Kiedy UODO nakłada kary? I jak ich uniknąć? [PRZYKŁADY]


Kiedy doszło do wycieku danych osobowych, lepiej współpracować z UODO
Kiedy doszło do wycieku danych osobowych, lepiej współpracować z UODO

Przed wieloma karami nakładanymi przez Urząd Ochrony Danych Osobowych (UODO) można się ustrzec współpracując z organem nadzorczym. Oto kilka przykładów często popełnianych błędów administratorów danych, i wnioski, które przydadzą się także placówkom medycznym.

Pobierz bezpłatny raport “Bezpieczeństwo danych i RODO w placówkach ochrony zdrowia”

UODO ma wiele uprawnień, w tym prawo do uzyskania od administratora i podmiotu przetwarzającego dostępu do danych osobowych i niezbędnych dla niego informacji, uzyskania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych.

Brak współpracy z organem nadzorczym jest działaniem utrudniającym organowi wykonywanie obowiązków i mogącym powodować nadmierne oraz nieuzasadnione wydłużenie prowadzonych postępowań, a tym samym naruszenie praw obywateli związanych z ochroną ich danych osobowych.

Brak współpracy to naruszenie o dużej wadze i podlega karze. Jedną z najczęściej spotykanych form braku współpracy jest przypadek, gdy administrator utrudnia dostęp do informacji niezbędnych do realizacji zadań Prezesa UODO, unikając odbierania kierowanej do niego korespondencji.

Wezwania dostarczone, brak odpowiedzi. Kara 6,8 tys. zł

Prezes UODO ukarał administratora, który nie zareagował na wezwanie do złożenia wyjaśnień w postępowaniu ze skargi dotyczącej utrwalania wizerunku skarżącej za pomocą monitoringu wizyjnego bez podstawy prawnej oraz na niespełnieniu wobec niej obowiązku informacyjnego (art. 15 RODO).

W celu rozpatrzenia skargi UODO wezwał administratora do ustosunkowania się do treści skargi, do złożenia wyjaśnień w sprawie, w szczególności do udzielenia odpowiedzi na szereg szczegółowych pytań w istotnych dla sprawy kwestiach, a także do przedstawienia dowodów potwierdzających złożone wyjaśnienia. Wezwanie to skierowano za pośrednictwem operatora pocztowego do administratora na wskazany przez skarżącą adres jego zamieszkania. Pismo to awizowano dwukrotnie, a mimo to nie zostało przez adresata odebrane. Wróciło do nadawcy z adnotacją „ZWROT nie podjęto w terminie”. Wobec braku odpowiedzi na wezwanie, UODO ponownie zwrócił się do administratora z wezwaniem do złożenia wyjaśnień. Wezwanie to – skierowane również na adres zamieszkania administratora – zostało odebrane przez niego osobiście, jednak pozostało bez jakiejkolwiek odpowiedzi. UODO skierował do tego administratora kolejne – trzecie – żądanie udzielenia informacji niezbędnych do rozpatrzenia skargi. I tym razem wezwanie to zostało odebrane przez niego osobiście, jednak ponownie pozostało bez jakiejkolwiek odpowiedzi.

W związku z nieudzieleniem przez administratora informacji niezbędnych do rozstrzygnięcia sprawy, UODO wszczął wobec niego z urzędu postępowanie administracyjne w przedmiocie nałożenia administracyjnej kary pieniężnej, o czym administrator został poinformowany pismem. Administrator nie podjął żadnych działań w reakcji na informację o wszczęciu postępowania. Sprawa zakończyła się nałożeniem na tego administratora kary w wysokości blisko 6,8 tys. zł.

Brak dostępu do informacji, których organ nadzorczy żąda od administratora, nie tylko stoi na przeszkodzie obiektywnemu, wnikliwemu i wszechstronnemu rozpatrzeniu sprawy, lecz skutkuje również nadmiernym i nieuzasadnionym przedłużaniem postępowania.

Brak odpowiedzi pisemnych. Kara 4,5 tys. zł

Kolejnym przykładem jest sprawa dotycząca skargi na nieprawidłowości w procesie przetwarzania danych osobowych osoby, której dane dotyczą.

UODO skierował do administratora wezwania do złożenia wyjaśnień na ujawniony w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) adres stałego miejsca wykonywania przez tego przedsiębiorcę działalności gospodarczej, będący jednocześnie jego adresem do doręczeń. Wezwanie zostało odebrane przez pełnomocnika przedsiębiorcy (zgodnie z adnotacją zamieszczoną na potwierdzeniu odbioru przesyłki). Na pismo to przedsiębiorca nie udzielił żadnej odpowiedzi. UODO ponownie zwrócił się do niego z wezwaniem skierowanym również na adres ujawniony w CEIDG – zostało odebrane, a na potwierdzeniu odbioru przesyłki osoba odbierająca korespondencję określona została jako „dorosły domownik” adresata. Również to wezwanie UODO pozostało bez odpowiedzi ze strony przedsiębiorcy.

Przedsiębiorca całkowicie ignorował kierowaną do niego przez UODO korespondencję, co spowodowało utrudnienie i nieuzasadnione przedłużenie prowadzonego przez organ nadzorczy postępowania. Zachowanie przedsiębiorcy należy więc uznać za godzące w system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez przedsiębiorcę naruszenie nie było zdarzeniem incydentalnym. Działanie przedsiębiorcy było ciągłe i długotrwałe, a naruszenie przepisów ogólnego rozporządzenia o ochronie danych trwało co najmniej do dnia wydania decyzji nakładającej administracyjną karę finansową.

Błędny adres do odbioru korespondencji urzędowej. Kara 32 tys. zł

Brak współpracy z organem nadzorczym czy niezapewnienie dostępu do informacji niezbędnych do realizacji jego zadań to problemy występujące także w postępowaniach wszczynanych w związku ze zgłoszonymi przez samych administratorów naruszeniami ochrony danych osobowych. W takich przypadkach również źródłem problemów jest nie odpowiadanie na wezwanie czy problemy z odbiorem pism na skutek posługiwania się przez administratora różnymi adresami. Jako ilustracja niech posłuży decyzja UODO o nałożeniu administracyjnej kary pieniężnej w kwocie blisko 32 tys. zł na spółkę TIMSHEL, która zgłosiła organowi nadzorczemu naruszenie ochrony danych osobowych drogą elektroniczną. Zgłoszenie o treści „zgłoszenie naruszenia ochrony danych osobowych w załączniku” nie zawierało jednak wspomnianego załącznika w postaci dedykowanego do tego typu spraw formularza. W związku z brakiem informacji niezbędnych do oceny naruszenia, UODO wszczął postępowanie i zwrócił się do administratora z wezwaniem do „przedstawienia treści zgłoszenia naruszenia ochrony danych osobowych”. Pismo to skierowano do spółki za pośrednictwem operatora pocztowego na ujawniony w KRS adres siedziby tego podmiotu. Mimo dwukrotnego awizowania tego pisma nie zostało ono jednak przez spółkę odebrane. Spółka nie udzieliła odpowiedzi również na kolejne, drugie wezwanie UODO, które wróciło do organu z adnotacją „ZWROT nie podjęto w terminie”.

W tej sytuacji organ nadzorczy zwrócił się do sądu rejestrowego właściwego dla siedziby spółki z wnioskiem o udzielenie informacji, czy w sądzie tym znajduje się nierozpoznany wniosek spółki o ujawnienie zmiany adresu jej siedziby. Sąd potwierdził, że w aktach rejestrowych spółki nie znajduje się żaden nierozpoznany wniosek spółki o wpis do rejestru, w tym w szczególności wniosek o ujawnienie zmiany adresu jej siedziby.

Jak następnie ustalił organ nadzorczy, na swojej stronie internetowej spółka podała inny niż ujawniony w KRS adres swojej siedziby. Informację o wszczęciu postępowania w przedmiocie nałożenia na spółkę administracyjnej kary pieniężnej organ nadzorczy skierował zarówno na adres jej siedziby, ujawniony w KRS, jak i na ustalony dodatkowy adres. W tym ostatnim przypadku pismo zostało przez administratora odebrane, co potwierdzono podpisem pracownika spółki, który odebrał przesyłkę. Mimo to pismo to pozostało bez jakiejkolwiek odpowiedzi ze strony spółki.

Członek zarządu spółki, składając w UODO zgłoszenie naruszenia ochrony danych osobowych (nawet jeśli brak w nim było treści – formularza zawierającego informacje o naruszeniu), musiał mieć świadomość, że czynność ta zainicjuje podjęcie działań przez organ nadzorczy, które to działania będą wymagać kontaktu ze spółką. Nieodbieranie więc korespondencji już po dacie złożenia zawiadomienia do UODO można uznać za celowe działanie mające na celu utrudnienie lub nawet uniemożliwienie dokonania oceny zgłoszonego naruszenia.

Spółka nie udzieliła żadnej odpowiedzi na jedyne odebrane przez nią wezwanie, które dotarło, jak należy domniemywać, do świadomości osób zarządzających spółką. Brak odpowiedzi na wezwanie musiał więc być w takiej sytuacji efektem świadomej i celowej decyzji osób działających w imieniu Spółki. Celem zastosowania w przytoczonych przykładowych sprawach kar pieniężnych było zdyscyplinowanie administratorów do prawidłowej współpracy z Urzędem Ochrony Danych Osobowych. Opisane wyżej decyzje powinny być jasnym sygnałem, że lekceważenie obowiązków związanych ze współpracą z organem nadzorczym, również stanowi naruszenie podlegające administracyjnej karze pieniężnej. Każda z nałożonych kar zależy od oceny okoliczności konkretnej sprawy, która jest badana indywidualnie.

Źródło: UODO

Czytaj także: 6 zasad ochrony przed ransomware