Sankcje za nieodbieranie korespondencji od UODO

Rok 2018 był przełomowy w dziedzinie ochrony danych osobowych. W związku z wejściem w życie rozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (Ogólne Rozporządzenie O Ochronie Danych) na administratorów danych osobowych zostały nałożone nowe obowiązki. Jednym z nich jest współpraca z organem nadzorczym, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. 

Obowiązek współpracy 

Obowiązek współpracy został nałożony na podmioty odpowiedzialne za proces przetwarzania danych osobowych, przy czym należy pamiętać, że obowiązek ten dotyczy nie tylko na administratorów, ale też podmioty przetwarzające lub ich przedstawicieli. Współpraca odbywa się w ramach wykonywania zadań przez PUODO. Istotnym jest, że obowiązek aktualizuje się wraz z żądaniem wystosowanym od PUODO. Od momentu żądania skierowanego bezpośrednio do podmiotu, jest on zobowiązany podjąć współpracę. 

Obowiązek współpracy w szczególności dotyczy odpowiedzi na wystosowane pytania, umożliwienie przeprowadzenia kontroli, udzielenie dostępu do danych osobowych. 

Kary administracyjne 

Utrudnianie i uniemożliwianie uzyskania dostępu do informacji, może skutkować nieuzasadnionym przedłużaniem postępowania, dlatego też organ otrzymał instrumenty, które pomagają w egzekwowaniu obowiązku współpracy. 

Naruszenie obowiązku współpracy jest przesłanką do nałożenia na administratora lub podmiot przetwarzający administracyjnej kary pieniężnej (kary nie można nałożyć na przedstawiciela wymienionych podmiotów), w wysokości w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. 

Kary nałożone przez PUODO za brak współpracy 

Prezes Urzędu Ochrony Danych Osobowych niejednokrotnie skorzystał z uprawnienia do nałożenia kary pieniężnej za brak współpracy. Podstawą nałożenia kar był brak dostępu do danych osobowych i innych informacji niezbędnych organowi do zrealizowania zadań. 

Odbieranie korespondencji stanowi przejaw dbałości o własne interesy, o czym przekonała się Spółka, która nie udzieliła informacji Prezesowi Urzędu Ochrony Danych Osobowych. Do Spółki skierowano 4 wezwania, z czego tylko jedno zostało odebrane. Z treści uzasadnienia decyzji jasno wynika, że nieodebranie korespondencji nie jest okolicznością łagodzącą. Organ trafnie wskazał, że zapewnienie odbioru pism jest obowiązkiem każdego podmiotu. Za nieodbieranie korespondencji nałożono karę w wysokości 18 192 PLN. Opisana sytuacja nie jest wyjątkiem, PUODO uprzednio za podobne naruszenie wydał już decyzję o nałożeniu kary pieniężnej w kwocie 22 739 PLN. 

Brak współpracy z organem może sporo kosztować. Obowiązek współpracy przejawia się nie tylko w odebraniu korespondencji, ale przede wszystkim w udzieleniu odpowiedzi na pytania skierowane przez PUODO. Wiele podmiotów w dalszym ciągu w swojej organizacji nie wdrożyło zasad wynikających z RODO. Administratorzy z obawy przed konsekwencjami próbują unikać odpowiedzi na żądania UODO. Takie postępowanie jest błędne, gdyż brak odpowiedzi spotęguje tylko wymiar kary, oprócz kary za niezgodne z prawem przetwarzanie danych osobowych, podmiot otrzyma karę za brak współpracy z organem nadzorczym. 

Obowiązek współpracy z PUODO dotyczy także podmiotów publicznych, co więcej od tych podmiotów oczekuje się szczególnego, większego niż w przypadku podmiotów prywatnych zrozumienia i szacunku do działań PUODO. Najwyższa kara za brak współpracy opiewała na kwotę 100 000 zł i została nałożona na podmiot publiczny – Głównego Geodetę Kraju, który odmówił wrażenia zgody na przeprowadzenie czynności kontrolnych. 

Dobre praktyki współpracy 

Pierwszym krokiem jest wprowadzenie w organizacji dobrych praktyk związanych z przetwarzaniem danych osobowych, w szczególności stworzenie i regularne wypełnianie odpowiednich rejestrów, przechowywanie danych osobowych w usystematyzowanych zbiorach.  

Kolejnym krokiem jest zapewnienie komunikacji, w szczególności zapewnienie odbioru korespondencji. Z decyzji PUODO jasno wynika, że nieodbieranie listów wskazuje na brak woli współpracy. 

Jeżeli podmiot przetwarza dane osobowe zgodnie z przepisami oraz odbierze wezwanie wystosowane przez PUODO, to z łatwością udzieli odpowiedzi na pytania Prezesa Urzędu Ochrony Danych Osobowych.