W ostatnim czasie głośny jest temat decyzji administracyjnej mocą której Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Bisnode Polska karę w wysokości 943 000 złotych za brak realizacji obowiązku informacyjnego wobec przedsiębiorców, prowadzących jednoosobową działalność gospodarczą.
W związku z tym warto przybliżyć kwestię kontroli prowadzonych przez Prezesa UODO.
Czego może spodziewać się przedsiębiorca?
Kompetencje kontrolne organu nadzorczego
Aby to uczynić, należy najpierw przybliżyć kompetencje organu nadzorczego. Jedną z najważniejszych z nich jest prawo do kontroli. Art. 57 RODO przyznaje Prezesowi UODO prawo monitorowania i egzekwowania stosowania przepisów rozporządzenia, co obejmuje m. in. rozpatrywanie skarg składanych w trybie art. 77 RODO, przeprowadzanie kontroli oraz wszczynanie postępowań. W ramach przyznanych przez RODO uprawnień, organ nadzorczy może:
- nakazać administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań;
- prowadzić postępowania w formie audytów ochrony danych;
- zawiadomić administratora lub podmiot przetwarzający o podejrzeniu naruszenia rozporządzenia;
- uzyskać od administratora i podmiotu przetwarzającego dostęp do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań;
- uzyskać dostęp do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego.
Dodatkowe przepisy regulujące przebieg kontroli są również zawarte w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.). Przede wszystkim należy odróżnić dwa rodzaje postępowania: kontrolę przestrzegania przepisów o ochronie danych osobowych (art. 78 i dalej ustawy) oraz postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych (art. 60 i dalej ustawy). Oba ww. postępowania odbywają się na podstawie przepisów Kodeksu Postępowania Administracyjnego. Podstawowa relacja pomiędzy tymi dwoma rodzajami postępowania polega na tym, że w przypadku gdy kontrola przestrzegania przepisów wykaże nieprawidłowości, to następnie można rozpocząć odrębne postępowanie w sprawie naruszenia przepisów o ochronie danych (jednak w przypadku gdy postępowanie w sprawie naruszenia nie było poprzedzone kontrolą, kontrola może rozpocząć się także w trakcie postępowania).
Sama kontrola przestrzegania przepisów dzieli się na podstawie art. 78 ust. 2 ustawy na trzy rodzaje:
- kontrolę planową – prowadzoną zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli;
- kontrolę doraźną – na podstawie uzyskanych przez Prezesa Urzędu informacji; oraz
- kontrolę sprawowaną w ramach monitorowania przestrzegania stosowania rozporządzenia 2016/679.
Przebieg kontroli
Urzędnik przeprowadzający kontrolę powinien okazać imienne upoważnienie oraz legitymację służbową. W upoważnieniu do przeprowadzenia kontroli powinny znaleźć się takie informacje jak m.in. oznaczenie kontrolowanego podmiotu oraz wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli.
Na potrzeby kontroli kontrolujący ma prawo do:
- wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń;
- wglądu do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;
- przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
- żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
- zlecać sporządzanie ekspertyz i opinii.
Kontrola nie może trwać dłużej niż 30 dni od okazania kontrolowanemu upoważnienia i legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość. Przebieg czynności kontrolnych kontrolujący przedstawia w protokole kontroli.
Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych
Tak jak wskazano powyżej, jeżeli na podstawie informacji zgromadzonych w postępowaniu kontrolnym Prezes UODO uzna, że mogło dojść do naruszenia prawa, ma obowiązek niezwłocznie wszcząć postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Na tym etapie podmiot powinien przywoływać wszelkie argumenty i dowody, które mogą wykazać, że nie naruszono przepisów o ochronie danych osobowych lub stopień naruszenia tych przepisów nie jest tak poważnym jak wykazało dochodzenie.
Postępowanie przebiega w trzech fazach. Należą do nich:
- składanie wyjaśnień i przedstawianie dowodów,
- zebranie materiału dowodowego,
- decyzja administracyjna.
Co do zasady, sprawa wymagająca postępowania dowodowego powinna być załatwiana nie później niż w ciągu miesiąca, a sprawa szczególnie skomplikowana – nie później niż w terminie dwóch miesięcy od dnia wszczęcia postępowania (art. 35 § 3 k.p.a.). Organ nadzorczy ma obowiązek informowania stron postępowania w ciągu trzech miesięcy od wszczęcia postępowania, ponieważ zgodnie z art. 78 ust. 2 RODO każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli organ nadzorczy nie rozpatrzył skargi lub nie poinformował osoby, której dane dotyczą, w terminie trzech miesięcy o postępach lub efektach rozpatrywania skargi.
Nowością jest przyjęcie jednoinstancyjności postępowania przed organem nadzorczym, które pod rządami starej ustawy było dwuinstancyjne. Oznacza to, że po wydaniu przez Prezesa UODO decyzji bądź postanowienia w sprawie, strona ma możliwość odwołania się od rozstrzygnięcia bezpośrednio do sądu administracyjnego.
Sankcje
Organ nadzorczy ma również szereg uprawnień naprawczych (zgodnie z art. 58 ust. 2 RODO). Są to w szczególności:
- wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia RODO poprzez planowane operacje przetwarzania;
- udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia RODO przez operacje przetwarzania;
- nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej;
- nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do RODO, a w stosownych przypadkach wskazanie sposobu i terminu;
- nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
- wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
- nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
- zastosowanie, oprócz lub zamiast środków naprawczych, administracyjnej kary pieniężnej, zależnie od okoliczności konkretnej sprawy.
Druga grupa uprawnień PUODO – w myśl art. 83 RODO – to uprawnienia do nakładania administracyjnych kar pieniężnych. Oba narzędzia – zarówno z art. 58, jak i z art. 83 RODO mogą być stosowane łącznie.
RODO przewiduje dwie grupy kar pieniężnych:
- do 10.000.000 EUR lub w wysokości do 2% całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego;
- do 20.000.000 EUR lub w wysokości do 4% całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego,
W tym kontekście należy podkreślić, że wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
Podsumowanie
W styczniu 2019 r. Urząd Ochrony Danych Osobowych opublikował roczny plan kontroli sektorowych, w ramach których zweryfikuje przetwarzanie danych osobowych w takich m.in. obszarach, jak: telemarketing, profilowanie w sektorze bankowym i ubezpieczeniowym czy system identyfikacji i monitoringu odpadów. Jak informowało UODO, plan kontroli sektorowych został ustalony na podstawie zgłoszonych sygnałów i skarg związanych z naruszeniami przepisów o ochronie danych osobowych.
Przedsiębiorcy powinni mieć świadomość, że analiza i dostosowanie wewnętrznych procesów przetwarzania danych osobowych do przepisów RODO w znacznym stopniu uchroni ich organizacje przed potencjalnymi karami wskazanymi w treści rozporządzenia. Jak pokazują decyzje zagranicznych organów nadzorczych, nakładane kary wcale nie muszą być wysokie, ale przede wszystkim proporcjonalne do stwierdzonych naruszeń.
Zapraszamy na szkolenie „Kontrole urzędu ochrony danych osobowych” 13 czerwca w Warszawie.
Celem szkolenia jest:
- przedstawienie procesu kontroli przeprowadzanych przez Urząd Ochrony Danych Osobowych, jego poszczególnych elementów i konsekwencji dla organizacji;
- prezentacja problemów interpretacyjnych, dobrych praktyk i dylematów administratorów i podmiotów przetwarzających;
- omówienie przygotowania podmiotu do kontroli;
- analiza wybranych kwestii problemowych.
Więcej informacji: https://omnimodo.com.pl/szkolenia/kontrole-uodo
Źródła: P. Litwiński, P. Batra, M. Kawecki: Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz,
- Fajgielski: Ogólne Rozporządzenie o Ochronie Danych. Ustawa o ochronie danych osobowych. Komentarz.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
https://gdpr.pl/omowienie-ustawy-o-ochronie-danych-osobowych-z-10-maja-2018-roku,