGK? Jako czynniki zasługujące na potępienie i karę, w decyzji wskazano niezapewnienie organowi nadzorczemu w trakcie kontroli dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań. Ponadto GGK nie współpracował z Prezesem UODO w trakcie tej kontroli.
Jednym słowem, pracownicy UODO nie mieli fizycznej możliwości dokonania czynności kontrolnych w pełni, gdyż GGK zakwestionował zakres upoważnień kontrolerów, a w efekcie odmówił przeprowadzenia kontroli, m.in. podstawy przetwarzania danych osobowych, źródeł pozyskiwania tych danych, zakresu i rodzaju udostępnianych danych osobowych oraz sposobu i celu tego udostępniania. Nie sposób zaprzeczyć, że to właśnie przytoczone obszary są kluczowe dla dokonania oceny prawidłowości przetwarzania danych przez organizację. Wprawdzie GGK, niezależnie od powyższego zaakceptował możliwość przeprowadzenia kontroli w celu weryfikacji wdrożenia stosownych środków technicznych i organizacyjnych, niemniej ze względu na brak rzeczywistego dostępu kontrolerów do systemów informatycznych GGK oraz braku sposobności dokonania oględzin systemu informatycznego, niemożliwym było ustalenie, czy w instytucji wdrożono odpowiednie środki techniczne w celu zapewnienia bezpieczeństwa danych. W rezultacie dzięki kontroli ustalono jedynie rodzaje środków organizacyjnych zastosowanych dla bezpieczeństwa danych, a także, czy GGK powołał inspektora ochrony danych.
Prezes UODO decyzją w przedmiotowej sprawie podkreśla, że postawę zaprezentowaną przez Głównego Geodetę Kraju należy uznać za godzącą w cały system ochrony danych osobowych, i z tego względu mającą dużą wagę i naganny charakter. Zdaniem organu nadzorczego w zaistniałym stanie faktycznym przesłanką obciążającą jest nadto, że GGK dopuścił się tego naruszenia jako organ publiczny, od którego oczekuje się wyjątkowego i większego niż w przypadku podmiotów prywatnych, zrozumienia i szacunku dla działań podejmowanych przez inne organy w ramach wykonywania spoczywających na nich zadań.
Powyższe wskazuje, że podmioty publiczne w żadnej mierze nie mogą czuć się uprzywilejowane. Wręcz przeciwnie, omawiana decyzja Prezesa UODO dowodzi, że tego typu jednostki obowiązują wyższe jeszcze standardy postępowania, a ich brak podlega surowym sankcjom.
Żłobek i przedszkole także pod ostrzałem
Nie mniej interesująca okazuje się wydana w lipcu decyzja w sprawie jednego z podmiotów prowadzących żłobek i przedszkole. Nałożona na organizację kara – choć relatywnie niewysoka (5 tysięcy złotych) – po raz kolejny dotyczy niezadowalającej kooperacji z organem, mimo że kontrolowany podmiot nie do końca miał wpływ na tok wydarzeń. Otóż jeden z wierzycieli organizacji dokonał wymiany zamków w siedzibie przedszkola i żłobka, w związku z czym właściciel ani pracownicy placówki nie mogli dostać się do budynku, a co za tym idzie utracono dostęp do przechowywanych tam danych osobowych dzieci oraz ich rodziców. Zważywszy na przeszkody w funkcjonowaniu, po zgłoszeniu naruszenia Prezesowi UODO, podmiot trzykrotnie nie podjął przesyłki obejmującej pismo skierowane z Urzędu, a następnie pozostał bierny wobec wezwania do udzielenia przekazania określonych informacji organowi nadzorczemu.
Jednak samo nieudzielenie odpowiedzi nie jest dla organu kluczowym argumentem przemawiającym za nałożeniem kary. Prezes UODO zwraca bowiem uwagę, że przedsiębiorca nie podjął żadnej próby usprawiedliwienia faktu braku jakiejkolwiek reakcji na kierowane pod jego adresem wezwania, co z kolei stanowi rażące lekceważenie obowiązków ciążących na administratorze danych osobowych w odniesieniu do współpracy z organem nadzorczym. Warto w tym miejscu nadto zaznaczyć, że w świetle stanowiska wyrażonego w opisywanej decyzji, odbieranie korespondencji kierowanej do Przedsiębiorcy związanej z działalnością przez niego prowadzoną, stanowi obowiązek, którego należy wymagać od podmiotu prowadzącego działalność gospodarczą, w szczególności, gdy działalność ta obejmuje przetwarzanie danych osobowych dzieci (wymagających szczególnej ochrony,o czym mówi motyw 38 Rozporządzenia 2016/679).
Żadnych wyjątków
Kolejną „ofiarą” unijnych przepisów padł ostatnio East Power sp. z o.o. z Jeleniej Góry. Spółce zarzucono nie tylko nieudzielenie organowi nadzorczemu informacji niezbędnych do rozstrzygnięcia sprawy, ale również uniemożliwienie dokonania kontroli w siedzibie organizacji – najpierw poprzez niestawienie się osób uprawnionych do reprezentowania spółki, a następnie bezpośrednią odmowę jej przeprowadzenia. Organizacja złożyła wyjaśnienia dopiero po dłuższym czasie, w reakcji na zawiadomienie o wszczęciu postępowania. Mimo tego, Prezes UODO uznał to działanie za niewystarczające w świetle braku jakiegokolwiek usprawiedliwienia wcześniejszej bierności, dowodzącej uchybieniu współpracy z organem nadzorczym. Skutkiem powyższego okazała się kara w wysokości 15 tysięcy złotych.
Nie każda sytuacja będzie usprawiedliwieniem
Przywołane sprawy to jeszcze nie koniec. Vis Consulting sp. z o.o. z Katowic udaremniła przeprowadzenie kontroli Prezesowi Urzędu Ochrony Danych Osobowych w dość specyficznych okolicznościach. Po uzyskaniu informacjio planowanej kontroli organu nadzorczego na dwa dni przed rozpoczęciem planowanej kontroli spółka zwróciła się do wynajmującego w celu rozwiązania umowy najmu wykorzystywanego przez nią lokalu. Następnie podmiot dwukrotnie uniemożliwił dokonanie czynności kontrolnych, gdyż w siedzibie spółki nie była obecna żadna osoba uprawniona do reprezentowania organizacji w toku kontroli. Niedługo później doszło do podjęcia uchwały w przedmiocie rozwiązania spółki i podjęcia postępowania likwidacyjnego. Niezależnie od tego, czy przywołane zdarzenia spowodowane były zapowiedzianą kontrolą, czy też miały zgoła inne podłoże, organ uznał, że działania te stanowczo dowodzą braku współpracy Vis Consulting sp. z o.o. z Prezesem Urzędu Ochrony Danych Osobowych, co przyczyniło się do nałożenia kary pieniężnej w wysokości 20 tysięcy złotych.
Ile może Prezes UODO?
W każdej z przytoczonych wyżej decyzji pojawiają się analogiczne zarzuty i odwołania do tożsamych przepisów prawa. Nie sposób zaprzeczyć zatem, że zasady i regulacje te odgrywają niebagatelną rolę z perspektywy organu nadzorczego, a co za tym idzie każdy administrator czy podmiot przetwarzający powinni przyjrzeć się im bliżej.
Przepisem zasadniczym dla przedmiotowej materii jest art. 31 RODO, stanowiący, że Administrator i podmiot przetwarzający oraz – gdy ma to zastosowanie – ich przedstawiciele na żądanie współpracują z organem nadzorczym w ramach wykonywania przez niego swoich działań. Mimo że wskazany artykuł jest krótki oraz – zdawałoby się – wyjątkowo lakoniczny i ogólnikowy, stanowi podstawę do bardzo szerokiej interpretacji i w praktyce do stosowania go w naprawdę szerokim zakresie, z czego nie omieszkał skorzystać Prezes UODO w analizowanych powyżej decyzjach. Przepis ten zestawiany jest najczęściej z art. 58 RODO, który to ustanawia uprawnienia przysługujące każdemu organowi nadzorczemu w zakresie prowadzonych postępowań, które sformułowane zostały szeroko, zaś ich stosowanie ograniczone jest jedynie celem – weryfikacją przestrzegania przepisówo ochronie danych osobowych.
W świetle omawianych decyzji, spośród uprawnień organu nadzorczego warto zwrócić uwagę w szczególności na art. 58 ust. 1 lit. f), stosownie do którego organ może uzyskiwać dostęp do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętów i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego.
Na gruncie prawa polskiego, wspomniane wyżej procedury znalazły miejsce pośród art. 78 – 91 ustawy z 10 maja 2018 r. o ochronie danych osobowych, w rozdziale 9. „Kontrola przestrzegania przepisówo ochronie danych osobowych”. Art. 84 ustawyo ochronie danych osobowych precyzuje treść RODO, wskazując, że kontrolujący ma prawo, m.in. do wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń, wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli, przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych. Zaakcentowania równocześnie wymaga, że z uprawnieniami tymi skorelowane są obowiązki kontrolowanych podmiotów, na których spoczywa powinność umożliwienia organowi nadzorczemu wykonania określonych czynności, czyli przede wszystkim wejścia do pomieszczeń organizacji, uzyskania odpowiednich wyjaśnień oraz zbadania dokumentów i stosowanych zabezpieczeń.
UODO bez sentymentów
Praktyka pokazuje, że niewywiązanie się z obowiązku współpracy z organem nadzorczym implikuje kary pieniężne nakładane na kontrolowane podmioty. Co stoi za wysokością kary? Wobec dyspozycji art. 83 ust. 1 RODO nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Taki też cel przyświecał Prezesowi UODO w rozważanych decyzjach, który w każdym przypadku stawiał tezę, że oznaczona kara pieniężna zdyscyplinuje jej odbiorcę do prawidłowej współpracy z organem nadzorczym w postępowaniach prowadzonych w przyszłości z jego udziałem. W opinii Prezesa omawiane kary mają w zamierzeniu spełnić ponadto funkcję odstraszającą, będąc wyraźnym przekazem zarówno dla ukaranego, jak i dla innych podmiotów funkcjonujących w obrocie, że bagatelizowanie obowiązków dotyczących współpracy z organem nadzorczym jest naruszeniem dużego kalibru i zawsze skutkować będzie sankcjom finansowym.