Noriet radzi: Nie takie RODO (PUODO) straszne, jak je malują

17 września, 2020

Wejście w życie rozporządzenia o ochronie danych osobowych w dniu 25 maja 2018 r. z pewnością wiele osób zapamięta na długo – głównie z powodu lawinowo zalewającego nasze skrzynki mailowe SPAMU w przedmiocie informacji na temat przetwarzania naszych danych osobowych, przeprowadzanych w ekspresowym tempie obowiązkowych szkoleń w miejscu pracy z zakresu przetwarzania danych osobowych, a także niepokojących wieści o niebotycznie wysokich karach, jakie grożą za nieprzestrzeganie przepisów rozporządzenia (co do zasady do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa).
Wraz z dniem 25 maja 2018 r. uchylona została także dotychczas obowiązująca ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r., którą większości z nas do tej pory kojarzyła się przede wszystkim z procesem rekrutacji i wysyłaniem CV, bowiem jej zamieszczenie w życiorysie było obligatoryjne jeśli chcieliśmy, aby pracodawca mógł z naszego CV skorzystać.

Po upływie 2 lat od wejścia w życie RODO bez wątpienia można wyprowadzić wniosek, iż wprowadziło ono pewnego rodzaju rewolucję w zakresie świadomości społeczeństwa na temat przetwarzania ich danych osobowych, szczególnie w zakresie praw przysługujących każdemu w związku z przetwarzaniem jego danych osobowych, a także poprzez obligatoryjną realizację przez podmioty, które nasze dane przetwarzają, obowiązków informacyjnych o treści szczegółowo określonej w art. 13 i art. 14 RODO. Zgodnie z treścią powyższych postanowień, co do zasady przed rozpoczęciem przetwarzania danych osobowych podmiot, który te dane będzie przetwarzał, musi poinformować osobę zainteresowaną o kilku istotnych z punktu widzenia prawa ochrony danych osobowych faktach – chociażby o tym, na jakiej podstawie dane przetwarza czy też w jakim celu i przez jaki czas dane te będą przetwarzane, a także – jakie prawa przysługują danej osobie w związku z przetwarzaniem jej danych osobowych.
Niemałe zamieszanie RODO wprowadziło też w dotychczas „poukładanej” działalności przedsiębiorców, którzy przetwarzają dane osobowe osób fizycznych – kwestia związana z ochroną danych osobowych stała się, chcąc nie chcąc, tematem, nad którym musieli się pochylić, aby dostosować profil prowadzonej przez nich działalności do aktualnych wymogów związanych z ochroną danych osobowych. Wielu przedsiębiorców zostało zobligowanych na mocy przepisów rozporządzenia do wyznaczenia w swojej organizacji funkcji Inspektora Ochrony Danych Osobowych (który nota bene zastąpił dotychczas nieobligatoryjnego Administratora Bezpieczeństwa Informacji).
Zdecydowanie motywującym czynnikiem do pochylenia się nad tematyką ochrony danych osobowych w codziennej działalności stało się widmo dotkliwych konsekwencji finansowych, jakie może przynieść przeprowadzona kontrola z Urzędu Ochrony Danych Osobowych w razie jej negatywnego wyniku. Dzisiaj więc pokrótce opiszę, jak prezentują się upublicznione statystyki przeprowadzonych postępowań kontrolnych i faktycznie nałożonych w stosunku do ich ilości kar finansowych, co, jak się okazuje, nie wypada na tle tegoż rozrachunku aż tak pesymistycznie.

Na wstępie należy zaznaczyć przede wszystkim fakt, iż zgodnie z treścią rozporządzenia, kara finansowa nie jest wyłączną i jedyną sankcją, jaka może zostać nałożona na podmiot naruszający obowiązujące przepisy rozporządzenia.
Zgodnie z treścią rozporządzenia, wachlarz możliwych sankcji, czy jak to jest wskazane expressis verbis w rozporządzeniu, „działań naprawczych”, zdecydował się prawodawca uregulować dość szeroko. Należą do nich więc m.in.: wydawanie administratorom lub podmiotom przetwarzającym dane ostrzeżeń, udzielanie upomnień, nakazanie spełnienia żądań osoby, której dane są przetwarzane, nakazanie podjęcia określonych działań dostosowujących do przepisów rozporządzenia, nakazanie powiadomienia o naruszeniu ochrony danych osobowych, nakazanie ograniczenia przetwarzania, nakazanie usunięcia danych oraz – wreszcie – nałożenie na administratora lub podmiot przetwarzający administracyjnej kary pieniężnej.
Co ciekawe, na stronie www.uodo.gov.pl w zakładce „Decyzje Prezesa UODO” można zapoznać się z upublicznionymi treściami decyzji prowadzonymi w sprawach, w których wszczęte było przez Prezesa Urzędu Ochrony Danych Osobowych postępowanie administracyjne. Posiłkując się danymi statystycznymi – wynika z tego, iż począwszy od roku 2018, opublikowanych przez Prezesa zostało 211 decyzji – w tym 10 decyzji nakładających na administratorów/podmioty przetwarzające dane osobowe administracyjne kary pieniężne, co stanowiło jedynie 5% spośród opublikowanych decyzji, zaś oceniając szacunkową liczbę decyzji na ok. 7 tys, wydanych począwszy od dnia 25 maja 2018 r., procentowy udział administracyjnych kar pieniężnych spośród wszystkich wydanych od dnia 25 maja 2018 r. decyzji wyniósł jedynie 0,2% (źródło: Lex Ochrona Danych Osobowych).

Warto również wskazać, iż jedna z najwyższych nałożonych dotychczas administracyjnych kar pieniężnych (ok. 1 000 000 zł) została nałożona na podmiot, który nie wywiązał się w ocenie UODO właściwie z określonych w rozporządzeniu obowiązków informacyjnych. Wyprowadzić stąd można wniosek, iż właściwa i skuteczna realizacja obowiązku informacyjnego stanowi istotną kwestię, którą każdy z podmiotów, który dane osobowe osób fizycznych przetwarza, powinien właściwie realizować. Co ciekawe, podmiot ukarany administracyjną karą pieniężną, jako argument przemawiający na jego korzyść wskazywał zawarte w art. 14 ust. 5 lit b RODO zwolnienie z obowiązku obligatoryjnego spełnienia obowiązku informacyjnego w razie konieczności poniesienia „niewspółmiernie dużego wysiłku” wskazując m.in., iż wypełnienie przez tenże podmiot obowiązku informacyjnego wobec wszystkich osób wiązałoby się z poniesieniem zbyt wysokich kosztów. Coż, argumentacja ta nie zyskała jak widać aprobaty Urzędu, który takiego powodu za uzasadniającego odstąpienie od wypełnienia obowiązków określonych w art. 14 RODO nie uznał, i nałożył na administratora karę pieniężną w wysokości niemalże 1 mln zł.
Warto również wskazać, iż postępowanie kontrolne prowadzone przez Urząd Ochrony Danych Osobowych może toczyć się albo na skutek skarg osób, których dane dotyczą, albo też z urzędu – w ramach zaplanowanych przez UODO na każdy rok tzw. kontroli sektorowych. Jak wynika z analizy upublicznionych przez Prezesa decyzji, większość z nich została zainicjowana skargami uprawnionych do jej złożenia podmiotów.
Do jakich wniosków prowadzi więc analiza rodzajów decyzji, nałożonych w nich sankcji i systematyki prowadzonych postępowań? Przede wszystkim do stwierdzenia, iż samo wszczęcie postępowania kontrolnego nie musi oznaczać, tego, iż zakończy się ono ze stuprocentową pewnością nałożeniem kary pieniężnej. Warto więc mieć na uwadze, aby w razie ewentualnej kontroli w sposób właściwy współpracować z Urzędem, co oznacza przede wszystkim wykonywanie terminowo wszelkich zaleceń, a także umożliwienie przeprowadzania urzędnikom czynności kontrolnych. Z całą pewnością wywrze to pozytywny wpływ na całokształt prowadzonego przez Urząd postępowania.
W razie ewentualnego naruszenia przetwarzania danych osobowych, którego mamy świadomość, warto dokonać stosownego zawiadomienia do Urzędu. Treść i tryb złożenia zawiadomienia określa art. 33 RODO. Może bowiem okazać się, iż po przeprowadzeniu postępowania wyjaśniającego w tym zakresie, organ umorzy postępowanie. W razie niedopełnienia obowiązku złożenia takiego zawiadomienia, co stanowi naruszenie przepisów rozporządzenia, a konkretnie wspomnianego wyżej art. 33 RODO, w przypadku, w którym zostanie na nasze działanie złożona skarga, brak takiego zawiadomienia rzutuje w sposób zdecydowanie negatywny i przybliża nas tym samym do nałożenia sankcji w postaci właśnie kary pieniężnej.

Miejmy również na uwadze fakt, iż większość postępowań prowadzonych przez Urząd została zainicjowana właśnie na skutek skargi uprawnionych osób. `Pamiętajmy więc o tym aby w codziennej działalności, w której przetwarzamy dane osobowe osób fizycznych, szczególną uwagę przyłożyć do zapewnienia możliwie najpełniejszej realizacji praw tychże osób w zakresie przetwarzania ich danych osobowych, co oznacza przede wszystkim udzielanie odpowiedzi na wszelkie kierowane w zakresie przetwarzania danych osobowych zapytania, właściwe wypełnianie obowiązków informacyjnych i zapewnienie bezpieczeństwa technicznego przetwarzanych danych osobowych.

autor: Marta Piekarska – radca prawny

Pozostałe wpisy

Kredyt hipoteczny – a co jeżeli przestanę go spłacać?

Ostatnimi czasy nie ma w moim otoczeniu osoby, która nie myślałaby o kupnie mieszkania, nie kupowałaby mieszkania, albo właśnie nie kupiłaby mieszkania. Boom mieszkaniowy widać gołym okiem – inwestycje w Warszawie wyprzedają się jeszcze przed wbiciem pierwszej łopaty – szczególnie w zakresie mniejszych mieszkań. W ślad za boomem mieszkaniowym, dzielnie podąża boom kredytowy [...]
21 września, 2021
czytaj więcej

Noriet z Sądu: Panie Listonoszu, ja dzisiaj nie odbieram

Ustawa z dnia 4 lipca 2019 r. o zmianie ustawy – Kodeks postępowania cywilnego oraz niektórych innych ustaw, która weszła w życie w przeważającej części w dniach 21 sierpnia 2019 r. i 7 listopada 2019 r., wprowadziła istotne zmiany dotyczące doręczania przesyłek sądowych zawierających w szczególności pierwsze pismo w sprawie, jakim zazwyczaj jest pozew lub wniosek. I chociaż zdecydowanie [...]
2 września, 2021
czytaj więcej

Obligacje: Co mogło pójść nie tak?

I żyli razem długo i szczęśliwie. Tak powinna kończyć się każda inwestycja. Niestety – nie zawsze tak jest. Jak coś się dzieje nietak, to żyli długo – owszem, ale niekoniecznie szczęśliwie.  Spokojniej jednak przyjmuje się pewne scenariusze, będąc uprzednio świadomym ich ewentualnego wystąpienia, niż budzi się z ręką w nocniku. Dzisiaj subiektywny przegląd ewentualnych [...]
1 września, 2021
czytaj więcej

Obligacje: Rozwód emitenta obligacji z administratorem zabezpieczeń

To nie pierwszy mój raz kiedy zagadki prawa kapitałowego próbuję rozwiązywać i tłumaczyć poprzez porównania z sytuacjami życiowymi. Dzisiaj idąc znowu w kwestie rodzinne, a nawet prawnorodzinne chciałabym porównać cały proces emisji obligacji korporacyjnych z zabezpieczeniem, z punktu widzenia relacji administratora zabezpieczeń i emitenta takich obligacji, do instytucji małżeństwa. [...]
3 sierpnia, 2021
czytaj więcej