Spółka z o. o. Pactum Poland z karą ponad 18 tys. zł za niepodejmowanie korespondencji z UODO. Co zrobić, aby uniknąć takich kar?

Spółka z o. o. Pactum Poland z karą ponad 18 tys. zł za niepodejmowanie korespondencji z UODO. Co zrobić, aby uniknąć takich kar?

Na czym polegało naruszenie?

Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez Pactum Poland Sp. z o.o., z siedzibą we Wrocławiu, przepisów art. 31 i art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, polegające na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz na niezapewnieniu dostępu do danych osobowych i innych informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań. 

Jaką karę nałożył Prezes Urzędu Ochrony Danych Osobowych?

Prezes Urzędu Ochrony Danych Osobowych nałożył na Prezesa Sądu administracyjną karę pieniężną w wysokości 18 192 zł (co stanowi równowartość 4.000 EUR). Jak informuje Urząd Ochrony Danych Osobowych kwota ta została już zapłacona.

Dlaczego nałożono karę?

Urząd Ochrony Danych Osobowych, aby ustalić stan faktyczny sprawy zainicjowanej skargą, zwrócił się do Spółki o ustosunkowanie się do treści skargi oraz o udzielenie odpowiedzi na szczegółowe pytania dotyczące sprawy. Z czterech wysłanych Spółce wezwań, ta odebrała tylko jedno, na które jednak nie odpowiedziała. 

W uzasadnieniu decyzji organ nadzorczy wskazał, że takie postępowanie Spółki „tj. nieudzielenie odpowiedzi na – zawarte w odebranym przez Spółkę piśmie z […] grudnia 2020 r. – konkretne, niezbyt skomplikowane i niewymagające specjalistycznej wiedzy z zakresu ochrony danych osobowych, pytania Prezesa UODO, a także nieodbieranie pozostałych wezwań Prezesa UODO, wskazuje na brak woli Spółki współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ustaleniu stanu faktycznego sprawy i prawidłowym jej rozstrzygnięciu lub co najmniej na rażące lekceważenie obowiązków dotyczących współpracy z Prezesem Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego zadań określonych Rozporządzeniem 2016/679.”

Na decyzję Prezesa Urzędu Ochrony Danych Osobowych miały jeszcze wpływ poniższe aspekty:
  1. postępowanie Spółki godzi w cały system ochrony danych osobowych mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności,
  2. ze strony Spółki miał miejsce wyraźny brak woli współpracy z organem nadzorczym polegający na nieudzielaniu niezbędnych informacji i nie odbieraniu wezwań,
  3. brak współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków – Spółka nie złożyła jakichkolwiek wyjaśnień, które zezwoliłyby na ustalenie przyczyn jej bezczynności.

Więcej: https://uodo.gov.pl/pl/138/2302 

Czy można uniknąć takich kar? 

W ocenie Prezesa Urzędu Ochrony Danych Osobowych administracyjna kara pieniężna jest „proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez Spółkę bez dużego uszczerbku dla prowadzonej przez nią działalności. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem zarówno dla Spółki jak i dla innych podmiotów zobowiązanych na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem Urzędu Ochrony Danych Osobowych, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie dostępu do informacji niezbędnych do realizacji jego zadań) stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym.

Nasza rekomendacja:

W związku z tym, nasi Inspektorzy Ochrony Danych rekomendują:

  1. Nie lekceważmy obowiązków związanych ze współpracą z Urzędem. Nie obawiajmy się pism z UODO – odbierajmy je i udzielajmy jak najbardziej wyczerpujących, konkretnych odpowiedzi na zadawane pytania. Wówczas korespondencja z Urzędem może nawet zakończyć się na jednym piśmie, a my unikniemy decyzji administracyjnej o stwierdzeniu naruszenia obowiązku zapewnienia organowi nadzorczemu dostępu do informacji i kary. 
  2. Nie odbieranie pism z UODO nie powoduje zawieszenia wszczętego postępowania administracyjnego – wówczas pismo traktowane jest jako doręczone do administratora danych, a tym samym jako takie, na które administrator nie odpowiedział we wskazanym terminie. Nawet jeżeli korespondencja dotyczy skargi osoby fizycznej, której dane przetwarzamy lub naruszenia ochrony danych osobowych, to to jak współpracujemy z organem nadzorczym będzie miało wpływ na decyzję o nałożeniu kary administracyjnej oraz jej wysokość.
  3. Zaangażujmy Inspektora ochrony danych w napisanie odpowiedzi na pytania UODO i starajmy się dotrzymać wyznaczonego terminu na przesłanie odpowiedzi – jest to zazwyczaj 7 lub 14 dni. Jeżeli jednak udzielenie odpowiedzi nie będzie możliwe w wyznaczonym terminie, poinformuj Urząd w jakim terminie udzielisz odpowiedzi i uzasadnij, dlaczego przekroczysz termin.

Zadbaj o bezpieczeństwo Twoich danych osobowych i skontaktuj się z nami, a pomożemy Ci znaleźć optymalne rozwiązanie na podniesienie poziomu bezpieczeństwa. 

Autor: Monika Kowalik, Specjalista ds. ochrony danych osobowych i ochrony informacji w CompNet Sp. z o.o.