Administracyjne kary pieniężne także za brak dokumentacji ODO
Z jednej strony założeniem RODO jest rozliczanie za skuteczność ochrony danych osobowych. Ogólnie rzecz ujmując, RODO nie obliguje do prowadzenia konkretnej dokumentacji. Niemniej jednak braki w dokumentacji ODO mogą skutkować wymierzeniem administracyjnej kary pieniężnej.
W temacie tygodnia o karach pieniężnych za nieprawidłowości w dokumentacji ODO m.in. za:
- brak polityki bezpieczeństwa,
- niezawieranie umów powierzenia przetwarzania danych,
- brak komunikatów o naruszeniach ochrony danych.
Ogólny wymiar kar pieniężnych
Obecnie administracyjna kara pieniężna może być wymierzona bezpośrednio po zakończeniu postępowania w sprawie stwierdzenia naruszenia. Prezes UODO nie musi najpierw nakazywać usunięcia stwierdzonych nieprawidłowości. Brak dokumentacji ODO może niejako bez uprzedzenia doprowadzić do konsekwencji finansowych.
Dwie kategorie administracyjnych kar pieniężnych
RODO wyszczególnia 2 grupy, których naruszenie skutkuje odpowiedzialnością finansową.
|
kwota kary |
przykładowe naruszenia ochrony danych |
|
uwzględnianie ochrony danych w fazie projektowania oraz przestrzegania zasady domyślnej ochrony danych |
|
wynikające ze współadministrowania danymi osobowymi |
|
|
związane z przetwarzaniem w twoim imieniu danych przez podmiot przetwarzający |
|
|
rejestrowanie czynności przetwarzania |
|
|
współpraca z organem nadzorczym |
|
|
stosowanie odpowiednich środków bezpieczeństwa zapewniających wymagany poziom ochrony danych osobowych |
|
|
zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu |
|
|
zawiadamianie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych |
|
|
związane z oceną skutków przetwarzania dla ochrony danych osobowych |
|
|
konsultacja planowanego przetwarzania danych z organem nadzorczym, jeśli była wymagana |
|
|
podstawowe zasady przetwarzania danych osobowych (W tym warunki i zasady uzyskiwania zgody osoby, której dane dotyczą) |
|
prawa osób, których dane dotyczą |
|
|
przekazywanie danych osobowych do państw trzecich |
Kary nie mogą przekroczyć 100 000 zł w przypadku:
- jednostek sektora finansów publicznych,
- instytutów badawczych,
- Narodowego Banku Polskiego.
Kilka słów o kryteriach wymiaru administracyjnej kary pieniężnej
RODO wiąże wysokość administracyjnych kar pieniężnych z określonymi kategoriami naruszeń ochrony danych. Kary są różnicowane w kontekście okoliczności faktycznych danego przypadku. Do kryteriów różnicujących zalicza się np.:
- wagę, czas trwania naruszenia, rodzaj naruszonych danych osobowych,
- umyślny bądź nieumyślny charakter naruszenia,
- działania w celu zminimalizowania szkody poniesionej przez podmioty danych,
- to, jak organ nadzorczy dowiedział się o naruszeniu (czy i w jakim zakresie je zgłoszono).
Konsekwencje za brak rejestru czynności przetwarzania danych
W jakich przypadkach administrator może odpowiadać za nieprawidłowości w dokumentacji? Otóż administracyjna kara pieniężna może grozić za nieprowadzenie lub nienależyte prowadzenie rejestru czynności przetwarzania danych.
Administrator może zostać ukarany np. za niepodanie wszystkich czynności przetwarzania, jakie mają miejsce w organizacji.
Brak umowy powierzenia niesie negatywne konsekwencje
Bardzo często spotyka się również naruszenia w postaci niezawarcia umowy powierzenia przetwarzania danych osobowych. To bardzo popularne naruszenie ochrony danych dotyczące dokumentacji ODO.
Burmistrz zaniechał zawarcia umowy powierzenia przetwarzania danych z firmą obsługującą stronę Biuletynu Informacji Publicznej dla gminy. W efekcie Prezes UODO wymierzył karę w kwocie 40 000 zł (decyzja Prezesa UODO z 18 października 2019 r. ZSPU.421.3.2019).
Brak upoważnień dla personelu obciąża ADO
Podobnym błędem w zakresie dokumentacji ODO jest niewydanie upoważnień do przetwarzania danych osobowych. Takie upoważnienia powinny zostać udzielone osobom przetwarzającym dane w imieniu administratora.
Dokumentacja bezpieczeństwa – jednak obowiązkowa?
Wprawdzie takie dokumenty jak polityka bezpieczeństwa czy procedura postępowania na wypadek naruszeń nie są wprost przewidziane w RODO. Niemniej jednak ich w brak połączony z nieskutecznym działaniem administratora na tych płaszczyznach z całą pewnością może być obciążający.
W omawianej już sprawie dotyczącej Biuletynu Informacji Publicznej jednym ze stwierdzonych naruszeń był „brak odpowiednich polityk dotyczących przetwarzania danych osobowych w Biuletynie Informacji Publicznej Urzędu Miejskiego […] pod kątem ich aktualności i celowości publikacji oraz określających terminy usunięcia danych osobowych”.
Błędy w zakresie zgód na przetwarzanie danych
Zdarza się również, że administratorzy pozyskują zgody na przetwarzanie danych osobowych niezgodnie z wymogami RODO.
Prezes UODO ukarał jedną ze szkół administracyjną karą pieniężną w wysokości 20 000 zł. Karę wymierzono za przetwarzanie danych biometrycznych uczniów na podstawie zgód ich rodziców. Tych zgód nie można było uznać za dobrowolne. Sprawa ta była przedmiotem decyzji z dnia 18 lutego 2020 r. ZSZZS.440.768.2018
Kara może być wymierzona także za braki w zawartej umowie powierzenia przetwarzania danych. Takiego uchybienia dopuściła się w przeszłości Krajowa Szkołą Sądownictwa i Prokuratury. Zawierane przez nią umowy powierzenia m.in. niewystarczająco precyzowały zakres przekazywanych danych. W efekcie KSSiP zostało ukarane sankcją w wysokości 100 tys. zł (decyzja z dnia 11 stycznia 2021 r. DKN.5130.2815.2020).
Brak dokumentacji ODO potwierdzającej wykonanie praw podmiotów danych
Błędy w zakresie dokumentacji ODO mogą obejmować również wykonywanie praw podmiotów danych.
Administrator nie posiada dokumentów potwierdzających obowiązek powiadomienia o:
- sprostowaniu,
- usunięciu danych osobowych,
- ograniczeniu przetwarzania.
Brak komunikatów o naruszeniach dla podmiotów danych – jeden z najczęstszych błędów
Zdecydowanie najwięcej kar wymierzanych jest za brak sporządzania zawiadomień o naruszeniu ochrony danych osób, których te dane dotyczą.
W niedawnej decyzji z 14 października 2021 r. (DKN.5131.16.2021) Prezes UODO wymierzył karę w wysokości ponad 363 tys. zł. Bank nie powiadomił podmiotów danych o naruszeniu. Założył bowiem, że zagrożenie dla ich praw i wolności nie było wysokie. Według organu nadzorczego była to błędna ocena, choćby dlatego, że wyciek danych dotyczył m.in. numerów PESEL klientów. Za niepowiadomienie podmiotów danych ukarano też Fundację Lex Nostra (decyzja z 30 czerwca 2021 r. DKN.5131.11.2020).
Kary finansowe to nie wszystko
Brak dokumentacji poza karami pieniężnymi może spotkać się również z innymi konsekwencjami. Wszak Prezes UODO ma stosunkowo szerokie uprawnienia kontrolne i naprawcze. W przypadku naruszeń w zakresie dokumentacji organ nadzorczy może więc, zamiast od razu wymierzać karę pieniężną:
- wydać ostrzeżenia dotyczące możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania,
- udzielać upomnienia, gdy doszło do naruszenia przepisów rozporządzenia przez operacje przetwarzania,
- nakazać spełnienie żądania podmiotu danych, wynikającego z praw przysługujących mu na mocy RODO,
- nakazać dostosowanie operacji przetwarzania do przepisów RODO,
- wprowadzić czasowe lub całkowitego ograniczenie przetwarzania, w tym zakaz przetwarzania,
- nakazać zawiadomienie podmiotu danych o naruszeniu ochrony danych.
W toku kontroli Prezes UODO stwierdził brak rejestru czynności przetwarzania. Jak się okazało, administrator pozostawał w błędnym przeświadczeniu, że z uwagi na profil działalności nie musi on prowadzić takiego rejestru. Przyjął bowiem, że jego działalność nie wiąże się z ryzykiem naruszenia praw i wolności osób fizycznych. Prezes UODO poprzestał na nakazaniu wdrożenia takiego rejestru i odstąpił od ukarania administracyjną karą pieniężną.
Kary za brak dokumentacji ODO nie wykluczają innych konsekwencji
Oczywiście administracyjne kary pieniężne za brak dokumentacji nie wykluczają także innych konsekwencji np. odpowiedzialności odszkodowawczej administratora względem podmiotów danych za szkodę wywołaną naruszeniem ochrony danych. Odrębną kwestią są również konsekwencje porządkowe, dyscyplinarne, czy karne dla pracowników.
Nawet w przypadku ukarania administratora karą pieniężną musi on liczyć z ryzykiem dochodzenia przeciwko niemu wypłaty odszkodowania za szkodę wywołaną naruszeniem. Z takim roszczeniem może wystąpić osoba, której dane objęte były zdarzeniem.
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 83,
- ustawa z 10 maja 2018 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2019 r. poz. 1781 ze zm.) – art. 102.
- RODO na YouTube - ochrona danych osobowych jako obowiązek youtubera
- Biuletyn Informacji Publicznej - administrator musi zawrzeć umowę powierzenia przetwarzania danych
- Skarga do WSA na decyzję UODO – jak ją złożyć
- RODO a KZP - zasady przetwarzania danych osobowych w kasie zapomogowo-pożyczkowej
- Kary za naruszenie RODO w Polsce - w jaki sposób ustala się ich wysokość
- Prawo do sprostowania danych osobowych zgodnie z RODO musi być realizowane niezwłocznie
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
