W naszej praktyce wspierania różnych organizacji we wdrażaniu systemów ochrony danych osobowych, czy po prostu w implementowaniu wymagań przepisów prawa w tym zakresie, często otrzymujemy pytania o konsekwencje braku wypełnienia tychże wymogów.
Konsekwencje mogą być różne, w zależności od skali uchybień oraz sposobu reakcji kierownictwa jednostki organizacyjnej na działania uprawnionych organów. W poniższym artykule opisujemy konsekwencje niestosowania przepisów o ochronie danych osobowych (w szczególności RODO) zarówno dla administratorów jak i osób fizycznych przetwarzających dane w ich imieniu.
1. Kontrola zgodności z przepisami prawa za pośrednictwem Inspektora Ochrony Danych
Gdy w organizacji wyznaczono Inspektora Ochrony Danych (IOD) i poinformowano o tym Prezesa Urzędu Ochrony Danych Osobowych (UODO), zgodnie w przepisami prawa w tym zakresie, inspektor staje się punktem kontaktowym dla organu nadzorczego (na podstawie art. 39 ust. 1 lit. e RODO). Istnieje zatem duże prawdopodobieństwo, że to bezpośrednio z IOD będzie się kontaktował organ nadzorczy w związku ze zgłoszoną skargą lub naruszeniem ochrony danych osobowych.
Jednym z zadań IOD-y jest także współpraca z organem nadzorczym (art. 39 ust. 1 lit. d RODO). Stanowi to pewną analogię do poprzedniego stanu prawnego. Organ miał wtedy kompetencję, aby wezwać ABI do dokonania sprawdzenia (w określonym zakresie i terminie) oraz sporządzenia sprawozdania.
Podobne oczekiwanie, choć nie tak sformalizowane jak wobec ABI, może mieć organ nadzorczy również wobec IOD-y. IOD-a może zostać zobligowany (a jeśli nie IOD-a, to administrator bezpośrednio) do składania wszelkich wyjaśnień i wskazywania uchybień przy przetwarzaniu i ochronie danych osobowych z terminem ich wyeliminowania (o ile taki został wyznaczony).
W przypadku tak poważnych uchybień jak np. brak zgody (lub innej przesłanki) na przetwarzanie danych, niespełnienie obowiązku informacyjnego czy brak zabezpieczeń w systemie informatycznym, UODO mogłoby wydać decyzję administracyjną, nakazującą przywrócenia stanu zgodnego z prawem, poprzez – w najgorszym razie – usunięcie danych.
Niezależnie od treści, każda decyzja administracyjna raczej nie wpływa pozytywnie na wizerunek organizacji. Z tego powodu IOD-a powinien doprowadzić do sytuacji, że uchybienia zostaną wyeliminowane niezwłocznie, gdy zostaną przez niego wykryte, najlepiej jeszcze zanim to UODO poprosi o sprawdzenie. W ten sposób inspektor nie będzie zmuszony do przekazania organowi nadzorczemu negatywnych informacji na temat swojego pracodawcy.
Gdyby jednak IOD-a był zmuszony poinformować UODO o stwierdzonych uchybieniach, zanim organ wyda decyzję administracyjną, może zechcieć przeprowadzić kontrolę bezpośrednio, to jest przez wysłanie swoich kontrolerów do administratora danych.
2. Postępowanie kontrolne UODO
Niezależnie od powyższej sytuacji, a zwłaszcza wtedy, gdy w organizacji nie wyznaczono IOD-y, UODO może skorzystać ze swoich uprawnień kontrolnych. Powodem kontroli jest najczęściej skarga osoby, której dane są przetwarzane. Jeśli wyjaśnienia pisemne nie będą wystarczające, wówczas może dojść do inspekcji u administratora danych.
UODO realizuje również planowe kontrole branżowe.
Ostatnio częściej odwiedzał firmy telemarketingowe i przedstawicieli innych kontrowersyjnych branż. W przypadku wpłynięcia informacji o zaplanowanej kontroli UODO (chociaż organ nie ma obowiązku o niej informować), przedsiębiorca ma około tygodnia, aby spróbować chociaż w części uzupełnić braki.
Następnie kontrolerzy UODO mogą zagościć w firmie nawet na 30 dni (art. 89 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r.; uodo). Należy im wtedy przekazać wszelkie dokumenty i wyjaśnienia w zakresie objętym kontrolą. Jakiekolwiek utrudnianie kontroli wiąże się z ryzykiem popełnienia przestępstwa zagrożonego nawet karą pozbawienia wolności (art. 108 uodo).
Wykryte podczas kontroli uchybienia mogą skutkować konsekwencjami jak przedstawione w pkt. 1. Podmiot, którego one dotknęły „ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego” (art. 78 ust. 1 RODO).
3. Odpowiedzialność karna za naruszenia przepisów o ochronie danych osobowych
Niezależnie od konsekwencji administracyjnych, stwierdzenie działań bądź zaniechań wyczerpujących znamiona przestępstw określonych w art. 107 oraz 108 uodo, może wiązać się z zawiadomieniem przez UODO prokuratury o podejrzeniu popełnienia przestępstwa.
Do tej pory nie zetknęliśmy się jednak z sytuacją, aby ktoś poszedł do więzienia na podstawie przepisów karnych uodo. Zdarzały się natomiast wyroki w zawieszeniu za największe przewinienia, a także kary grzywny. Wytaczano również sprawy cywilne o odszkodowanie lub zadośćuczynienie nieuprawnionemu ujawnieniu danych lub innym naruszeniom.
4. Odpowiedzialność dyscyplinarna i cywilna za naruszenia przepisów o ochronie danych osobowych
Na podstawie ustaleń z kontroli, UODO może zażądać również wszczęcia postępowania dyscyplinarnego przeciwko osobom winnym dopuszczenia do naruszeń (art. 58 uodo).
Znamy co najmniej kilka przypadków dyscyplinarnego ukarania pracowników, jeszcze przy poprzednim stanie prawnym.
Były to najczęściej kary nagany lub finansowe, ale możliwe są również dyscyplinarne zwolnienia z pracy.
Należy przy tym pamiętać, że osoby zatrudnione na umowach cywilno-prawnych są znacznie mniej chronione przed roszczeniami pracodawcy niż pracownicy.
Tak więc straty finansowe administratora, rozumiane jako nałożona kara lub należności zasądzone wyrokiem sądu, może chcieć on przenosić na osoby, które dopuściły się uchybień.
5. Administracyjne kary przymuszające oraz administracyjne kary pieniężne
Brak wypełnienia decyzji UODO może skutkować nałożeniem na administratora danych administracyjnych kar przymuszających, zgodnie z kpa, o łącznej wysokości do 100 tys. zł. RODO dało organom nadzorczym również uprawnienie nakładania administracyjnych kar pieniężnych, równolegle lub niezależnie od decyzji nakazującej przywrócenie stanu zgodnego z prawem. Ich wysokość sięga nawet do 20 000 000 EUR lub do 4 % całkowitego rocznego światowego obrotu.
Na każdą decyzję UODO przysługuje skarga do sądu administracyjnego i jej wniesienie wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
Jako szczęśliwe zakończenie artykułu można byłoby potraktować informację, że administratorom często udawało się wygrywać w sądzie z organem nadzorczym – ówczesnym GIODO, poprzednikiem UODO. Jak się okazuje organ nie jest nieomylny.
Jedynym sposobem na uniknięcie negatywnych konsekwencji naruszenia przepisów RODO oraz innych przepisów prawa ochrony danych osobowych jest wdrożenie określonych prawem wymagań oraz pełnienie nadzoru nad działalnością organizacji. Procesy przetwarzania danych powinny zapewniać właściwą ich ochronę, być realizowane w zgodzie z przepisami prawa oraz gwarantować osobom, których dane dotyczą, realizację przysługujących im na mocy RODO uprawnień.
Niestety wdrożenie przepisów RODO oraz późniejsze przetwarzanie danych osobowych w zgodzie z przepisami prawa, wymaga posiadania na ich temat odpowiedniej wiedzy oraz umiejętności właściwej ich interpretacji.
Co więcej, właściwe przetwarzanie danych w organizacji wymaga również posiadania kompetencji z zakresu analizy ryzyka i bezpieczeństwa teleinformatycznego oraz bezpieczeństwa fizycznego.
W razie problemów w dostosowaniu swojej działalności do przepisów prawa warto skorzystać z pomocy ekspertów w uzyskaniu pełnej kontroli nad właściwym przetwarzaniem danych osobowych.