Noriet radzi: Nie takie RODO (PUODO) straszne, jak je malują

Wejście w życie rozporządzenia o ochronie danych osobowych w dniu 25 maja 2018 r. z pewnością wiele osób zapamięta na długo – głównie z powodu lawinowo zalewającego nasze skrzynki mailowe SPAMU w przedmiocie informacji na temat przetwarzania naszych danych osobowych, przeprowadzanych w ekspresowym tempie obowiązkowych szkoleń w miejscu pracy z zakresu przetwarzania danych osobowych, a także niepokojących wieści o niebotycznie wysokich karach, jakie grożą za nieprzestrzeganie przepisów rozporządzenia (co do zasady do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa).
Wraz z dniem 25 maja 2018 r. uchylona została także dotychczas obowiązująca ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r., którą większości z nas do tej pory kojarzyła się przede wszystkim z procesem rekrutacji i wysyłaniem CV, bowiem jej zamieszczenie w życiorysie było obligatoryjne jeśli chcieliśmy, aby pracodawca mógł z naszego CV skorzystać.

Po upływie 2 lat od wejścia w życie RODO bez wątpienia można wyprowadzić wniosek, iż wprowadziło ono pewnego rodzaju rewolucję w zakresie świadomości społeczeństwa na temat przetwarzania ich danych osobowych, szczególnie w zakresie praw przysługujących każdemu w związku z przetwarzaniem jego danych osobowych, a także poprzez obligatoryjną realizację przez podmioty, które nasze dane przetwarzają, obowiązków informacyjnych o treści szczegółowo określonej w art. 13 i art. 14 RODO. Zgodnie z treścią powyższych postanowień, co do zasady przed rozpoczęciem przetwarzania danych osobowych podmiot, który te dane będzie przetwarzał, musi poinformować osobę zainteresowaną o kilku istotnych z punktu widzenia prawa ochrony danych osobowych faktach – chociażby o tym, na jakiej podstawie dane przetwarza czy też w jakim celu i przez jaki czas dane te będą przetwarzane, a także – jakie prawa przysługują danej osobie w związku z przetwarzaniem jej danych osobowych.
Niemałe zamieszanie RODO wprowadziło też w dotychczas „poukładanej” działalności przedsiębiorców, którzy przetwarzają dane osobowe osób fizycznych – kwestia związana z ochroną danych osobowych stała się, chcąc nie chcąc, tematem, nad którym musieli się pochylić, aby dostosować profil prowadzonej przez nich działalności do aktualnych wymogów związanych z ochroną danych osobowych. Wielu przedsiębiorców zostało zobligowanych na mocy przepisów rozporządzenia do wyznaczenia w swojej organizacji funkcji Inspektora Ochrony Danych Osobowych (który nota bene zastąpił dotychczas nieobligatoryjnego Administratora Bezpieczeństwa Informacji).
Zdecydowanie motywującym czynnikiem do pochylenia się nad tematyką ochrony danych osobowych w codziennej działalności stało się widmo dotkliwych konsekwencji finansowych, jakie może przynieść przeprowadzona kontrola z Urzędu Ochrony Danych Osobowych w razie jej negatywnego wyniku. Dzisiaj więc pokrótce opiszę, jak prezentują się upublicznione statystyki przeprowadzonych postępowań kontrolnych i faktycznie nałożonych w stosunku do ich ilości kar finansowych, co, jak się okazuje, nie wypada na tle tegoż rozrachunku aż tak pesymistycznie.

Na wstępie należy zaznaczyć przede wszystkim fakt, iż zgodnie z treścią rozporządzenia, kara finansowa nie jest wyłączną i jedyną sankcją, jaka może zostać nałożona na podmiot naruszający obowiązujące przepisy rozporządzenia.
Zgodnie z treścią rozporządzenia, wachlarz możliwych sankcji, czy jak to jest wskazane expressis verbis w rozporządzeniu, „działań naprawczych”, zdecydował się prawodawca uregulować dość szeroko. Należą do nich więc m.in.: wydawanie administratorom lub podmiotom przetwarzającym dane ostrzeżeń, udzielanie upomnień, nakazanie spełnienia żądań osoby, której dane są przetwarzane, nakazanie podjęcia określonych działań dostosowujących do przepisów rozporządzenia, nakazanie powiadomienia o naruszeniu ochrony danych osobowych, nakazanie ograniczenia przetwarzania, nakazanie usunięcia danych oraz – wreszcie – nałożenie na administratora lub podmiot przetwarzający administracyjnej kary pieniężnej.
Co ciekawe, na stronie www.uodo.gov.pl w zakładce „Decyzje Prezesa UODO” można zapoznać się z upublicznionymi treściami decyzji prowadzonymi w sprawach, w których wszczęte było przez Prezesa Urzędu Ochrony Danych Osobowych postępowanie administracyjne. Posiłkując się danymi statystycznymi – wynika z tego, iż począwszy od roku 2018, opublikowanych przez Prezesa zostało 211 decyzji – w tym 10 decyzji nakładających na administratorów/podmioty przetwarzające dane osobowe administracyjne kary pieniężne, co stanowiło jedynie 5% spośród opublikowanych decyzji, zaś oceniając szacunkową liczbę decyzji na ok. 7 tys, wydanych począwszy od dnia 25 maja 2018 r., procentowy udział administracyjnych kar pieniężnych spośród wszystkich wydanych od dnia 25 maja 2018 r. decyzji wyniósł jedynie 0,2% (źródło: Lex Ochrona Danych Osobowych).

Warto również wskazać, iż jedna z najwyższych nałożonych dotychczas administracyjnych kar pieniężnych (ok. 1 000 000 zł) została nałożona na podmiot, który nie wywiązał się w ocenie UODO właściwie z określonych w rozporządzeniu obowiązków informacyjnych. Wyprowadzić stąd można wniosek, iż właściwa i skuteczna realizacja obowiązku informacyjnego stanowi istotną kwestię, którą każdy z podmiotów, który dane osobowe osób fizycznych przetwarza, powinien właściwie realizować. Co ciekawe, podmiot ukarany administracyjną karą pieniężną, jako argument przemawiający na jego korzyść wskazywał zawarte w art. 14 ust. 5 lit b RODO zwolnienie z obowiązku obligatoryjnego spełnienia obowiązku informacyjnego w razie konieczności poniesienia „niewspółmiernie dużego wysiłku” wskazując m.in., iż wypełnienie przez tenże podmiot obowiązku informacyjnego wobec wszystkich osób wiązałoby się z poniesieniem zbyt wysokich kosztów. Coż, argumentacja ta nie zyskała jak widać aprobaty Urzędu, który takiego powodu za uzasadniającego odstąpienie od wypełnienia obowiązków określonych w art. 14 RODO nie uznał, i nałożył na administratora karę pieniężną w wysokości niemalże 1 mln zł.
Warto również wskazać, iż postępowanie kontrolne prowadzone przez Urząd Ochrony Danych Osobowych może toczyć się albo na skutek skarg osób, których dane dotyczą, albo też z urzędu – w ramach zaplanowanych przez UODO na każdy rok tzw. kontroli sektorowych. Jak wynika z analizy upublicznionych przez Prezesa decyzji, większość z nich została zainicjowana skargami uprawnionych do jej złożenia podmiotów.
Do jakich wniosków prowadzi więc analiza rodzajów decyzji, nałożonych w nich sankcji i systematyki prowadzonych postępowań? Przede wszystkim do stwierdzenia, iż samo wszczęcie postępowania kontrolnego nie musi oznaczać, tego, iż zakończy się ono ze stuprocentową pewnością nałożeniem kary pieniężnej. Warto więc mieć na uwadze, aby w razie ewentualnej kontroli w sposób właściwy współpracować z Urzędem, co oznacza przede wszystkim wykonywanie terminowo wszelkich zaleceń, a także umożliwienie przeprowadzania urzędnikom czynności kontrolnych. Z całą pewnością wywrze to pozytywny wpływ na całokształt prowadzonego przez Urząd postępowania.
W razie ewentualnego naruszenia przetwarzania danych osobowych, którego mamy świadomość, warto dokonać stosownego zawiadomienia do Urzędu. Treść i tryb złożenia zawiadomienia określa art. 33 RODO. Może bowiem okazać się, iż po przeprowadzeniu postępowania wyjaśniającego w tym zakresie, organ umorzy postępowanie. W razie niedopełnienia obowiązku złożenia takiego zawiadomienia, co stanowi naruszenie przepisów rozporządzenia, a konkretnie wspomnianego wyżej art. 33 RODO, w przypadku, w którym zostanie na nasze działanie złożona skarga, brak takiego zawiadomienia rzutuje w sposób zdecydowanie negatywny i przybliża nas tym samym do nałożenia sankcji w postaci właśnie kary pieniężnej.

Miejmy również na uwadze fakt, iż większość postępowań prowadzonych przez Urząd została zainicjowana właśnie na skutek skargi uprawnionych osób. `Pamiętajmy więc o tym aby w codziennej działalności, w której przetwarzamy dane osobowe osób fizycznych, szczególną uwagę przyłożyć do zapewnienia możliwie najpełniejszej realizacji praw tychże osób w zakresie przetwarzania ich danych osobowych, co oznacza przede wszystkim udzielanie odpowiedzi na wszelkie kierowane w zakresie przetwarzania danych osobowych zapytania, właściwe wypełnianie obowiązków informacyjnych i zapewnienie bezpieczeństwa technicznego przetwarzanych danych osobowych.

autor: Marta Piekarska – radca prawny