Trwająca pandemia oraz związana z nią praca zdalna mają oczywisty wpływ na sposób funkcjonowania nas wszystkich. Zmienić się musiało także modus operandi organów nadzoru, w tym głównie w kontekście kontroli, które wymagają bezpośrednich spotkań. Czy inne organy, tak jak polski, ograniczyły kontrole i czy poradziły sobie z wyzwaniami „nowej normalności”? Czy potwierdzenie znajdują informacje, jakoby niektóre z organów przyjęły taryfikatory kar nakładanych w wyniku ustaleń kontrolnych, czy też organy raczej poruszają się w granicach wyznaczonych przez rozporządzenie bez dodatkowego wsparcia w formie twardych współczynników?
Gdzie się podziały tamte kontrole?
Analiza nadesłanych odpowiedzi prowadzi do wniosku, że urzędy nadzoru podzieliły się na dwie grupy. Do pierwszej należą te, które częściowo albo całkowicie ograniczyły kontrole, do drugiej zaś te które podeszły do problemu kreatywnie i z wykorzystaniem zdalnych technologii audio i wideo przeprowadzają kontrole z uwzględnieniem ograniczeń jakie niesie ze sobą takie wykorzystanie technologii. I tak …
Rumuński organ nadzorczy stwierdził, że na podstawie przepisów krajowych ma możliwość prowadzenia kontroli w siedzibie administratora także w postaci pisemnej. Jak wskazał korzysta z tej możliwości obecnie „w tym wyjątkowym okresie z powodu COVID-19, rumuński organ nadzorczy przeprowadza kontrole pisemne”.
Węgierski potwierdził, że pandemia jest wyzwaniem dla organu, ale nie wpłynęła na jego wydajność i efektywność, a więc w zasadzie pracuje tak jak w czasach przedcovidowych.
Inaczej postępuje islandzki organ, który nie prowadzi kontroli wymagających wizyty w siedzibie administratora. Wszystkie czynności są prowadzone zdalnie jeśli jest to możliwe. Organ wybrał więc bardzo bezpieczną opcję, ale bez uszczerbku dla swoich zadań. Podobnie zorganizuje swoją pracę organ hiszpański, który nie prowadzi kontroli w siedzibie administratora, ale wykonuje wszystkie pozostałe prace w formie zdalnej.
Organ czeski wskazał „w pierwszym etapie pandemii (wiosna 2020 r.) nie rozpoczęliśmy żadnego postępowania administracyjnego, jak nakazał czeski rząd. W rzeczywistości spowodowało to ograniczenie niektórych form nadzoru, związanych z podejmowaniem i wykonywaniem niektórych czynności nadzorczych, np. kontroli na miejscu.” Co ciekawe organ podzielił się informacją, że wydłużył termin na złożenie wyjaśnień, mając na uwadze sytuację, w jakiej znalazły się badane podmioty. Tutaj więc decydującym czynnikiem była decyzja rządu, mająca na celu odciążenie administratorów danych od dodatkowych problemów nie związanych bezpośrednio z walką z pandemią.
Podobnie odpowiedział organ bułgarski, który wskazał, że „[…] możliwość przeprowadzenia kontroli na miejscu uzależniona jest od stanu wyjątkowego, wprowadzonego przez Sejm i zaproponowanego przez Ministra Zdrowia. Podczas całkowitego zamknięcia w Bułgarii w zeszłym roku podróżowanie między miastami było absolutnie zakazane o ile nie było to całkowicie konieczne i nie przeprowadzono żadnych kontroli na miejscu. Nie powstrzymało to jednak działalności CPDP w zakresie nadzoru nad otrzymanymi skargami i sygnałami.”
Łotewski organ wskazał, że obecnie praca urzędu prowadzona jest w sposób zdalny. Jednak na liczbę prowadzonych postępowań i wydawanych decyzji nie ma wpływu pandemia, jednak „cierpią z powodu braku zasobów ludzkich […]”. Dodatkowo organ wyjaśnił, że prowadzenie prac w sposób zdalny ogranicza możliwość postępowania w niektórych kwestiach, przede wszystkim dotyczących monitoringu.
Federalny organ ochrony danych w Niemczech (BfDI) przekazał redakcji gdpr.pl, że „BfDI wstrzymało kontrole prowadzone na miejscu i od tego czasu BfDI prowadzi swoje kontrole zdalnie. Nie zmieniło to jednak w żaden sposób liczby kontroli. Kontrole są nadal skuteczne, ale są oczywiście ograniczone do pewnego stopnia. To różni się w zależności od przypadku. BfDI nie posiada kwalifikowanych danych do określenia różnicy w skuteczności kontroli.”
Podobnie swoją pracę zorganizował organ niderlandzki, który przy wykorzystaniu najnowszych technologii i przy pomocy samych administratorów danych (np. prosi aby sami kontrolowani używając kamer w komputerach dokonali inspekcji, a czynność tą na żywo śledzi organ) prowadzi kontrole zdalnie. W ten sposób jest w stanie zbadać poziom fizycznych zabezpieczeń stosowanych przez administratora.
Jak widać, organy nadzorcze w miarę możliwości dostosowały swoje zadania do nowej rzeczywistości. Jeśli nie wynikało to z ograniczeń przepisami krajowymi starały się prowadzić czynności do których zostały zobowiązane, tyle że w trybie zdalnym lub w formie pisemnej. Niektóre swoją pracę zorganizowały w ten sposób już wcześniej i w konsekwencji czas pandemii nie przyniósł większych zmian. Należy jednak również zwrócić uwagę na odpowiedź organu łotewskiego który wskazał na braki kadrowe, które mogą powodować opieszałość w działaniach organu jako groźniejszą przeszkodę w organizacji pracy niż pandemia. Polski organ nadzorczy (UODO) do tej pory co roku ogłaszał plan kontroli sektorowych. Jednak, ze względu na stan epidemii COVID-19 w roku 2021, taki plan nie został opracowany. Urząd planuje wznowienie pracy nad planem kontroli, gdy poprawi się sytuacja epidemiologiczna w kraju. Tym samym, kontrole UODO przez pandemię zostały znacznie, jeśli nie całkowicie ograniczone ze względu na brak możliwości bezpiecznego ich przeprowadzania.
IOD 2.0, czyli rola inspektorów w świetle ostatnich rozstrzygnięć organów nadzoru
Taryfikatory kar
Na drugie z pytań jakie zadaliśmy, odnoszące się do niezwykle interesującego z punktu widzenia każdego administratora zagadnienia, jakim jest sposób obliczania wysokości nakładanych kar, wszystkie organy wskazały, że wyliczenie wysokości nakładanych kar wynika wprost z przepisów RODO, a dokładniej art. 83. Jak również przywoływały wytyczne Grupy Roboczej art. 29 z 3 października 2017 r. w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679, które następnie zostały przyjęte przez Europejską Radę Ochrony Danych (EROD). Jak poinformował m.in. węgierski i islandzki organ nadzorczy obecnie w ramach EROD trwają prace nad wytycznymi dotyczącymi harmonizacji nakładania kar pieniężnych. Jako, że prace EROD skupiają się nad opracowaniem wytycznych, należy uznać, że obecnie brak jest zgody wśród jej członków na stworzenie europejskiego taryfikatora. Może to dziwić, jako, że eksperci ds. ochrony danych wskazują, że stworzenie wspólnego taryfikatora jest możliwe i oczekiwane. Być może konsultacje publiczne wytycznych dotyczące harmonizacji nakładania kar pieniężnych będą okazją do przedstawienia ponownie tych oczekiwań Europejskiej Radzie Ochrony Danych.
Co ciekawe dwa kraje, Niemcy i Niderlandy nie czekały na wytyczne EROD i przyjęły wewnętrzne taryfikatory w których określono sposób wyliczania kar nakładanych przez te organy. W ich ślady idzie organ łotewski który wskazał, że „w celu zapewnienia spójności nakładanych przez Inspektorat kar administracyjnych oraz by usprawnić proces decyzyjny w ramach Inspektoratu […]” organ przyjął wewnętrzne wytyczne. Zostały one przyjęte w dokumencie „Kryteria ustalania wysokości kar administracyjnych dla firm i osób fizycznych ”(„Administratīvo naudas sodu apmēra noteikšanas kritērijus uzņēmumiem un fiziskām personām”). Zasady, oceny i kryteria określone w dokumencie będą stosowane przy ustalaniu wysokości kary dla administratorów lub podmiotów przetwarzających.” Podobnie do tematu podszedł organ duński, który we współpracy z prokuraturą generalną oraz policją przygotował poradnik dotyczący naliczania kar. Dzięki wytycznym, sposób ustalania wysokości kar ma być bardziej przejrzysty dla wszystkich zainteresowanych podmiotów. Organ zaznaczył, że jest to dokument roboczy, który może ulec zmianie wraz z rozwojem praktyki krajowej jak i unijnej.
Inaczej podchodzi do tego organ czeski, który wyjaśnił, że „w Republice Czeskiej z zasady wewnętrzne tabele taryfowe nie są wykorzystywane do ustalania kar, ani nasz Urząd z nich nie korzysta. Ocena jest przeprowadzana indywidualnie dla każdego przypadku.” Podobnie do tematu podchodzi organ hiszpański, który wysokość kary również ocenia indywidualnie w każdym postępowaniu.
Dzięki odpowiedziom organów nadzorczych wiemy, że większość opiera się wyłącznie na art. 83 RODO i bada indywidualnie każdy przypadek. Jedynie niektóre opracowały wewnętrzne, krajowe taryfikatory/wytyczne. Bez wątpienia jednak wszystkie oczekują na przyjęcie wytycznych w tym zakresie przez Europejską Radę Ochronę Danych.
Powrót do pracy po epidemii – jakich zasad należy przestrzegać?
Powrót do biur – powrót kontroli (?)
Zbliżające się lato, ale przede wszystkim (mamy nadzieję) skuteczna akcja szczepień a co za tym idzie poprawa sytuacji epidemiologicznej, spowodują że zaczniemy planować powroty do pracy w biurach. Jednocześnie, tam gdzie wykonywanie pracy w formie zdalnej się sprawdziło pozostanie ona na dłużej jako praca hybrydowa. Wydaje się, że również krajowe organy będą ograniczać pracę zdalną. Wraz z powrotami, można spodziewać się zwiększonej aktywności organów w obszarze, który był utrudniony przez pracę zdalną, głównie kontroli. Będziemy oczywiście to śledzić.