Na czym polegało naruszenie?

Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez PNP Spółkę Akcyjną przepisów art. 31 i art. 58 ust. 1 lit. e) Rozporządzenia 2016/679 (dalej RODO), polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz niezapewnieniu dostępu do wszelkich informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań, to jest do rozpatrzenia skargi Pana P. K. na nieprawidłowości w procesie przetwarzania jego danych osobowych.

Jaką karę nałożył Prezes Urzędu Ochrony Danych Osobowych?

Prezes Urzędu Ochrony Danych Osobowych nałożył na PNP Spółkę Akcyjną administracyjną karę pieniężną w wysokości 22.739 zł, co stanowi równowartość 5.000 euro.

Dlaczego nałożono karę?

Powodem nałożenia kary pieniężnej jest brak współpracy z organem nadzorczym oraz niezapewnienie dostępu do wszelkich informacji niezbędnych do realizacji przez UODO zadań. Ukarana spółka w związku z postępowaniem administracyjnym, prowadzonym w celu rozpoznania skargi osoby fizycznej, trzykrotnie nie odebrała wystosowanych do niej pisemnych wezwań do ustosunkowania się do treści tej skargi oraz do złożenia wyjaśnień przez udzielenie odpowiedzi na trzy pytania dotyczące sprawy. Po dwukrotnym awizowaniu przesyłek, wezwania te zostały uznane za doręczone. 

W konsekwencji niepodejmowania przez Spółkę kierowanej do niej korespondencji, UODO nie uzyskało informacji niezbędnych do rozpatrzenia sprawy. Stanu tego nie zmieniło również wszczęcie postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej. Pismo informujące o wszczęciu takiego postępowania również nie zostało przez Spółkę odebrane.

Więcej: https://uodo.gov.pl/pl/138/2067 

Czy można uniknąć takich kar? 

Zdaniem UODO, nałożona administracyjna kara pieniężna zdyscyplinuje Spółkę do prawidłowej współpracy z  organem nadzorczym zarówno w dalszym toku postępowania dotyczącego rozpatrzenia skargi, jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z udziałem Spółki przed Urząd. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem dla Spółki, zobowiązanej na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie dostępu do informacji niezbędnych do realizacji jego zadań) stanowi naruszenie o dużej wadze  i jako takie podlegać będzie sankcjom finansowym. 

Nasza rekomendacja:

W związku z tym nasi Inspektorzy Ochrony Danych rekomendują:

1. Nie obawiajmy się pism z UODO – odbierajmy je i udzielajmy jak najbardziej wyczerpujących, konkretnych odpowiedzi na zadawane pytania. Wówczas korespondencja z Urzędem może nawet zakończyć się na jednym piśmie.
2. Nie odbieranie pism z UODO nie powoduje zawieszenia wszczętego postępowania administracyjnego – wówczas pismo traktowane jest jako doręczone do administratora danych, a tym samym jako takie, na które administrator nie odpowiedział we wskazanym terminie. Nawet jeżeli korespondencja dotyczy skargi osoby fizycznej, której dane przetwarzamy lub naruszenia ochrony danych osobowych, to to jak współpracujemy z organem nadzorczym będzie miało wpływ na decyzję o nałożeniu kary administracyjnej oraz jej wysokość.
3. Zaangażujmy Inspektora ochrony danych w napisanie odpowiedzi na pytania UODO i starajmy się dotrzymać wyznaczonego terminu na przesłanie odpowiedzi – jest to zazwyczaj 7 lub 14 dni. Jeżeli jednak udzielenie odpowiedzi nie będzie możliwe w wyznaczonym terminie, poinformuj Urząd w jakim terminie udzielisz odpowiedzi i uzasadnij, dlaczego przekroczysz termin.

Zadbaj o bezpieczeństwo Twoich danych osobowych i skontaktuj się z nami, a pomożemy Ci znaleźć optymalne rozwiązanie na podniesienie poziomu bezpieczeństwa.

Autor: Monika Kowalik, Dyrektor Projektu, CompNet Sp. z o.o.