UODO – kontrole i kary

BySylwia Ostrowska

uodo

Zadaniem UODO jest przeprowadzanie kontroli oraz monitorowanie organizacji pracujących z danymi osobowymi. W ramach swoich kompetencji m.in. prowadzi postępowania w sprawie stosowania przepisów RODO. Jednym z instrumentów, za pomocą których to robi, jest przeprowadzanie kontroli w przedsiębiorstwach.

Kontrola z UODO

UODO może dokonać kontroli we wszystkich podmiotach przetwarzających dane osobowe, zarówno prywatnych jak i z sektora publicznego. Kontrole przeprowadza się na skutek indywidualnych skarg lub informacji, które pozyska UODO. Kontrolę organizacji przez UODO należy uzasadnić. Kontrolę prawidłowego przetwarzania danych w firmie przeprowadza się zgodnie:

  • z zatwierdzonym przez Prezesa Urzędu planem kontroli;
  • na podstawie uzyskanych informacji;
  • w ramach monitorowania przestrzegania stosowania RODO.
Organowi nadzorczemu przypisany jest szereg określonych kompetencji.

W śród nich m.in. prawo do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i niezbędnych informacji. Uprawnienie do uzyskania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego. Także dostęp do sprzętu i środków służących do przetwarzania danych. Wyróżniamy dwa rodzaje kontroli prowadzonych przez UODO:

  • kontrola planowa, realizowana na podstawie publikowanego na początku każdego roku tzw. planu sektorowych kontroli UODO – te kontrole prowadzi się zazwyczaj w siedzibie administratora;
  • doraźna kontrola – na skutek złożonej skargi o naruszenie przepisów ochrony danych osobowych – w tym przypadku kontrola najczęściej ma charakter korespondencyjny i obejmuje wymianę pism i innych dokumentów.

UODO posiada uprawnienia do kontroli organizacji, które przetwarzają dane osobowe. Nie jest jednak tak, że może ten Urząd skontrolować wszystko i wszystkich. Instytucje których nie obejmuje kontrola UODO to:

  • sądy w ramach sprawowania przez nie wymiaru sprawiedliwości,
  • służby specjalne,
  • podmioty mające za zadanie zapewnienie bezpieczeństwa narodowego,
  • osoby fizyczne, które przetwarzają dane osobowe na własny, prywatny użytek.
Kary nakładane przez UODO

Każde naruszenie jest inne i w zależności od konkretnej sprawy Prezes UODO może nałożyć administracyjną karę pieniężną lub odpowiednie środki naprawcze. Środki naprawcze jakie może nałożyć UODO to:

  • wydanie ostrzeżenia;
  • upomnienie;
  • nakazanie administratorowi danych, aby spełnił żądania osoby, której dane dotyczą;
  • wprowadzenie czasowych ograniczeń przetwarzania danych lub całkowity zakaz;
  • nałożenie oprócz lub zamiast środków naprawczych, administracyjnej kary pieniężnej.

Każda sprawa jest analizowana indywidualnie i precyzyjnie, tak aby nałożona kara była proporcjonalna do wagi naruszenia. Kary nakłada się nie tylko w przypadku niewłaściwego przetwarzania danych. Nakładane są też wtedy, gdy podmiot nie udostępni lub nie udzieli wymaganych informacji. Także wtedy gdy uniemożliwi przeprowadzenie działania, w celu zbadania konkretnego naruszenia.

Od czego zależy wysokość kary?

Wysokość nałożonej kary finansowej przez Prezesa UODO uzależniona jest od takich czynników jak:

  • skala i charakter naruszenia oraz czas jego trwania;
  • umyślny lub nieumyślny charakter naruszenia;
  • działania podjęte przez administratora w celu zminimalizowania ryzyka naruszenia (w tym stosowanych metod zabezpieczeń przed naruszeniem i ich adekwatności do oceny ryzyka wystąpienia naruszenia);
  • kategorie danych, które objęte zostały naruszeniem;
  • czy wystąpiło już wcześniej naruszenie w organizacji;
  • poziomu zaangażowania i współpracy z organem nadzorczym podczas trwającego postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.
Wysokość kar nakładanych przez UODO
  • do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) za np.: nieprawidłowości w zakresie powierzenia przetwarzania danych; niewłaściwe prowadzenie rejestru czynności przetwarzania lub jego brak; czy niezgłoszenie naruszenia ochrony danych lub niezawiadomienie o naruszeniu osoby, której dane dotyczą;
  • maksymalnie do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, np. za przetwarzanie danych osobowych niezgodnych z zasadami RODO, niedotrzymanie warunku wyrażenia zgody na przetwarzanie danych, niedotrzymanie warunków przetwarzania szczególnych kategorii danych osobowych (tj. np. danych o stanie zdrowia, wyznaniu, orientacji seksualnej), niedopełnienie obowiązku informacyjnego, czy prawa do sprostowania;
  • do 100 000 złotych na jednostki sektora finansów publicznych, instytuty badawcze czy Narodowy Bank Polski;
  • do 10 000 złotych na państwowe i samorządowe instytucje kultury
Przestrzeganie RODO

Jeżeli podmiot przetwarza dane osobowe to nie ma znaczenia czy działa on w zakresie administracji publicznej, jest działalnością jednoosobową czy to firmą zatrudniającą kilkaset osób. Każda organizacja, aby uniknąć kar finansowych czy upomnień nakładanych przez Prezesa UODO powinna stosować się do obowiązujących przepisów o ochronie danych osobowych. Przestrogą może tu być największa nałożona kara finansowa w wysokości prawie 5 milionów złotych. Dokładnie – 4 911 732 złotych na spółkę Fortum Marketing and Sales Polska S.A. Z dokładną treścią decyzji Prezesa UODO, a także całym naruszeniem zapoznacie się pod linkiem. https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020