Postępowanie Prezesa UODO po otrzymaniu zgłoszenia naruszenia od administratora
Zgłaszanie naruszeń ochrony danych osobowych jest obowiązkiem z art. 33 RODO, który budzi wśród administratorów strach. Jak to, mają donosić sami na siebie, a następnie jeszcze otrzymać karę za to co zrobili? W efekcie pojawia się pokusa, aby nie dokonywać zgłoszenia i zamieść wszystko pod dywan. Takie postępowanie wynika z niewiedzy administratora. Przede wszystkim należy podkreślić, że zgłoszenie ma charakter informacyjny. Idą za nim dwa główne cele: ocena przez Prezesa UODO, czy administrator postąpił właściwie, a także prowadzenie statystyk. Prezes UODO może po przyjęciu zgłoszenia po prostu odnotować je i uznać za zamknięte lub zwrócić się do administratora o dodatkowe wyjaśnienia. Ostatecznym narzędziem jest nakazanie dokonania pewnych czynności, np. zawiadomienia osób, których dane dotyczą. Doskonale obrazują sposób postępowania Prezesa UODO decyzje wydane w sprawie firmy ubezpieczeniowej Y. S.A. , która zgłosiła do UODO aż 15 naruszeń ochrony danych osobowych.
Uwaga na marginesie: skrót pochodzi z treści decyzji, tutaj warto zwrócić uwagę, ze w wielu przypadkach „anonimizacja” danych administratora w decyzjach jest zupełnie nieskuteczna, bo bez problemu można rozszyfrować kogo decyzja dotyczy.
Wracając do firmy Y. S.A., każde ze zgłoszeń dotyczyło udostępnienia danych osobowych osobie nieupoważnionej. W każdym przypadku, ponieważ zdarzenie było jednorazowe i zakończyło się w momecnie udostępnienia, tzn. naruszenie nie było naruszeniem trwającym, Prezes UODO uznał ewentualne postępowanie w tej sprawie za bezpodstawne. Jednakże w każdym z przypadków Prezes UODO miał zastrzeżenia do sposobu postępowania przez administratora w zakresie zawiadomiania osób, których dane dotyczą o naruszeniu ich danych. W każdym z przypadków Prezes UODO nakazał administratorowi zawiadomienie lub ponowne zawiadomienie tych osób (jeżeli pierwsze było niekompletne). Co ciekawe, administrator postanowił odwołać się od nakazów Prezesa UODO, w efekcie czego otrzymał informację o wszczęściu kontroli, jednakże zanim do niej doszło wykonał nakaz i postępowanie kontrolne zostało umorzone.
Powyższa historia jest bardzo pouczająca, ponieważ pokazuje, że dla Prezesa UODO liczy się to, aby administrator doprowadził do stanu zgodnego z przepisami prawa, a podstawowym narzędziem jest nakazanie administratorowi konkretnego działania.
Numery decyzji dotyczących postępowań wobec spółki Y. S.A.:
ZWAD.405.85.2018, ZWAD.405.158.2018, ZWAD.405.153.2018, ZWAD.405.154.2018, ZWAD.405.88.2018, ZWAD.405.9.2018, ZWAD.405.29.2018, ZWAD.405.28.2018, ZWAD.405.27.2018, ZWAD.405.26.2018, ZWAD.405.25.2018, ZWAD.405.23.2018, ZWAD.405.22.2018, ZWAD.405.11.2018, ZWAD.405.10.2018.
Wracając do możliwości nałożenia kary przez Prezesa UODO, analiza przebiegu postępowań zakończonych karami administracyjnymi, wykazuje że kara jest kolejnym krokiem podejmowanym przez organ nadzorczy, jeżeli adminstrator nie wykonał nakazu UODO. Tak było w przypadku prawie milionowej kary za niewypełnienie obowiązku informacyjnego (ZSPR.421.3.2018) oraz kary w wysokości prawie 60 tys. wobec DZPN za nieskuteczne usunięcie nielegalnie udostępnionych na stronie internetowej danych sędziów piłkarskich (ZSPR.440.43.2019). Każdy z tych administratorów miał możliwość uniknięcia kary, gdyby wykonał nakaz, który otrzymał w wyniku pierwszego postępowania wobec niego przez Prezesa UODO.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.