Holenderski organ właściwy ds. ochrony danych osobowych (Autoriteit Persoonsgegevens, AP) nałożył administracyjną karę pieniężną na organ podatkowy (The Tax and Customs Administration). Zarzucił on ukaranemu administratorowi naruszenia przepisów o ochronie danych osobowych w związku z wykorzystywanym przez niego systemem FSV (Fraud Signaling Facility, FSV).
System ten wykorzystywany był w Holandii przez organy podatkowe i celne w celu m.in. oceny zeznań podatkowych i windykacji zaległości podatkowych. Rozstrzygnięcie AP jest interesujące dla nas co najmniej z dwóch powodów. Po pierwsze, jest to dotychczas najwyższa kara nałożona przez holenderskiego regulatora. Po drugie, jej wysokość znacznie przekracza górny limity kary, którą może nałożyć polski organ nadzorczy, tj. Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO), na podmiot publiczny. Nie trzymając w dalszej niepewności, administrator został ukarany w tej sprawie na kwotę aż 3 700 000 euro (około 17 000 000 złotych).
Brak podstawy prawnej
W toku przeprowadzonego postępowania wyjaśniającego, holenderski regulator wykrył liczne naruszenia przepisów RODO, których dopuścił się administrator w zakresie korzystania z systemu FSV. Przykładowo, nie legitymował się on żadną podstawą prawną, umożliwiającą mu przetwarzanie danych osobowych w tym systemie. Przewinienie to już samo w sobie kwalifikować się może do nałożenia surowej kary finansowej, a warto zauważyć, że nie było ono jedynym. AP ustalił bowiem, że dane osobowe zgromadzone w systemie FSV bardzo często były niepoprawne, co w wielu przypadkach rodziło bardzo negatywne skutki w zakresie spraw podatkowych osób, których dane dotyczyły. Co więcej, regulator zarzucił ukaranemu organowi podatkowemu brak wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających odpowiednie zabezpieczenie danych osobowych przetwarzanych w systemie FSV.
Każde naruszenie ma swoją cenę
Warto zwrócić uwagę, że AP wyszczególnił poszczególne naruszenia administratora i wskazał, o ile konkretnie wzrosła finalna kwota nałożonej kary, za każde z nich. Wydaje się, że nie jest to praktyka często stosowana przez organy nadzorcze z innych państw członkowskich UE, w tym Prezesa UODO. Holenderski regulator wskazał, że na nałożoną karę złożyło się 6 kwestii, tj.:
- brak podstawy prawnej do przetwarzania danych osobowych w systemie FSV (naruszenie wycenione przez AP na 1 milion euro);
- brak określenia celu przetwarzania danych osobowych w systemie FSV (naruszenie wycenione przez AP na 750 tysięcy euro);
- system FSV zawierał nieprawidłowe i nieaktualne dane (naruszenie wycenione przez AP na 750 tysięcy euro);
- zbyt długi okres przetwarzania danych osobowych (naruszenie wycenione przez AP na 250 tysięcy euro);
- niezastosowanie odpowiednich zabezpieczeń i brak wdrożenia odpowiednich środków technicznych i organizacyjnych dotyczących bezpieczeństwa dostępu i danych osobowych w systemie FSV (naruszenie wycenione przez AP na 500 tysięcy euro);
- zbyt późne zwrócenie się administratora do wewnętrznego IOD o ocenę ryzyka przy przetwarzaniu danych za pośrednictwem systemu FSV (naruszenie wycenione przez AP na 450 tysięcy euro).
Kara adekwatna
Organ nadzorczy wskazał, że wysokość nałożonej kary finansowej jest adekwatna do stwierdzonych naruszeń. Z jednej strony, skala naruszenia oraz czas jego trwania były znaczne. Dotyczyło ono bowiem ponad 270 tysięcy osób, a w tym osób nieletnich. Trwało natomiast aż 6 lat. W 2020 r. ukarany organ podatkowy przestał korzystać z systemu FSV.
Z drugiej strony, AP podkreślił, że wziął również pod uwagę wcześniejsze naruszenia, które także zakończyły się nałożeniem kar finansowych na tego administratora (linki do poszczególnych spraw, pod artykułem).
Regulator słusznie podkreślił, że obywatele – co do zasady – nie mają możliwości podjęcia swobodnej decyzji, co do korzystania z danych „usług” organów publicznych. Konieczne jest tym samym, aby każdy administrator z sektora publicznego dołożył szczególnych starań w celu zagwarantowania odpowiedniej ochrony prawnej osobom, których dane dotyczą.
Inne postępowania, które również zakończyły się nałożeniem kary:
Więcej na temat postępowania:
Źródło: