Poradnik Przedsiębiorcy

Jak wygląda kontrola zgodności z RODO i co grozi za jego naruszenie?

Mimo że przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej zwane również RODO), które zacznie obowiązywać w Polsce w maju 2018 roku, nie wymagają implementacji, a ich stosowanie w porządku krajowym jest bezpośrednie, to konieczne jest dostosowanie krajowych regulacji do rozwiązań przewidzianych w rozporządzeniu. Jak wygląda kontrola zgodności z RODO i jakie grożą sankcje za jego naruszenie? Przybliżymy w artykule!

Postępowanie kontrolne

Jednym z uprawnień Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej także jako Prezes UODO lub Prezes Urzędu) jest prawo do przeprowadzania kontroli przestrzegania przepisów o ochronie danych osobowych. Ważną informacją jest to, że takie postępowanie będzie mogło zostać przeprowadzone niezapowiedzianie.

Zgodnie z projektem krajowej ustawy o ochronie danych osobowych kontrola zgodności z RODO przeprowadzana będzie zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli lub na podstawie uzyskanych przez niego informacji albo przeprowadzonych analiz.

Kontrola, o której wyżej mowa, może być przeprowadzana przez pracownika urzędu działającego z upoważnienia Prezesa Urzędu, zwanego kontrolującym. Projekt ustawy przewiduje wyłączenia kontrolującego z udziału w kontroli na wniosek lub z urzędu, w sytuacjach, kiedy zachodzą wątpliwości co do bezstronności kontrolującego lub wyniki kontroli mogłyby oddziaływać na jego prawa i obowiązki albo też prawa i obowiązki jego małżonka i czy innych bliskich mu osób, których szczegółowe wyliczenie znajduje się w art. 80 ustawy.

Kontrola zgodności z RODO - jak wygląda?

Kontrolujący winien przed kontrolą okazać imienne upoważnienie oraz legitymację służbową. W upoważnieniu do przeprowadzenia kontroli winny znaleźć się takie informacje jak m.in. oznaczenie kontrolowanego podmiotu oraz wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli.

Na potrzeby kontroli kontrolujący ma prawo do:

  • wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń;

  • wglądu do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;

  • przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;

  • żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;

  • zlecać sporządzanie ekspertyz i opinii.

Kontrolowany zaś obowiązany jest m.in. dokonywać potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków dokumentów mających związek z zakresem kontroli. Jeżeli nie będzie chciał tego zrobić, kontrolujący uczyni o tym wzmiankę w protokole kontroli.

Jak wygląda protokół kontroli?

Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń. Z przebiegu kontroli sporządzany jest protokół kontroli, który podpisuje kontrolujący. Po podpisaniu przez kontrolującego protokołu przedstawiany jest on do podpisu kontrolowanemu, który w terminie 7 dni od dnia przedstawienia mu tego dokumentu może go podpisać lub wnieść pisemnie zastrzeżenia do jego treści. W razie nieuwzględnienia zastrzeżeń w całości lub części, kontrolujący przekazuje kontrolowanemu informacje o tym wraz z uzasadnieniem. Brak doręczenia kontrolującemu podpisanego protokołu i niezgłoszenie zastrzeżeń do treści protokołu w terminie 7 dni od dnia przedstawienia protokołu kontrolowanemu, uznaje się za odmowę podpisania protokołu.

Postępowanie kontrolne nie może trwać dłużej niż 30 dni od dnia podjęcia czynności kontrolnych.

Sankcje za naruszenia RODO

Organ nadzoru będzie miał dwie grupy narzędzi dyscyplinujących. Pierwszą grupą uprawnień Prezesa Urzędu będą uprawnienia naprawcze. Poniżej przedstawiamy ich skrótowy katalog (szczegółowo wskazane są one w art. 58 RODO):

a) wydawanie upomnień i ostrzeżeń administratorowi lub podmiotowi przetwarzającemu;

b) uwzględnienie żądań osoby zawartych w skardze;

c) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów, a w stosownych przypadkach wskazanie sposobu i terminu;

e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;

f) wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;

g) sprostowanie lub usunięcie danych osobowych i powiadomienie o tych czynnościach odbiorców;

h) cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;

i) nakazanie  zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

Druga grupa uprawnień Prezesa UODO to uprawnienia do nakładania administracyjnych kar pieniężnych (art. 83 RODO). Oba narzędzia – zarówno z art. 58, jak i z art. 83 RODO mogą być stosowane łącznie.

Kara zgodnie z RODO powinna być indywidualna, proporcjonalna, skuteczna i odstraszająca.

Przy wydaniu decyzji o tym, czy nałożyć karę pieniężną i w jakiej wysokości, należy mieć na uwadze:

a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

b) umyślny lub nieumyślny charakter naruszenia;

c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich (...);

e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

g) kategorie danych osobowych, których dotyczyło naruszenie;

h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki (...) – przestrzeganie tych środków;

j) stosowanie zatwierdzonych kodeksów postępowania (...) lub zatwierdzonych mechanizmów certyfikacji (...) oraz

k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

RODO wskazuje przy tym, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów rozporządzenia, to całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

Naruszenia przez administratora lub podmiot przetwarzający obowiązków wynikających z RODO podlegają administracyjnej karze pieniężnej w wysokości do 10 000 000 EURO, a w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Z kolei jeżeli administrator lub podmiot przetwarzający naruszają wyjątkowo poważne obowiązki, jakie nakłada na nich RODO, takie jak:

  1. nieprzestrzeganie podstawowych zasad przetwarzania w tym warunków zgody

  2. nieprzestrzeganie praw osób, których dane dotyczą;

  3. nieprzestrzeganie regulacji związanych z przekazywaniem danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;

  4. nieprzestrzeganie nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy lub zapewnienie dostępu skutkującego naruszeniem

- wówczas przewidziano najwyższy rodzaj kar do wysokości 20 000 000 EURO, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Karę należy zapłacić w terminie 14. dni od dnia upływu terminu na wniesienie skargi do sądu administracyjnego. W razie bezskutecznego upływu terminu kara będzie podlegała ściągnięciu według przepisów o postępowaniu egzekucyjnym w administracji.

Od decyzji Prezesa Urzędu Ochrony Danych Osobowych nie będzie przysługiwało odwołanie do organu wyższej instancji, lecz wyłącznie skarga do Wojewódzkiego Sądu Administracyjnego (dalsze postępowanie prowadzone więc będzie w oparciu o przepisy kodeksu postępowania administracyjnego). Wniesienie przez stronę skargi do sądu administracyjnego powoduje wstrzymanie wykonania decyzji jedynie w zakresie dotyczącym administracyjnej kary pieniężnej. Oznacza to, że pozostałe elementy, czyli np. sprostowanie lub usunięcie danych, pomimo skargi podlegają natychmiastowemu wykonaniu.