Kolejne administracyjne kary pieniężne za brak współpracy z UODO

Urząd Ochrony Danych Osobowych nałożył na administratorów kary pieniężne za brak współpracy z organem nadzorczym w ramach wykonywanych przez siebie zadań oraz za niezapewnienie dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań.

Skuteczne monitorowanie i egzekwowanie stosowania ogólnego rozporządzenia o ochronie danych (RODO) wymaga skorzystania przez organ nadzorczy z przysługujących mu uprawnień, w tym prawa do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i niezbędnych dla niego informacji. Ponadto organowi temu przysługuje uprawnienie do uzyskania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych.

Administratorzy nie zawsze umożliwiają skorzystanie z wspomnianych uprawnień. Tymczasem współpraca z organem nadzorczym jest ważna, a jej brak utrudnia UODO wykonywanie obowiązków i może powodować nadmierne oraz nieuzasadnione wydłużenie prowadzonych postępowań, a tym samym naruszać  prawa obywateli związanych z ochroną ich danych osobowych. Brak współpracy z organem nadzorczym wymusza wręcz sięgnięcie przez organ nadzorczy z odpowiednich instrumentów prawnych, jakim jest m.in. nałożenie administracyjnej kary za brak współpracy. Sytuacji związanych z brakiem współpracy, w których organ może sięgnąć po takie rozwiązania jest kilka.

Korespondencji nie podjęto w terminie

Jednym z przypadków, kiedy organ nadzorczy może nałożyć administracyjną karę pieniężną za niezapewnienie dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań jest nie podejmowanie korespondencji od UODO.

W praktyce schemat postepowania zazwyczaj wygląda tak, że do Urzędu Ochrony Danych Osobowych  wpływa skarga na nieprawidłowości w procesie przetwarzania danych osobowych skarżącego przez administratora. UODO w ramach wszczętego postępowania administracyjnego, prowadzonego celem rozpatrzenia wniesionej skargi, zwraca się do administratora o ustosunkowanie się do jej treści oraz o udzielenie odpowiedzi na zadane przez organ nadzorczy szczegółowe pytania. Pisma zostają wysłane na adres siedziby administratora, jednak do Urzędu Ochrony Danych Osobowych wpływa zwrot ww. pisma z adnotacją „zwrot nie podjęto w terminie”.

Można przypuszczać, że podmiot profesjonalnie uczestniczący w obrocie prawno-gospodarczym, ma świadomość, że działanie polegające na niepodejmowaniu korespondencji nadanej przez organ nadzorczy stanowi naruszenie podstawowych obowiązków przedsiębiorcy. Ponadto każda jednostka organizacyjna powinna zapewnić w swojej organizacji taki obieg dokumentów i odbioru pism, aby przebieg korespondencji odbywał się w sposób ciągły i niezakłócony oraz wyłącznie przez osoby uprawnione.

Pismo odebrano, ale reakcji brak

UODO również wszczyna z urzędu postępowania administracyjne w przedmiocie nałożenia administracyjnej kary pieniężnej na administratora, w związku z nieudzieleniem informacji niezbędnych do rozstrzygnięcia prowadzonego postępowania. Tak się dzieje, gdy administratorzy nie udzielają odpowiedzi na zawarte w pismach pytania, które zazwyczaj  są niezbyt skomplikowane i nie wymagają specjalistycznej wiedzy z zakresu ochrony danych osobowych . Co należy zaznaczyć, ignorowanie kierowanej przez UODO korespondencji do administratorów, również powoduje utrudnienie i nieuzasadnione przedłużenie prowadzonego przez organ nadzorczy postępowania.

W ocenie UODO takie działanie administratora wskazuje na wyraźny brak woli do współpracy z organem nadzorczym w celu ustalenia stanu faktycznego prowadzonych spraw. Świadczy o tym brak odpowiedzi na wezwania kierowane przez urząd. Administratorzy, otrzymując pismo wiedzą jaki organ kieruje do nich wezwanie, czego ono dotyczy i o jakie informacje się zwraca. Dlatego zdaniem UODO, administrator, który nie odpowiada na pisma, podejmuje świadomą decyzję o nieudzieleniu organowi ochrony danych osobowych informacji. Tym samym naraża się na dodatkowe konsekwencje w postaci administracyjnych kar pieniężnych.

Lekceważenie swoich obowiązków

Utrudnianie  i uniemożliwianie  uzyskanie dostępu do informacji, których organ nadzorczy żądał od administratora, a które niewątpliwie są w jego posiadaniu,  nie pozwala na wnikliwe rozpatrzenie sprawy. Administrator nie udzielając informacji niezbędnych organowi do realizacji jego zadań –merytorycznego rozstrzygnięcia tej sprawy, narusza ciążący na nim obowiązek wynikający z przepisów ogólnego rozporządzenia o ochronie danych . W sytuacji, gdy UODO nie uzyskuje od administratora żądanych informacji koniecznych do realizacji zadań organu nadzorczego, to dochodzi do naruszenia przepisów RODO.

Takie postępowanie skutkuje również nadmiernym i nieuzasadnionym przedłużaniem postępowania, co stoi w sprzeczności z podstawowymi zasadami postępowania administracyjnego jak zasada wnikliwości i szybkości postępowania, które są określone w Kodeksie postępowania administracyjnego.

 W każdym przypadku, kiedy dochodzi do naruszenia przepisów o ochronie danych osobowych, UODO reaguje odpowiednio do wagi konkretnego naruszenia, korzystając z uprawnień, jakie przysługują mu na podstawie RODO. Kary to jedno z wielu narzędzi, które Urząd ma do dyspozycji. Nakładanie administracyjnych kar pieniężnych nie jest celem samym w sobie, a już samo wszczęcie postępowania w przedmiocie nałożenia administracyjnej kary finansowej, powinno spowodować, że administrator podejmie prawidłową współpracę z organem, np. udzieli informacji na wezwanie organu.

Przedstawione przykłady braku współpracy z organem nadzorczym znalazły swoje odzwierciedlenie w kilku decyzjach Prezesa UODO. Poniżej przedstawiamy linki, pod którymi szczegółowo można zapoznać się z takimi decyzjami:

• DKE.561.35.2022
• DKE.561.37.2022
• DKE.561.38.2022
• DOKE.561.1.2023