GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Milczenie jest złotem, czyli ile kosztuje brak odpowiedzi na pytania UODO

Ręce osoby biorące listy widok z wnętrza skrzynki pocztowej

Milczenie jest złotem, czyli ile kosztuje brak odpowiedzi na pytania UODO

Artykuł który ukazał się niedawno w Dzienniku Gazecie Prawnej https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8194039,uodo-kary-postepowanie-wobec-firmy-ochrona-danych.html  poruszył temat zaskakującego procederu pomijania milczeniem przez administratorów pism Urzędu Ochrony Danych Osobowych. Stało się to wręcz powszechnym zjawiskiem. Postawa tych podmiotów spowodowała lawinowo rosnącą liczbę kar nakładanych przez Prezesa UODO za brak współpracy z organem, w stosunku do kar za faktyczne uchybienia w systemie ochrony danych.

Postanowiliśmy spróbować odpowiedzieć na pytanie, dlaczego tak się dzieje?

Uporczywe milczenie administratora

Analiza ostatnich decyzji UODO pozwala zaobserwować swoisty modus operandi. W pierwszym kroku Urząd otrzymuje skargę na działalność przedsiębiorcy, następnie wzywa go do udzielenia odpowiedzi na kilka pytań wyjaśniających. Po bezskutecznym upływie wyznaczonego terminu podejmuje wielokrotne próby kontaktu listownego, telefonicznego lub mailowego, wykazując godną podziwu cierpliwość. Ostatecznie jednak sięga do przysługujących mu środków dyscyplinujących i wyciąga zasłużone konsekwencje od administratora za brak współdziałania w sprawie, wynikające z braku wiedzy lub woli udzielenia odpowiedzi.

Naruszenie RODO i kolejna kara za brak współpracy

Czy zawiodła edukacja?

RODO niedawno obchodziło trzecią rocznicę rozpoczęcia stosowania. Przez cały okres wdrażania Rozporządzenia specjaliści z branży ochrony danych odmieniali przez wszystkie przypadki uprawnienia zreformowanego organu nadzorczego, w tym także niesławne wysokości kar grożącym administratorom, którzy nie zdążą z wdrożeniem lub zbagatelizują konieczność dostosowania swojej działalności do nowych realiów ochrony danych. Każde szkolenie dot. RODO rozpoczynało się od tabeli z grożącymi milionami Euro i od położenia nacisku na zmianę roli organu nadzorczego, zwiększone kompetencje kontrolne, rozbudowane narzędzia współpracy z przedsiębiorcami. Jak się jednak okazuje, informacje te wciąż nie przebiły się do świadomości wszystkich uczestników rynku, a nawet wybieranych przez nich specjalistów ochrony danych. Okazuje się bowiem, co może zdumiewać, że lekceważenie kontaktów z Urzędem obciąża sumienie także niektórych pełnomocników i inspektorów ochronnych danych

Nieświadomość zmiany realiów

Brak odpowiedzi na wezwanie UODO przybiera dwie postacie: lekkomyślności lub nieumyślności. W pierwszym przypadku, nonszalancja administratorów w reakcji na wezwania Urzędu może być pokłosiem faktu, że przez 20 lat poprzednik Prezesa UODO – GIODO nie miał w zasadzie żadnych narzędzi dyscyplinujących. Wśród ukaranych spółek pokutuje brak świadomości, że ten stary świat ze swoimi zasadami już nie istnieje. Realia uległy radykalnej zmianie. Przekonanie, że ochrona danych jest ostatnią i najmniej istotną sferą działalności podmiotów wciąż jest zakorzenione głęboko, co przejawia się także w rozpowszechnionym lekceważeniu obowiązków z zakresu privacy by design i analizy ryzyka. Nakłada się na to nieprofesjonalne podejście osób odpowiedzialnych za ochronę danych po stronie ADO, nieuświadamiających sobie konsekwencji wiążących się z brakiem współdziałania z organem. Wydaje się, że potrzeba jeszcze wielu lat, aby założona w RODO zmiana mentalności utrwaliła się wśród polskich przedsiębiorców. Oprócz powyższego brak reakcji administratorów w kilku analizowanych sprawach wynikał po prostu z zaniedbań organizacyjnych. Jako przykład można podać jedną ze spółek, która nie podejmowała korespondencji od UODO, gdyż nie zaktualizowała adresu podanego w rejestrach publicznych i z tego względu nie można było się z nią skontaktować.

Kara za brak współpracy z UODO

Kara za milczenie nie kończy sprawy

Co ważne, kara nakładana za milczenie nie kończy postępowania, nie jest to zatem skuteczny sposób na uniknięcie odpowiedzialności. Sankcja ta ma na celu udrożnienie postępowania, natomiast meritum sprawy (odpowiedzialność za ewentualne naruszenie ochrony danych osobowych) pozostaje nadal w toku. Jest to jedynie specyficzna kara porządkowa, podobna do kar dyscyplinujących za niestawiennictwo na rozprawie. Należy się spodziewać, że kontynuacja postępowania może doprowadzić do nałożenia kary merytorycznej. Brak współpracy z organem, może spowodować dodatkowe szkodliwe skutki, niezależnie od nałożonej sankcji. Jak wiadomo, Urząd patrzy przychylnym okiem na zaangażowanych i aktywnych w wyjaśnianiu sprawy administratorów i taka postawa prowadzi do korzystniejszych  decyzji końcowych. A contrario, brak współpracy może spowodować wymiernie większą karę kończącą sprawę.

Sens kar porządkowych

Warto zwrócić uwagę na wartości, jakie stoją u podstaw nakładania kar przez organ za bierność administratorów. Nie chodzi tutaj wyłącznie o ukaranie niesubordynacji podmiotu. Istota tego uprawnienia jest głębsza i ma podstawy systemowe. Jak wyjaśnia UODO w uzasadnieniach decyzji, każde naruszenie ochrony danych godzi w system mający na celu ochronę podstawowego prawa osoby fizycznej, jakim jest ochrona prywatności. W tym systemie administratorzy przetwarzają dane osobowe, a organy nadzorcze chronią i pomagają egzekwować prawa osób, których przetwarzane dane dotyczą. Aby zapewnić skuteczne działanie systemu, administratorów i podmioty przetwarzające zobowiązano do współpracy z organami nadzorczymi i udzielania niezbędnych informacji, a organy wyposażono w skorelowane uprawnienia kontrolne i naprawcze. Tym samym brak współpracy przedsiębiorcy uniemożliwia Urzędowi realizację jego zadań nadzorczych, co godzi w funkcjonowanie systemu. Z tego względu UODO traktuje milczenie podmiotu jako przewinienie o wysokiej naganności i wadze, szczególnie, jeśli jest długotrwałe i uniemożliwia prowadzenie postępowania.

Niemieckie organy pracują nad dokumentem o nakładaniu kar

Po dobroci już było

Brak współpracy z organem to zatem nie tylko bardzo zły pomysł na obronę, ale także dodatkowe przewinienie, które może się przyczynić do sumarycznego zwiększenia odpowiedzialności administratora w danej sprawie. Warto odnotować przy okazji, że poznaliśmy standardowy cennik jakim posługuje się Urząd w tego typu przypadkach – okrągłe 5 000 Euro. Kara nakładana w takich sytuacjach ma na celu zdyscyplinowanie administratora danych, a także – na zasadzie prewencji ogólnej – pozostałych przedsiębiorców na rynku. Można się spodziewać, że zwiększona liczba podobnych decyzji UODO doprowadzi przebicia się w powszechnej świadomości, że współpraca z Urzędem jest nie tylko prawnym obowiązkiem administratora, ale do tego bardzo opłacalnym. Milczenie z kolei, parafrazując przysłowie, może kosztować złoto.

Jeśli otrzymałeś pismo od UODO w związku ze złożoną skargą i potrzebujesz wsparcia skorzystaj z naszego Pogotowia RODO:

https://omnimodo.com.pl/uslugi/pogotowie-rodo