Brak współpracy z organem nadzorczym oraz niezapewnienie dostępu do wszelkich informacji niezbędnych do realizacji zadań przez Urząd Ochrony Danych Osobowych(UODO) był powodem kolejnej nałożonej przez Prezesa UODO kary.
Same działania Urzędu wobec Spółki rozpoczął donos osoby fizycznej, która stwierdziła nieprawidłowości w procesie przetwarzania jego danych.
Samych donosów na Administratorów danych Osobowych jest coraz więcej. Jak wskazuje portalsamorzodowy.pl
UODO podkreśla, że odkąd stosujemy RODO wzrosła liczba skarg na administratorów. W 2017 roku, czyli jeszcze przed RODO, było ich około 2,9 tys., a już rok później złożono ich ponad 5,5 tys.
Rok 2019 to nieco ponad 9,3 tys. skarg. W roku 2020, co prawda liczba skarg zmalała, jednak nadal utrzymywała się wysoko - 6,4 tys.
Ze względu na lawinowo rosnącą liczbę skarg konieczne było zmodyfikowanie struktury, by usprawnić działania Urzędu. Utworzono Departament Skarg, którego pracownicy skupili się wyłącznie na rozpatrywaniu skarg obywateli.
źródło: https://www.portalsamorzadowy.pl/prawo-i-finanse/rodo-lawinowo-rosnie-liczba-skarg-na-administratorow,286625.html
Wróćmy jednak do samej kary.
W związku z rozpoczętym postępowaniem administracyjnym, Prezes UODO zgłosił się do Spółki poprzez wysłanie Pisma za pośrednictwem Poczty Polskiej celem złożenia wyjaśnień. Spółka nie odebrała pisma, a zgodnie z brzmieniem art. 44 § 4 w zw. z art. 45 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.), zwanej dalej „k.p.a.” – pismo awizowane dwukrotnie, uznaje się za doręczone.
W dalszej kolejności dwa razy wysłano ponowne wezwanie, obu nie podjęto i oba uznane zostały za doręczone.
Prezes UODO wyraźnie wskazuje, że:
… powinnością każdej jednostki organizacyjnej jest zapewnienie takiej organizacji odbioru pism, aby przebieg korespondencji odbywał się w sposób ciągły i niezakłócony oraz wyłącznie przez osoby uprawnione. Zaniedbania w tym zakresie obciążają tę właśnie jednostkę organizacyjną.
Prezes UODO, próbował w swoich zapytaniach rozstrzygnąć między innymi, czy Spółka jest Administratorem danych czy podmiotem przetwarzającym dane. W związku z brakiem wyjaśnień Spółki w tym celu zgłosił się do skarżącego oraz do banku, który przekazał dane do Spółki celem zaoferowania i przeprowadzenia procesu nabycia obligacji.
Takie informacje Urząd otrzymał od skarżącego oraz z wyjaśnień Banku.
Przypominamy:
Obowiązek współpracy z organem nadzorczym jest identyczny dla administratora i podmiotu przetwarzającego. Współpraca ta, obejmuje konieczność przedstawienia organowi nadzorczemu – na jego żądanie – wszelkich posiadanych przez administratora lub podmiot przetwarzający informacji związanych z prowadzonym postępowaniem.
Spółka milczała, a Prezes UODO zdecydował się nałożyć na nią karę. W związku z brakiem możliwości wglądu w dane finansowe Spółki ustalił ją jak wskazuje w decyzji:
Wobec nieprzedstawienia przez Spółkę żądanych przez Prezesa UODO danych finansowych za rok 2019, ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie, Prezes UODO wziął pod uwagę, w oparciu o art. 101a ust. 2 u.o.d.o., szacunkową wielkość Spółki oraz specyfikę, zakres i skalę prowadzonej przez nią działalności.
W decyzji bardzo mocno wielokrotnie podkreślone zostało, że odpowiedzialność za nieudzielenie UODO żądanych przez niego informacji spoczywa na Spółce.
Wśród samych Inspektorów Ochrony Danych ponownie jednak pojawiło się pytanie: czy lepiej nie kontaktować się z Urzędem i otrzymać 20 tysięcy złotych kary, czy tak jak np. Cyfrowy Polsat S.A. informować o każdym incydencie i otrzymać karę 1 136 975 złotych ? Czy jeśli okazałoby się, że Spółka przetwarza miliony rekordów takich jak skarżący danych i wskazaną karę należałoby pomnożyć przez ich liczbę, to czy nie zyskała na niekontaktowaniu się z Urzędem ? W naszej opinii nigdy nie należy zamiatać kłaków pod dywan, bo prędzej czy później ktoś je stamtąd wyciągnie.
Czekamy na rozwój sytuacji i dalsze informacje na temat działań podjętych przez Urząd w przedmiotowej sprawie, o których na pewno będziemy informować.
Link do samej decyzji: https://uodo.gov.pl/decyzje/DKE.561.23.2020 i informacji Urzędu https://uodo.gov.pl/pl/138/2067
Pozdrawiamy,
Zespół rodo.pl