Konsekwencje braku wdrożenia przepisów o ochronie danych osobowych

W naszej praktyce wspierania różnych organizacji we wdrażaniu systemów ochrony danych osobowych czy po prostu w implementowaniu wymagań przepisów prawa w tym zakresie, często otrzymujemy pytania o konsekwencje braku wypełnienia tychże wymogów.

Konsekwencje mogą być różne, w zależności od skali uchybień oraz sposobu reakcji kierownictwa jednostki organizacyjnej na działania uprawnionych organów.


  1. Gdy w organizacji powołano ABI i zgłoszono go do rejestracji GIODO, organ otrzymuje kompetencję, aby wezwać ABI do dokonania sprawdzenia, niezależnie od sprawdzeń realizowanych przez ABI zgodnie z planem. W przypadku wypłynięcia od GIODO do ABI takiego wezwania, ABI będzie zobowiązany, aby je przeprowadzić (w określonym zakresie i terminie) oraz sporządzić sprawozdanie (art. 19b uodo), w którym będzie zobligowany wskazać m.in. wszelkie naruszenia przy przetwarzaniu i ochronie danych osobowych z terminem ich wyeliminowania (art. 36c uodo). W przypadku tak poważnych uchybień jak np. brak wymaganej dokumentacji, brak upoważnień do przetwarzania danych osobowych, czy brak zabezpieczeń w systemie informatycznym, GIODO mogłoby wydać decyzję administracyjną, nakazującą przywrócenia stanu zgodnego z prawem, poprzez – w najgorszym razie – usunięcie danych (art.18 uodo). Niezależnie od treści, każda decyzja administracyjna raczej nie wpływa pozytywnie na wizerunek organizacji, dlatego ABI powinien doprowadzić do sytuacji, że uchybienia zostaną wyeliminowane niezwłocznie, gdy zostaną przez niego wykryte (najlepiej jeszcze zanim to GIODO poprosi o sprawdzenie), aby ABI nie był zmuszony do przekazania GIODO negatywnych informacji nt. swojego pracodawcy. Gdyby jednak ABI był zmuszony poinformować GIODO o stwierdzonych uchybieniach, zanim GIODO wyda decyzję administracyjną, może zechcieć przeprowadzić kontrolę bezpośrednio, to jest przez wysłanie swoich inspektorów do administratora danych.

  2. Niezależnie od pkt.1, a zwłaszcza w sytuacji, gdy w organizacji nie powołano ABI, GIODO może skorzystać ze swoich uprawnień kontrolnych. Powodem kontroli jest najczęściej skarga osoby, której dane są przetwarzane i jeśli wyjaśnienia pisemne nie będą wystarczające, wówczas może dojść do inspekcji u administratora danych. GIODO realizuje również planowe kontrole branżowe - ostatnio częściej odwiedzał starostwa powiatowe i kancelarie prawnicze. W przypadku wpłynięcia informacji o zaplanowanej kontroli GIODO, jest tydzień czasu, aby spróbować chociaż w części uzupełnić braki, a następnie inspektorzy GIODO mogą zagościć w firmie nawet na tydzień i trzeba im będzie przekazywać wszelkie dokumenty i wyjaśnienia w zakresie objętym kontrolą – jakiekolwiek utrudnianie kontroli wiąże się z ryzykiem popełnienia przestępstwa zagrożonego nawet karą pozbawienia wolności (art. 54a uodo). Wykryte podczas kontroli uchybienia mogą skutkować konsekwencjami jak w pkt. 1, ale można zwrócić się do GIODO z wnioskiem o ponowne rozpatrzenie sprawy.

  3. Niezależnie od konsekwencji administracyjnych, stwierdzenie działań, bądź zaniechań wyczerpujących znamiona przestępstwa określonego w rozdziale 8 uodo, może wiązać się z zawiadomieniem przez GIODO prokuratury o podejrzeniu popełnieniu przestępstwa (art. 19 uodo) – w takim przypadku najbardziej prawdopodobne jest jednak umorzenia postępowania, bądź nawet odmowy jego wszczęcia, ze względu na małą szkodliwość społeczną zabronionego czynu czy zaniechania. Jak dotychczas nie zetknęliśmy się z sytuacją, aby ktoś poszedł do więzienia na podstawie przepisów karnych uodo, ale jednak zdarzały się wyroki w zawieszeniu za największe przewinienia, a także kary grzywny, wytaczano również sprawy cywilne o zadośćuczynienie nieuprawnionemu ujawnieniu danych.

  4. Na podstawie ustaleń z kontroli, GIODO może zażądać również wszczęcia postępowania dyscyplinarnego przeciwko osobom winnym dopuszczenia do uchybień (art. 17 ust. 2 uodo). Znamy co najmniej kilka przypadków dyscyplinarnego ukarania pracowników - były to najczęściej kary nagany lub finansowe.

  5. Brak wypełnienia decyzji GIODO może skutkować nałożeniem na administratora danych administracyjnych kar przymuszających, zgodnie z kpa, o łącznej wysokości do 100 tys. zł. Na decyzję GIODO przysługuje jednakże skarga do sądu administracyjnego. I jako szczęśliwe zakończenie artykułu można byłoby potraktować informację, że administratorom danych często udaje się wygrać w sądzie z GIODO - jak się okazuje organ nie jest nieomylny.

Można by w tym miejscu artykuł podsumować stwierdzeniem, że skoro konsekwencje niestosowania przepisów prawa w zakresie ochrony danych osobowych nie są rażąco dotkliwe, to prawdopodobnie właśnie to jest przyczyną tego, że wielu przedsiębiorców jeszcze nawet nie słyszało o ustawie o ochronie danych osobowych.

Jednakże to jeszcze nie koniec tego tekstu... Od pewnego czasu nierzetelne firmy działające w branży ochrony danych osobowych straszą przedsiębiorców rożnymi karami finansowymi za uchybienia wyssane z palca. Zgodnie z tym co napisano powyżej, administracyjne kary finansowe były tylko dla opornych. Jednakże za niespełna 2 lata sytuacja zmieni się diametralnie - wchodzące wówczas w życie Rozporządzenie Unii Europejskiej GDPR (General Data Protection Regulation) przewiduje administracyjne kary pieniężne w wysokości do 20 000 000 EUR lub do 4 % całkowitego rocznego światowego obrotu, wymierzane za konkretne uchybienia. Nie wystarczy zatem "posypanie głowy popiołem" i przywrócenie stanu zgodnego z przepisami - GIODO i tak będzie mogło nałożyć karę. Nie trudno się domyślić, jak wzrośnie znaczenie organu ochrony danych osobowych w Polsce, gdy będzie on mógł zasilać budżet Państwa poważnymi wpływami i jak to się przełoży na liczbę przeprowadzanych kontroli.

Niestety ryzyka naruszeń pojawią się również na polu zmiany obowiązujących przepisów, zatem nawet administratorzy danych, którzy w obecnym stanie prawnym wzorcowo wdrożyli przepisy prawa lub bezproblemowo przeszli kontrole GIODO, nie mogą "spocząć na laurach" i już teraz powinni rozpocząć przygotowania do zaimplementowania GDPR.

Biorą po uwagę powyższe rozważania - i ta sentencja wydaje się być właściwym podsumowaniem artykułu, abstrahując od tego, jakie znaczenie przypisano temu podejściu w GDPR - kluczowym wydaje się oparcie wszelkich działań przy przetwarzaniu danych osobowych na cyklicznej analizie ryzyka, przy czym często identyfikowane będą ryzyka prawne i finansowe, chociaż ich skala będzie zależna od poczynań GIODO.

Brak komentarzy

Napisz komentarz