Poradnik Przedsiębiorcy

Środki naprawcze w przepisach RODO - jakie występują?

Od chwili wejścia w życie przepisów RODO najwięcej uwagi poświęcono niewątpliwie niezwykle wysokim karom finansowym, jakie grożą za niewłaściwe przetwarzanie danych osobowych. Wbrew doniesieniom medialnym, kary finansowe nakładane są przez organy nadzorcze w ostateczności. Nałożenie sankcji pieniężnej jest zazwyczaj poprzedzone zastosowaniem względem administratora danych środków naprawczych. Jakie wyróżnia się środki naprawcze w przepisach RODO?

Środki naprawcze w przepisach RODO - ostrzeżenia, upomnienia i ograniczenia

Organem powołanym do kontroli przestrzegania przepisów dotyczących ochrony danych osobowych w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. Prezesowi Urzędu przysługuje szereg rozmaitych uprawnień związanych z wykonywaniem przepisów RODO, m.in. dotyczących prowadzenia postępowań kontrolnych, nakładania sankcji w przypadku nieprzestrzegania przepisów czy pełnienia funkcji doradczej. 

Prezes UODO prowadzi postępowania w sprawie naruszenia przepisów o ochronie danych osobowych. W przypadku stwierdzenia naruszenia może zastosować środki naprawcze albo nałożyć na administratora danych administracyjną karę pieniężną.

Katalog środków naprawczych wynika z przepisów RODO (przepis art. 58 ust. 2 rozporządzenia). Środki naprawcze w przepisach RODO jakie może zastosować organ nadzorczy zgodnie z przywołanym przepisem to:

  • wydawanie ostrzeżeń przedsiębiorcom przetwarzającym dane osobowe dotyczących możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania;

  • udzielanie upomnień przedsiębiorcom przetwarzającym dane osobowe w przypadku naruszenia przepisów RODO przez operacje przetwarzania;

  • nakazanie przedsiębiorcom przetwarzającym dane osobowe spełnienia żądań osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO (np. usunięcie danych tej osoby z bazy danych przechowywanej przez administratora);

  • nakazanie przedsiębiorcom przetwarzającym dane osobowe dostosowania operacji przetwarzania do przepisów RODO, a w szczególności w stosownych przypadkach wskazanie sposobu i terminu dostosowania;

  • nakazanie przedsiębiorcom przetwarzającym dane osobowe zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;

  • wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych, w tym zakazu przetwarzania;

  • nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazania powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;

  • cofnięcie certyfikacji lub nakazania podmiotowi certyfikującemu cofnięcia certyfikacji lub nakazania podmiotowi certyfikującemu nieudzielenia certyfikacji, jeśli wymogi certyfikacji nie były spełnione lub przestały być spełnione;

  • nakazania zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

Środki naprawcze w przepisach RODO, to między innymi ostrzeżenie, które jest najłagodniejszym środkiem naprawczym. Rodzaj zastosowanego przez organ nadzorczy środka naprawczego będzie zależał w każdym przypadku od okoliczności konkretnej sprawy.

Administracyjna kara pieniężna może zostać nałożona oprócz lub zamiast środków naprawczych wymienionych powyżej.

W wyjątkowych przypadkach organ nadzorczy może zastosować jednocześnie administracyjną karę pieniężną oraz środek naprawczy (np. zakaz przetwarzania danych).

Prezes Urzędu Ochrony Danych Osobowych może nakazać ograniczenie przetwarzania w toku postępowania dotyczącego potencjalnego naruszenia 

Jednym z najbardziej dotkliwych środków naprawczych w przepisach RODO jest wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych lub zakazu przetwarzania.  

Art. 70 ustawy o ochronie danych osobowych 
1. Jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes Urzędu, w celu zapobieżenia tym skutkom, może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych, wskazując dopuszczalny zakres tego przetwarzania.
2. W postanowieniu, o którym mowa w ust. 1, Prezes Urzędu określa termin obowiązywania ograniczenia przetwarzania danych osobowych nie dłuższy niż do dnia wydania decyzji kończącej postępowanie w sprawie.
3. Na postanowienie, o którym mowa w ust. 1, służy skarga do sądu administracyjnego.

Zgodnie z przepisami polskiej ustawy o ochronie danych osobowych Prezes UODO już w toku postępowania w sprawie potencjalnego naruszenia zasad ochrony danych osobowych może nałożyć na administratora danych zobowiązanie do ograniczenia przetwarzania danych w czasie postępowania. Do zastosowania tego środka wystarczające jest „uprawdopodobnienie” naruszenia przepisów o ochronie danych osobowych oraz wystąpienia w przyszłości poważnych i trudnych do usunięcia skutków (na przykład znacznych szkód majątkowych w dobrach osób fizycznych, których dane dotyczą). Uprawdopodobnienie nie jest jednoznaczne z udowodnieniem – do zastosowania środka wystarczające jest ustalenie, że do naruszenia doszło z dużym prawdopodobieństwem, nawet jeżeli w postanowieniu kończącym postępowanie stwierdzone zostanie, że do naruszenia nie doszło. 

Maksymalny czas obowiązywania ograniczenia nie może przekroczyć daty wydania decyzji kończącej postępowanie w sprawie. Wydane przez Prezesa UODO postanowienie może zostać zaskarżone za pomocą skargi wnoszonej do sądu administracyjnego.

Ukarany administrator danych może zaskarżyć decyzję do sądu

Postępowanie dotyczące naruszenia przepisów o ochronie danych osobowych toczy się w oparciu o przepisy Kodeksu postępowania administracyjnego oraz ustawy o ochronie danych osobowych (przepis art. 60 i n.). Na stronie postępowania (przede wszystkim – na administratorze danych) ciążą obowiązki związane z prowadzonym postępowaniem, dotyczące m.in. konieczności udostępnienia dokumentów, w tym tłumaczeń na język polski. Strona dokonuje tłumaczeń na własny koszt.

Prezes UODO może wymierzyć karę grzywny w wysokości od 500,00 zł do 5000,00 zł, jeżeli osoba wezwana do osobistego stawiennictwa w toku prowadzonego postępowania nie stawiła się, bezzasadnie odmówiła złożenia zeznań albo udziału w czynności urzędowej. Kara grzywny może zostać nałożona również wówczas, gdy strona odmówiła przedstawienia tłumaczeń dokumentów na język polski.

W toku sprawy Prezes UODO ma prawo dostępu do informacji objętych tajemnicą prawnie chronioną (np. tajemnicą przedsiębiorstwa). Strona może zastrzec, że dokumenty przedkładane w toku postępowania zawierają tajemnicę przedsiębiorstwa – w takim przypadku istnieje konieczność przedstawienia dwóch wersji dokumentów (pełnej wersji oraz wersji niezawierającej informacji objętych zastrzeżeniem). Jeżeli strona zaniecha przedstawienia dwóch wersji dokumentów, dokonane przez nią zastrzeżenie uważa się za nieskuteczne. Mimo tych formalności Prezes UODO może w drodze decyzji uchylić poczynione przez stronę zastrzeżenie, jeżeli uzna, że wskazane przez stronę informacje nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa.

Na decyzję Prezesa UODO stronie przysługuje prawo do wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia decyzji stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych.

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych prowadzone przed Prezesem UODO kończy się wydaniem decyzji. Od wydanej decyzji stronie przysługuje prawo do wniesienia skargi do sądu administracyjnego. Jeżeli Prezes UODO uzna, że przemawia za tym interes publiczny, po zakończeniu postępowania informuje o wydaniu decyzji na swojej stronie publikowanej w Biuletynie Informacji Publicznej.

Wniesienie skargi na decyzję nakładającą środek naprawczy nie powoduje wstrzymania wykonania tego środka. Inaczej jest w przypadku decyzji nakładającej karę finansową – wniesienie skargi powoduje wstrzymanie wykonania orzeczenia.