Jak uniknąć konsekwencji finansowych – kolejne kary Prezesa UODO źródłem wskazówek dla administratorów

W ostatnim czasie Prezes UODO zdecydowanie częściej korzysta z możliwości nakładania na przedsiębiorców kar pieniężnych. W swoich decyzjach zwraca uwagę między innymi na zbyt późne identyfikowanie incydentów, niezgłaszanie naruszeń do Urzędu – ale też, coraz częściej – brak współpracy z organem. W ciągu ostatnich dwóch tygodni zostały nałożone dwie tego typu kary. Wyjaśniamy, jakie wnioski można z nich wyciągnąć.

Brak współpracy z UODO

Podstawą obu  kar Prezesa UODO był brak współpracy z Urzędem, który wszczął postępowanie na skutek skargi osób, których dane dotyczą.

W pierwszej sprawie, przedsiębiorca nie odebrał skierowanych trzykrotnie przez Urząd wezwań do złożenia wyjaśnień, mimo kierowania ich na adres siedziby przedsiębiorcy ujawniony w Krajowym Rejestrze Sądowym. Pisma te zostały dwukrotnie awizowane, a w konsekwencji, skutecznie doręczone.

W drugim przypadku, przedsiębiorca odebrał kierowaną do niego korespondencję, lecz mimo dwukrotnego wezwania, a także próby nieformalnego ponaglenia przedsiębiorcy (Urząd skontaktował się ze spółką także mailowo oraz telefonicznie), nie złożył wyjaśnień.

Prezes UODO uznał, że oba podmioty naruszyły obowiązek zapewnienia organowi nadzorczemu dostępu do informacji niezbędnych do realizacji jego zadań, a w konsekwencji obu przedsiębiorcom nałożył administracyjną karę pieniężną w wysokości ponad 22 tysięcy zł na każdy podmiot.

Obowiązek udzielenia informacji

Zgodnie z art. 31 RODO, administrator i podmiot przetwarzający, mają obowiązek  współpracy z organem nadzorczym na żądanie, w ramach wykonywania przez niego swoich zadań. Dodatkowo Prezes UODO może nakazać administratorowi i podmiotowi przetwarzającemu, dostarczenie wszelkich informacji potrzebnych do realizacji jego zadań.

Każdy podmiot, który ma status administratora lub procesora, w praktyce powinien zatem – w wyznaczonym przez Urząd terminie – przekazać UODO wszystkie wymagane przez niego informacje i dane oraz na bieżąco udzielać wyjaśnień organowi nadzorczemu.

Jak współpracować z UODO?

Podstawowym sposobem na ograniczenie ryzyka nałożenia kary przez organ nadzorczy, jest pełna współpraca z UODO oraz udzielanie żądanych informacji. Jednocześnie warto kompleksowo przygotować się do udzielenia odpowiedzi – zebrać wszelkie niezbędne informacje dotyczące procesu przetwarzania danych osobowych objętego zapytaniem, zweryfikować, czy dopełnione zostały wszystkie formalności związane z danym procesem oraz upewnić się, że spółka posiada wymaganą dokumentację z zakresu ochrony danych osobowych.

Z nałożonych przez Prezesa UODO kar wynika, że równie ważne poza m.in. przeciwdziałaniem ryzykom, które mogą prowadzić do naruszeń danych osobowych, podejmowaniem działań zapewniających zgodność z RODO u przedsiębiorcy – czyli kwestii kluczowych z perspektywy ochrony danych osobowych – jest także sprawne i prawidłowe podejmowanie działań administracyjno–technicznych, czyli na przykład zapewnienie sprawnej i kompleksowej komunikacji z urzędem.

Jednym ze sposobów przygotowania się na okoliczność ewentualnej kontroli jest przeprowadzenie u przedsiębiorcy tzw. „symulacji kontroli”. Oznacza to przetestowanie prawidłowości działania przedsiębiorcy w przypadku m.in. konieczności komunikacji z urzędem i udzielania wyjaśnień.

Gdyby rozważali Państwo przeprowadzenie takiej symulacji w ramach swojej organizacji – nasi doradcy mają w tym zakresie duże doświadczenie i są do Państwa dyspozycji.

Ludmiła Łuczak
Manager | Radca prawny
ludmila.luczak@olesinski.com

Katarzyna Wężyk
Associate | Dział prawny
katarzyna.wezyk@olesinski.com