21 827 zł za brak współpracy z PUODO.

Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości 21 827 PLN na przedsiębiorcę za brak współpracy z organem nadzorczym w sprawie związanej z przetwarzaniem danych osobowych. Postępowanie zostało wszczęte po skardze osoby, której dane dotyczyły, dotyczącej naruszenia przepisów RODO poprzez stosowanie monitoringu wizyjnego bez odpowiedniej podstawy prawnej. Skarżąca zarzuciła, iż przedsiębiorca przetwarzał jej dane osobowe (wizerunek) bezprawnie oraz nie wywiązał się z obowiązku informacyjnego określonego w art. 13 RODO.

W toku postępowania, PUODO zażądał od przedsiębiorcy szczegółowych informacji dotyczących:

• Liczby zainstalowanych kamer monitoringu oraz ich parametrów technicznych, w tym, czy rejestrują one tylko obraz, czy także dźwięk, i czy reagują na ruch lub dźwięk.
• Zakresu i obszaru rejestracji przez kamery oraz dowodów w postaci wydruków obrazu z każdej kamery, aby dokładnie ustalić, które obszary objęte monitoringiem dotyczyły Skarżącej.
• Informacji na temat przetwarzania danych osobowych, w tym, czy gromadzone są wizerunki lub głos osób, oraz celu i podstawy prawnej przetwarzania tych danych.
• Czasu przechowywania nagrań oraz sposobów zabezpieczenia danych osobowych przed nieuprawnionym dostępem, aby sprawdzić, czy przedsiębiorca odpowiednio chroni przetwarzane dane.
• Informacji dotyczących wypełnienia obowiązku informacyjnego wobec osób monitorowanych, w tym dowodów na umieszczenie odpowiednich informacji w widocznym miejscu, zgodnie z wymogami art. 13 RODO.

Celem pozyskania tych informacji przez PUODO było zweryfikowanie czy przetwarzanie danych osobowych dzięki monitoringu stosowanego przez przedsiębiorcę spełniało wymogi RODO, w szczególności w zakresie legalności przetwarzania oraz ochrony prywatności Skarżącej. Organ nadzorczy chciał także ustalić, czy przedsiębiorca prawidłowo wywiązał się z obowiązku informacyjnego i zabezpieczył dane osobowe zgodnie z przepisami.

Mimo wielokrotnych wezwań, przedsiębiorca nie udzielił wymaganych informacji, co stanowiło naruszenie art. 31 oraz art. 58 RODO.

Decyzja podkreśla, iż każdy administrator danych osobowych ma obowiązek współpracy z PUODO oraz zapewnienia dostępu do wszelkich informacji niezbędnych do rozpatrzenia skarg dotyczących ochrony danych. Brak współpracy może skutkować nałożeniem wysokich kar finansowych, które w skrajnych przypadkach mogą wynieść choćby 20 mln EUR lub 4% rocznego obrotu przedsiębiorstwa.

Decyzja Prezesa UODO przypomina, iż administratorzy muszą spełniać obowiązki związane z przetwarzaniem danych, w tym prawidłowo informować osoby, których dane dotyczą, oraz współpracować z organem nadzorczym. Zaniedbania te mogą prowadzić do surowych sankcji.

Warto również przypomnieć, iż PUODO uznaje monitoring wizyjny za inwazyjną formę przetwarzania danych osobowych, tym samym powinien podlegać szczególnej weryfikacji przez administratorów. Wdrażając systemy monitoringu, administratorzy muszą upewnić się, iż są one zgodne z przepisami RODO, czyli m.in. posiadają odpowiednią podstawę prawną do przetwarzania danych, zapewniają realizację obowiązku informacyjnego wobec osób, których dane dotyczą, a także stosują odpowiednie środki techniczne i organizacyjne w celu zabezpieczenia przetwarzanych danych przed nieuprawnionym dostępem. Ponadto, monitoring powinien być stosowany w sposób proporcjonalny, minimalizujący ingerencję w prywatność osób oraz ograniczać się do niezbędnych obszarów i celów. Z pełną treścią decyzji możecie się zapoznać klikając w poniższy link.

Decyzja: DOKE.561.1.2024.