Odpowiedzialność za naruszenie ochrony danych osobowych intuicyjnie kojarzy nam się z administracyjnymi karami pieniężnymi, które Prezes Urzędu Ochrony Danych Osobowych nakłada na administratorów danych lub podmioty przetwarzające. Na taką konsekwencję naruszenia ochrony danych osobowych liczy też z pewnością większość podmiotów, których dane zostały takim naruszeniem dotknięte. To decyzje dotyczące tych właśnie kar są najlepiej komunikowane i to one pobudzają wyobraźnie, a przedsiębiorców przyprawiają o zawrót głowy.
Powyższe nie może dziwić. Na gruncie RODO administracyjne kary pieniężne w sektorze prywatnym wynosić mogą do 20.000.000 EURO lub do 4% światowego obrotu przedsiębiorstwa za poprzedni rok obrotowy. Dotychczas najwyższą administracyjną karą pieniężną wymierzoną przez polski organ nadzorczy jest kara w wysokości 4 mln zł nałożona na Fortum Marketing and Sales Polska S.A. w drodze decyzji z 22.01.2022 r. (https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020). W Europie najwyższą karę w wysokości 1,2 miliarda euro nałożył dotychczas irlandzki organ nadzorczy na Meta (Facebook) (https://edpb.europa.eu/system/files/2023-05/final_for_issue_ov_transfers_decision_12-05-23.pdf).
Nie można jednak zapominać, iż organ nadzorczy ma znacznie szerszy zakres narzędzi, które może wykorzystać w razie naruszenia przepisów RODO, aniżeli jedynie administracyjne kary pieniężne. Uprawnienia te nie powinny być bagatelizowane przez administratorów danych. Bo chociaż w bezpośredniej relacji nie są tak dotkliwe jak kara pieniężna, to mogą mieć one nie tylko konsekwencje wizerunkowe, ale również finansowe, o czym mowa w dalszej części artykułu.
Uprawnienia naprawcze
Pierwszym z uprawnień naprawczych, które przysługuje Prezesowi UODO jest ostrzeżenie, którego może on udzielić administratorowi lub podmiotowi przetwarzającemu, jeżeli nie doszło jeszcze do naruszenia przepisów RODO, ale w ocenie organu zachodzi ryzyko takiego naruszenia przez planowane operacje przetwarzania. Ostrzeżenie nie ma charakteru wiążącego dla administratora danych ani podmiotu przetwarzającego i nie wymaga od nich określonego działania lub zaniechania (P. Barta, P. Litwińskich, w: Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. P. Litwiński, 2021). Stanowi ono jednak wyraz zapatrywania się organu nadzorczego na daną kwestie. W razie więc niezastosowania się do udzielonego ostrzeżenia przez administratora lub podmiotu przetwarzającego, w razie potencjalnego postępowania wszczętego przez Prezesa UODO w sprawie naruszenia przepisów RODO, organ ten z pewnością będzie podtrzymywał swoje stanowisko.
Upomnienie
Kolejnym środkiem naprawczym przewidzianym w art. 58 ust. 2 lit. b RODO jest upomnienie, którego może udzielić Prezes UODO administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania. Jest to więc narzędzie stosowane post factum. Podobnie jak ostrzeżenie, upomnienie nie ma charakteru wiążącego i nie obliguje administratora do podjęcia konkretnych czynności. Jest ono jednak oceną organu w zakresie konkretnego zdarzenia, które miało miejsce i które w ocenie Prezesa UODO stanowiło naruszenie RODO. Zgodnie z motywem 148 RODO, upomnienie można zastosować, gdy naruszenie przepisów jest niewielkie lub o ile grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie. W praktyce upomnienie jest częstym środkiem, z którego korzysta organ nadzorczy. Przykładowo wskazać można na:
- decyzję DKE.561.24.2020 r. z 16.12.2020 r., którą Prezes UODO upomniał administratora danych za brak współpracy w ramach wykonywania przez ten organ jego zadań oraz nieudzielenie mu niezbędnych informacji (https://uodo.gov.pl/decyzje/%20DKE.561.24.2020),
- decyzję DKE.561.2.2021 z 26.03.2021 r., którą Prezes UODO upomniał administratora za nieprzestrzeganie oraz uchyla się od wykonania decyzji nakazującej usunięcie danych osobowych ze strony internetowej (https://uodo.gov.pl/decyzje/DKE.561.2.2021).
Z analizy decyzji opublikowanych przez organ nadzorczy na jego stronie internetowej wynika, iż upomnienia udzielane są przede wszystkim administratorom danych, którzy nie współpracują z Prezesem UODO w zakresie wykonywania przez niego zadań lub nie zapewniają mu dostępu do niezbędnych informacji.
Dokonanie określonych czynności nakazanych przez Prezesa UODO
Następnym uprawnieniem Prezesa UODO jest nakazanie administratorowi danych lub podmiotowi przetwarzającemu dokonanie określonych czynności, np. spełnienie żądania osoby, której dane dotyczą, zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych (art. 58 ust. 2 lit. c-e, g, j, RODO). Wśród tych nakazów na szczególne wyróżnienie zasługuje nakaz dostosowania operacji przetwarzania do przepisów RODO ze wskazaniem sposobu i terminu tego dostosowania. Nakaz ten może polegać na wskazaniu administratorowi danych konkretnych czynności, które ma on podjąć, aby przetwarzanie danych osobowych dostosować do przepisów RODO. Przykładem takiego nakazu jest decyzja Prezesa UODO ZSPU.421.3.2019, w której nakazał on administratorowi danych m.in. zaprzestanie udostępniania danych osobowych bez podstawy prawnej podmiotowi przetwarzającemu, a także wdrożenie polityk określających okres przetwarzania danych osobowych w Biuletynie Informacji Publicznej, które to polityki będą zapewniały przestrzeganie terminów usuwania danych. W decyzji tej organ nakazał też dostosowanie operacji przez przeprowadzenie analizy ryzyka oraz wdrożenie odpowiednich środków organizacyjnych i technicznych (https://uodo.gov.pl/decyzje/ZSPU.421.3.2019).
Czasowe lub całkowite ograniczenia przetwarzania
Kolejnym istotnym uprawnieniem Prezesa UODO jest wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania. Zobowiązanie administratora danych do czasowego lub całkowitego ograniczenia przetwarzania sprowadzać będzie się do tego, iż nie będzie on mógł przetwarzać danych osobowych w inny sposób, aniżeli tylko przez ich przechowywanie (por. D. Lubasz, W. Chomiczewski, M. Czerniawski, P. Drobek, U. Góral, M. Kuba, P. Makowski, K. Witkowska-Nowakowska, w: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, art. 4). W przypadku zakazania przetwarzania Prezes UODO powinien wskazać zakres zakazanych czynności przetwarzania lub cele przetwarzania, których dotyczy zakaz, bowiem ogólne zakazanie przetwarzania konkretnych danych osobowych sprowadzać będzie się do obowiązku ich usunięcia przez administratora. Tymczasem nakaz usunięcia danych jest odrębnym uprawnień nadzorczym, z którego Prezes UODO może skorzystać na mocy art. 52 ust. 2 lit. g RODO.
Podsumowując
Należy stwierdzić, iż poza administracyjnymi karami pieniężnymi Prezes UODO dysponuje szeregiem innych uprawnień, które pozwalają mu na zapewnienie przestrzegania RODO. Chociaż pozornie doniosłość tych uprawnień nie jest tak wysoka, to trzeba pamiętać, iż w razie wszczęcia postępowania o wymierzenie administracyjnej kary pieniężnej Prezes UODO bierze pod uwagę, czy zastosowane wcześniej w tej samej sprawie środki naprawcze, o których była mowa, były przestrzegane przez administratora lub podmiot przetwarzający. Negatywna ocena w tym zakresie, może skutkować wymierzeniem administracyjnej kary pieniężnej w wyższej wysokości. Ponadto, niezastosowanie się do obowiązku czasowego lub całkowitego ograniczenia przetwarzania danych osobowych albo zakazu przetwarzania danych, stanowi przesłankę do nałożenia na administratora samoistnej administracyjnej kary pieniężnej w wysokości do 20.000.000 EURO lub do 4% rocznego światowego obrotu przedsiębiorstwa za poprzedni rok obrotowy.
Na koniec należy podkreślić, iż odpowiedzialność administracyjnoprawna jest tylko jednym z rodzajów odpowiedzialności, które grożą za naruszenie przepisów o ochronie danych. W kolejnych artykułach omówimy odpowiedzialność cywilnoprawną i karną.