Publicystyka - ngo.pl

W okresie wprowadzania RODO [Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)] toczyła się dyskusja o karach, jakie mogą zostać nałożone na administratorów danych, którzy naruszają przepisy tego aktu prawnego. Przepisy te dotyczą wszystkich podmiotów, które przetwarzają dane osobowe, a więc nie tylko dużych korporacji, ale także małych przedsiębiorców, czy organizacji pozarządowych.

W niniejszym artykule wyjaśniamy, jakie są zasady nakładania kar administracyjnych wynikających z RODO i jak określa się ich wysokość.

O środkach ochrony prawnej, odpowiedzialności oraz sankcjach mówi rozdział VIII RODO. Każda osoba, która uważa, że jej dane są przetwarzane niezgodnie z panującymi regulacjami, może zgłosić naruszenie do organu nadzorczego, którym jest w Polsce Prezes Urzędu Ochrony Danych Osobowych.

Obecnie toczy się dyskusja, czy kary takie mogą być nakładane przez inne organy np. Prezesa Urzędu Ochrony Konkurencji i Konsumentów. Rozwiązanie takie próbują wprowadzić Niemcy, ale niechętna mu jest Komisja Europejska [1].

W Polsce póki co nie planuje się podobnego rozwiązania. Zatem nakładać kar za nieprzestrzeganie przepisów o ochronie danych osobowych nie mogą np. podmioty udzielające dotacji (gmina udzielająca dotacji organizacji pozarządowej). Jednak jeżeli odpowiednie postanowienia umowy dotacyjnej przewidują możliwość kontroli w tym zakresie, to jest ona możliwa, ale tylko do zakresu wskazanego w umowie. Jednocześnie ewentualna kara ma charakter cywilny (wynika z umowy – w tym przypadku z umowy dotacyjnej), a nie jest karą o charakterze administracyjnym.

Art. 83 rozporządzenia mówi o tzw. „ogólnych warunkach nakładania administracyjnych kar pieniężnych”.

Przy decyzji o nałożeniu pieniężnej kary administracyjnej oraz ustaleniu wysokości takiej kary zwraca się w każdym indywidualnym przypadku należytą uwagę na:

• charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody, a także na to,
• czy charakter naruszenia był umyślny lub nieumyślny,
• jakie działania podjął administrator lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
• stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych przez nich wdrożonych,
• wszelkie wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego.

Brany pod uwagę jest również:

• stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
• kategorie danych osobowych, których dotyczyło naruszenie,
• sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.

Jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie tzw. środki naprawcze (art. 58 ust. 2 RODO), sprawdzane jest także, czy administrator tych środków przestrzegał/przestrzega.

Ocenione zostanie także, czy administrator bądź podmiot przetwarzający stosuje się do polskich kodeksów postępowania (art. 40 RODO) lub zatwierdzonych certyfikacji (art. 42). Zostaną też wzięte pod uwagę wszystkie inne obciążające lub łagodzące czynniki, mające zastosowanie do okoliczności sprawy, takie jak np. osiągnięcie bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowej lub uniknięcie straty.

Dopiero zebranie wszystkich opisanych wyżej przesłanek łącznie pozwala organowi na wymierzenie wysokości kary. Należy zwrócić uwagę, że w swojej decyzji organ musi odnieść się do każdej z nich, a ukarana organizacja będzie mogła w skardze do sądu administracyjnego kwestionować ustalenia organu. Podważenie nawet jednej z przesłanek nałożenia kary może doprowadzić do uchylenia decyzji. Trzeba pamiętać, że zgodnie z art. 74 Ustawy o ochronie danych osobowych z 10 maja 2018 wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.

Administracyjne kary finansowe są nakładane przez Prezesa Urzędu Ochrony Danych Osobowych w drodze decyzji administracyjnej. Decyzja jest wydawana w ramach jednoinstancyjnego postępowania w sprawie naruszenia przepisów o ochronie danych osobowych. Uzasadnienie faktyczne decyzji o nałożeniu administracyjnej kary pieniężnej musi, oprócz wskazanych powyżej przesłanek, opierać się na art. 107 paragraf 3 k.p.a. (Uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne - wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.).

Uiszczenie administracyjnej kary pieniężnej ma nastąpić w ciągu 14 dnia od dnia upływu terminu na wniesienie skargi do sądu administracyjnego albo od dnia uprawomocnienia się orzeczenia tego sądu. Po tym okresie należna kwota ma zostać ściągnięta na podstawie przepisów o postępowaniu egzekucyjnym w administracji.

Przewidziano jednak możliwość odroczenia uiszczenia kary albo rozłożenia jej na raty – na wniosek ukaranego, z uwagi na ważny interes wnioskodawcy (przy czym za okres od dnia upływu odroczonego terminu płatności albo terminu zapłaty poszczególnych rat Prezes Urzędu będzie naliczać odsetki) [2]. 

W trakcie postępowania może zostać wydana decyzja o ograniczeniu przetwarzania danych osobowych. Ma to miejsce w sytuacji gdy zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki. Postanowienie wydaje Prezes Urzędu, który określa termin obowiązywania ograniczenia przetwarzania danych osobowych nie dłuższy niż do dnia wydania decyzji kończącej postępowanie w sprawie. Na to postanowienie przysługuje skarga do sądu administracyjnego.

W 2017 roku do Kodeksu postępowania administracyjnego zostały wprowadzone przepisy określające ogólne dyrektywy wymiaru kar administracyjnych. Z tego powodu powstaje wątpliwość dotycząca wzajemnej relacji między przepisami Kodeksu postępowania administracyjnego a przepisami o ochronie danych osobowych. Analiza przepisów prowadzi do wniosku, że RODO jest w tym przypadku lex specialis wobec przepisów k.p.a. 

To znaczy, że przepisy zawarte w rozporządzeniu mają pierwszeństwo przed znowelizowaną procedurą administracyjną. Przepisy RODO nie mają jednak charakteru kompleksowego i dlatego muszą być uzupełniane o wybrane przepisy Kodeksu postępowania administracyjnego, które nie są z nimi sprzeczne, np. w zakresie przedawnienia nałożenia administracyjnej kary pieniężnej [3].

W art. 83 RODO rozróżniono dwie kategorie kar finansowych:

1. do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie będzie miała kwota wyższa), za naruszenia dotyczące: podstawowych zasad przetwarzania, jak np. przetwarzanie bez legalnej podstawy prawnej, naruszenia praw osób, których dane dotyczą, jak np. prawo do usunięcia danych, przekazywania danych osobowych do państwa trzeciego;
2. do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie będzie miała kwota wyższa), za naruszenie obowiązków administratora lub podmiotu przetwarzającego dotyczących: wyrażenia zgody przez dziecko, stosowania privacy by design i privacy by default, zasad powierzenia przetwarzania danych.

Szczególne ograniczenia wysokości kar przewidziane są w Ustawie o ochronie danych osobowych z 10 maja 2018:

1. do 100.000 złotych w przypadku jednostek sektora finansów publicznych, instytutów badawczych i Narodowego Banku Polskiego;
2. do 10.000 złotych w przypadku państwowych i samorządowych instytucji kultury.

W Polsce pierwsza kara za naruszenie przepisów o ochronie danych osobowych została nałożona w marcu 2019 roku. Prezes Urzędu Ochrony Danych Osobowych uznał, że spółka z Małopolski naruszyła przepisy RODO poprzez niespełnienie obowiązku informacyjnego. Wysokość kary wyniosła ponad 943.000 zł [4]. Firma nie kontaktowała się bezpośrednio z osobami, których adresu mailowego nie miała, zamieściła tylko informację na swojej stronie internetowej. Zdaniem Urzędu nie było to wystarczające spełnienie obowiązku informacyjnego. W toku postępowania spółka broniła się, że koszt listów poleconych, jakie musiałaby wysłać do pozostałych osób, byłby bardzo wysoki, jednak zdaniem Prezes UODO przepisy nie nakładają na administratora obowiązku wysyłania listów poleconych.

Kolejna kara została nałożona na Dolnośląski Związek Piłki Nożnej, który na swojej stronie internetowej zamieścił dane sędziów z podaniem informacji nt. ich numerów PESEL i miejsca zamieszkania. Mimo prób usunięcia tych informacji przez Związek, w trakcie postępowania wyjaśniającego były one dalej dostępne dla użytkowników internetu. PUODO uznał to za naruszenie przepisów RODO i wymierzył sankcję wysokości 55.000 złotych [5].

[1] https://www.rp.pl/Dane-osobowe/307129987-Czy-UOKiK-ukarze-za-zlamanie-RODO.html

[2] Edyta Bielak-Jomaa, Dominik Lubasz - RODO. Ogólne rozporządzenie o ochronie danych. Komentarz

[3] tamże

[4] https://uodo.gov.pl/pl/138/786

[5] https://www.rp.pl/Dane-osobowe/305179983-Druga-kara-za-naruszenie-RODO-zwiazek-sportowy-zaplaci-za-nieskuteczne-usuniecie-danych-sedziow.html

Ochrona danych osobowych w NGO. RODO w organizacji pozarządowej w 10 krokach