Nie podejmując współpracy z organem nadzorczym, administrator naraża się na karę finansową
Brak współpracy z organem nadzorczym oraz niezapewnienie Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań to wciąż występujące po stronie administratorów uchybienia, które stają się także przyczyną nakładania administracyjnych kar pieniężnych.
Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) organ nadzorczy na swoim terytorium m.in. monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji m.in. prowadzi postępowania w sprawie stosowania przepisów RODO. W związku z tym organowi nadzorczemu przysługuje wiele uprawnień, w tym prawo do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i niezbędnych dla niego informacji. Ponadto organowi temu przysługuje uprawnienie do uzyskania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych.
Współpraca z organem nadzorczym jest ważna. Jej brak jest działaniem utrudniającym organowi wykonywanie obowiązków i mogącym powodować nadmierne oraz nieuzasadnione wydłużenie prowadzonych postępowań, a tym samym naruszenie praw obywateli związanych z ochroną ich danych osobowych.
Lekceważenie obowiązków związanych ze współpracą stanowi naruszenie o dużej wadze i jako takie podlega sankcjom finansowym. UODO korzysta ze swoich uprawnień, nakładając kary pieniężne, kiedy brak współpracy skutkuje utrudnieniem organowi nadzorczemu szybkiego i wnikliwego rozpatrywania spraw, co z kolei stoi w sprzeczności z zasadami wnikliwości i szybkości rządzącymi postępowaniem administracyjnym.
Wezwania dostarczone, ale pozostawione bez odpowiedzi
Brak współpracy z organem nadzorczym może przybierać różną formę. Jedną z najczęściej spotykanych jest przypadek, gdy administrator utrudnia dostęp do informacji niezbędnych do realizacji zadań Prezesa UODO, unikając odbierania kierowanej do niego korespondencji.
Przykładowo, Prezes UODO ukarał administratora, który nie zareagował na wezwanie do złożenia wyjaśnień w postępowaniu ze skargi dotyczącej utrwalania wizerunku skarżącej za pomocą monitoringu wizyjnego bez podstawy prawnej oraz na niespełnieniu wobec niej obowiązku informacyjnego (art. 15 RODO).
W celu rozpatrzenia skargi UODO wezwał administratora do ustosunkowania się do treści skargi, do złożenia wyjaśnień w sprawie, w szczególności do udzielenia odpowiedzi na szereg szczegółowych pytań w istotnych dla sprawy kwestiach, a także do przedstawienia dowodów potwierdzających złożone wyjaśnienia. Wezwanie to skierowano za pośrednictwem operatora pocztowego do administratora na wskazany przez skarżącą adres jego zamieszkania. Pismo to awizowano dwukrotnie, a mimo to nie zostało przez adresata odebrane. Wróciło do nadawcy z adnotacją „ZWROT nie podjęto w terminie”. Wobec braku odpowiedzi na wezwanie, UODO ponownie zwrócił się do administratora z wezwaniem do złożenia wyjaśnień. Wezwanie to – skierowane również na adres zamieszkania administratora –zostało odebrane przez niego osobiście, jednak pozostało bez jakiejkolwiek odpowiedzi. UODO skierował do tego administratora kolejne – trzecie – żądanie udzielenia informacji niezbędnych do rozpatrzenia skargi. I tym razem wezwanie to zostało odebrane przez niego osobiście, jednak ponownie pozostało bez jakiejkolwiek odpowiedzi.
W związku z nieudzieleniem przez administratora informacji niezbędnych do rozstrzygnięcia sprawy UODO wszczął wobec niego z urzędu postępowanie administracyjne w przedmiocie nałożenia administracyjnej kary pieniężnej, o czym administrator został poinformowany pismem. Administrator nie podjął żadnych działań w reakcji na informację o wszczęciu postępowania. Sprawa zakończyła się nałożeniem na tego administratora kary w wysokości blisko 6,8 tys. zł.
Bezspornym jest zatem fakt, że UODO nie uzyskał od administratora żądanych informacji, co stanowi naruszenie przepisów RODO.
Brak dostępu do informacji, których organ nadzorczy żąda od administratora, nie tylko stoi na przeszkodzie obiektywnemu, wnikliwemu i wszechstronnemu rozpatrzeniu sprawy, lecz skutkuje również nadmiernym i nieuzasadnionym przedłużaniem postępowania, co stoi w sprzeczności z podstawowymi zasadami rządzącymi postępowaniem administracyjnym – określonymi w art. 12 ust. 1 k.p.a. zasadami wnikliwości i szybkości postępowania.
Innym przykładem problemów wynikających z braku współpracy z organem nadzorczym oraz niezapewnienia dostępu do informacji niezbędnych do realizacji jego zadań, jest nieudzielanie pisemnych odpowiedzi na wezwania UODO. Przykładem sprawy, który przybliża ten mechanizm, niech będzie sprawa, która zakończyła się nałożeniem przez UODO na podmiot prowadzący działalność gospodarczą administracyjnej kary pieniężnej w wysokości 4,5 tys. zł. Sprawa ta dotyczyła skargi na nieprawidłowości w procesie przetwarzania danych osobowych osoby, której dane dotyczą, bez podstawy prawnej.
UODO skierował do tego administratora wezwania do złożenia wyjaśnień na ujawniony w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) adres stałego miejsca wykonywania przez tego przedsiębiorcę działalności gospodarczej, będący jednocześnie jego adresem do doręczeń. Wezwanie zostało odebrane przez pełnomocnika przedsiębiorcy (zgodnie z adnotacją zamieszczoną na potwierdzeniu odbioru przesyłki). Na pismo to przedsiębiorca nie udzielił żadnej odpowiedzi. UODO ponownie zwrócił się do niego z wezwaniem skierowanym również na adres ujawniony w CEIDG – zostało odebrane, a na potwierdzeniu odbioru przesyłki osoba odbierająca korespondencję określona została jako „dorosły domownik” adresata. Również to wezwanie UODO pozostało bez odpowiedzi ze strony przedsiębiorcy.
Przedsiębiorca całkowicie ignorował kierowaną do niego przez UODO korespondencję, co spowodowało utrudnienie i nieuzasadnione przedłużenie prowadzonego przez organ nadzorczy postępowania. Zachowanie przedsiębiorcy należy więc uznać za godzące w system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez przedsiębiorcę naruszenie nie było zdarzeniem incydentalnym. Działanie przedsiębiorcy było ciągłe i długotrwałe, a naruszenie przepisów ogólnego rozporządzenia o ochronie danych trwało co najmniej do dnia wydania decyzji nakładającej administracyjną karę finansową.
Problemy z udzielaniem odpowiedzi na wezwania organu nadzorczego ilustruje także inny przykład. Do UODO wpłynęła od komisarza wyborczego informacja wskazująca na nieprzedłożenie przez pełnomocnika inicjatorów referendum gminnego w sprawie odwołania rady gminy przed upływem kadencji, dokumentów związanych z tym referendum. UODO w ramach wszczętego z urzędu postępowania administracyjnego zwrócił się do pełnomocnika inicjatorów referendum gminnego o udzielenie szczegółowych informacji. Pismo skierowane zostało na wskazany przez komisarza wyborczego adres zamieszkania pełnomocnika inicjatywy i zostało ono odebrane, jednak pełnomocnik nie udzielił na nie żadnej odpowiedzi. Dlatego UODO ponownie skierował do niego kolejne wezwanie do udzielenia informacji. Również i to pismo zostało odebrane, ale organ nadzorczy nie uzyskał na nie odpowiedzi, mimo że pełnomocnik inicjatywy został poinformowany o konsekwencjach braku udzielenia odpowiedzi na wezwanie UODO.
W związku z brakiem reakcji na wezwania do złożenia wyjaśnień Urząd, stwierdzając naruszenie przez pełnomocnika inicjatorów referendum przepisów RODO, polegające na braku współpracy z organem nadzorczym w ramach wykonywania przez niego zadań oraz na niezapewnieniu dostępu do danych osobowych i innych informacji niezbędnych do realizacji zadań, nałożył na niego administracyjną karę pieniężną w kwocie 2.285 zł.
Adres właściwy dla odbioru korespondencji urzędowej ma znaczenie
Brak współpracy z organem nadzorczym czy niezapewnienie dostępu do informacji niezbędnych do realizacji jego zadań to problemy występujące także w postępowaniach wszczynanych w związku ze zgłoszonymi przez samych administratorów naruszeniami ochrony danych osobowych. W takich przypadkach również źródłem problemów jest nie odpowiadanie na wezwanie czy problemy z odbiorem pism na skutek posługiwania się przez administratora różnymi adresami. Jako ilustracja problemu niech posłuży decyzja UODO o nałożeniu administracyjnej kary pieniężnej w kwocie blisko 32 tys. zł na spółkę TIMSHEL, która zgłosiła organowi nadzorczemu naruszenie ochrony danych osobowych drogą elektroniczną. Zgłoszenie o treści „zgłoszenie naruszenia ochrony danych osobowych w załączniku” nie zawierało jednak wspomnianego załącznika w postaci dedykowanego do tego typu spraw formularza. W związku z brakiem informacji niezbędnych do oceny naruszenia, UODO wszczął postępowanie i zwrócił się do administratora z wezwaniem do „przedstawienia treści zgłoszenia naruszenia ochrony danych osobowych”. Pismo to skierowano do spółki za pośrednictwem operatora pocztowego na ujawniony w KRS adres siedziby tego podmiotu. Mimo dwukrotnego awizowania tego pisma nie zostało ono jednak przez spółkę odebrane. Spółka nie udzieliła odpowiedzi również na kolejne, drugie wezwanie UODO, które wróciło do organu z adnotacją „ZWROT nie podjęto w terminie”.
W tej sytuacji organ nadzorczy zwrócił się do sądu rejestrowego właściwego dla siedziby spółki z wnioskiem o udzielenie informacji, czy w sądzie tym znajduje się nierozpoznany wniosek spółki o ujawnienie zmiany adresu jej siedziby. Sąd potwierdził, że w aktach rejestrowych spółki nie znajduje się żaden nierozpoznany wniosek spółki o wpis do rejestru, w tym w szczególności wniosek o ujawnienie zmiany adresu jej siedziby.
Jak następnie ustalił organ nadzorczy, na swojej stronie internetowej spółka podała inny niż ujawniony w KRS adres swojej siedziby. Informację o wszczęciu postępowania w przedmiocie nałożenia na spółkę administracyjnej kary pieniężnej organ nadzorczy skierował zarówno na adres jej siedziby, ujawniony w KRS, jak i na ustalony dodatkowy adres. W tym ostatnim przypadku pismo zostało przez administratora odebrane, co potwierdzono podpisem pracownika spółki, który odebrał przesyłkę. Mimo to pismo to pozostało bez jakiejkolwiek odpowiedzi ze strony spółki.
Członek zarządu spółki, składając w UODO zgłoszenie naruszenia ochrony danych osobowych (nawet jeśli brak w nim było treści – formularza zawierającego informacje o naruszeniu), musiał mieć świadomość, że czynność ta zainicjuje podjęcie działań przez organ nadzorczy, które to działania będą wymagać kontaktu ze spółką. Nieodbieranie więc korespondencji już po dacie złożenia zawiadomienia do UODO można uznać za celowe działanie mające na celu utrudnienie lub nawet uniemożliwienie dokonania oceny zgłoszonego naruszenia.
Spółka nie udzieliła żadnej odpowiedzi na jedyne odebrane przez nią wezwanie, które dotarło, jak należy domniemywać, do świadomości osób zarządzających spółką. Brak odpowiedzi na wezwanie musiał więc być w takiej sytuacji efektem świadomej i celowej decyzji osób działających w imieniu Spółki.
Celem zastosowania w przytoczonych przykładowych sprawach kar pieniężnych było zdyscyplinowanie administratorów do prawidłowej współpracy z Urzędem Ochrony Danych Osobowych. Opisane wyżej decyzje powinny być jasnym sygnałem, że lekceważenie obowiązków związanych ze współpracą z organem nadzorczym, również stanowi naruszenie podlegające administracyjnej karze pieniężnej.
Kiedy dochodzi do naruszenia przepisów o ochronie danych osobowych, UODO reaguje odpowiednio do wagi konkretnego naruszenia, korzystając z uprawnień, jakie przysługują mu na podstawie RODO. Kary to jedno z wielu narzędzi, które Urząd ma do dyspozycji obok upomnień, ostrzeżeń czy nakazów. Każda z nałożonych kar zależy od oceny okoliczności konkretnej sprawy, która jest badana indywidualnie.
Karanie samo w sobie nie jest jednak celem. W opinii UODO już samo wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary finansowej, czyli zagrożenie taką sankcją, powinno spowodować, że administrator podejmie prawidłową współpracę z organem, np. udzieli informacji na wezwanie organu. Takie działanie administratora podjęte na tym jeszcze etapie może mieć wpływ na dalsze postępowanie. Dla przykładu podjęcie należytej współpracy z organem nadzorczym może wpłynąć na zmniejszenie nałożonej kary lub nawet jej zamianę na sankcję w postaci upomnienia.
Kary są więc ostatecznością, które mają spełniać funkcję represyjną, stanowiącą odpowiedź na naruszenie przepisów ogólnego rozporządzenia oraz prewencyjną, czyli zapobiegać naruszeniom przepisów o ochronie danych osobowych w przyszłości. W niektórych sytuacjach tylko ten rodzaj sankcji jest skuteczny.