Kontrola przestrzegania RODO

Grudzień 6, 2018 0

Ze stosowaniem RODO w praktyce jest pewien problem: RODO obrosło mitami oraz zupełnie irracjonalnymi obawami. Warto zatem –  chociaż w podstawowym zakresie –  z ową „rodowską mitologią” się zmierzyć – aby spać spokojniej i być co najmniej ostrożnym wobec ofert firm, które najpierw roztaczają przed nami czarne wizje, związane głównie z wysokością kar finansowych, grożących za nieprzestrzeganie zapisów RODO, po to, aby za chwilę złożyć kosztowną propozycję przeprowadzenia przez proces dostosowania naszej praktyki do nowych wymogów ochrony danych osobowych.

W niniejszym tekście postaram się krótko przedstawić najważniejsze informacje o tym jak będzie wyglądać postępowanie kontrolne, związane z ochroną danych osobowych oraz odpowiedzieć na zasadnicze pytanie:  jak to jest z tymi karami?

KTO MOŻE KONTROLOWAĆ ?

Na początku (zanim dojdziemy do kar) należy wyjaśnić, że przepisy dotyczące kontroli sposobu przestrzegania zasad ochrony danych osobowych znajdziemy w ustawie z 10 maja 2018 r.  o ochronie danych osobowych. Wspomniana ustawa tworzy stanowisko Prezesa Urzędu Ochrony Danych Osobowych (UODO). To właśnie ten podmiot jest upoważniony (konkretnie – upoważnieni przez Prezesa UODO kontrolerzy) do prowadzenia postępowania kontrolnego dotyczącego ochrony danych osobowych. Kontrole będą prowadzone zarówno w oparciu o sporządzane cyklicznie plany kontroli jak również na podstawie wniosków wpływających do UODO

Jedną z podstawowych reguł jest zasada, iż kontrolę przeprowadza się po okazaniu przez kontrolującego imiennego upoważnienia wraz z legitymacją służbową. Czynności kontrolnych należy dokonywać w obecności kontrolowanego lub osoby przez niego upoważnionej.

W komunikacie, opublikowanym na stronie internetowej UODO (www.uodo.gov.pl) możemy przeczytać ostrzeżenie przed fałszywymi kontrolerami. Urząd Ochrony Danych Osobowych przypomina, iż Urząd co do zasady pisemnie uprzedza o planowanej kontroli. Ponadto w przypadku wątpliwości co do wiarygodności osoby, która okaże dokumenty upoważniające do kontroli, istnieje możliwość telefonicznego zweryfikowania, czy rzeczywiście jest tą, za którą się podaje i jest upoważniona przez Prezesa UODO do przeprowadzenia kontroli. W tym celu można się kontaktować pod nr tel. (22) 531 09 13.

Kontrola sposobu ochrony danych osobowych może być dokonywana w godzinach od 6.00 do 22.00. Kontrolujący ma prawo: wglądu do dokumentów i informacji, które mają bezpośredni związek z zakresem kontroli, przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych, które służą do przetwarzania danych. Prowadzący kontrolę pracownik UODO może także zażądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka wytypowane przez siebie osoby – w tym pracownika podmiotu kontrolowanego.

Za pracownika kontrolowanego uznana  będzie osoba zatrudnioną na podstawie umowy o pracę, jak również wykonująca pracę na podstawie umowy cywilnoprawnej. Nowym uprawnieniem jeśli chodzi o sposób prowadzenia kontroli ochrony danych osobowych jest możliwość zwrócenia się przez kontrolującego o asystę policji.

W toku kontroli, stan faktyczny ustala się na podstawie dowodów zebranych w postępowaniu kontrolnym – w szczególności będą to dokumenty, przedmioty, oględziny oraz ustne bądź pisemne wyjaśnienia i oświadczenia.

Po zakończeniu kontroli, sporządzany będzie protokół kontroli. Treść protokołu zawierać będzie głównie opis stanu faktycznego ustalonego w toku kontroli a także inne informacje, których znaczenie jest istotne w kontekście oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

W terminie siedmiu dni od dnia przedstawienia protokołu kontroli do podpisu, kontrolowany może zdecydować: albo podpisuje protokół albo składa pisemne zastrzeżenia do jego treści. W przypadku złożenia zastrzeżeń, kontrolujący dokona ich analizy i w razie potrzeby, podejmie dodatkowe czynności kontrolne. W razie nieuwzględnienia zastrzeżeń w całości albo części, kontrolujący przekazuje kontrolowanemu informacje o tym wraz z uzasadnieniem.

Ustawa o ochronie danych osobowych wprowadza zasadę, w myśl której kontrola może być prowadzona maksymalnie przez okres do trzydziestu dni.

KARY FINANSOWE

Administracyjne kary finansowe, które w wyniku kontroli może nałożyć Prezes UODO faktycznie działają na wyobraźnie. Mogą osiągnąć maksymalnie kwotę 20 000 000 euro,                  a w przypadku przedsiębiorstwa – wysokość do 4 % jego całkowitego rocznego obrotu.

Równowartość wyrażonych w euro kar finansowych oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku (wybrano właśnie 28 stycznia bowiem tego dnia przypada Międzynarodowy Dzień Ochrony Danych Osobowych)

W tym miejscu jednak warto dodać kilka zastrzeżeń: zgodnie z postanowieniami RODO przy określaniu wysokości kary finansowej bierze się pod uwagę szereg czynników – takich jak:

  • charakter, waga i czas trwania naruszenia ochrony danych osobowych;
  • liczba poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nich szkody;
  • umyślny lub nieumyślny charakter naruszenia;
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  • stopień współpracy z organem nadzorczym (tj. UODO) w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu – w szczególności: czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
  • osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Administracyjną karę pieniężną, nakładaną przez Prezesa UODO należy zapłacić w terminie      czternastu dni od dnia upływu terminu na wniesienie skargi (do sądu administracyjnego) albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Prezes Urzędu może, na wniosek podmiotu ukaranego, odroczyć termin zapłaty administracyjnej kary pieniężnej albo rozłożyć ją na raty.

Jak zatem widać, istnieje cały wachlarz okoliczności, które należy wziąć pod uwagę – zanim zostanie nam wymierzona kara finansowa za nieprzestrzeganie przepisów RODO. Pomimo tego, że kwota 20 mln. euro brzmi mało przyjaźnie (oczywiście w kontekście kary) nie należy panikować gdy zapuka do nas kontrola z UODO. Pamiętać trzeba, że kara finansowa będzie raczej ostatecznością, zarezerwowaną dla rażących przypadków braku ochrony danych osobowych. W zdecydowanej większości wypadków, po zakończeniu kontroli należy liczyć się bardziej z ostrzeżeniami, upomnieniami i ewentualnie symbolicznymi karami finansowymi. Należy jednak pamiętać, aby w tej radości, wynikającej z braku kary finansowej, nie zlekceważyć, wydanych w następstwie kontroli przez UODO. Urząd może, bowiem po jakimś czasie sprawdzić czy wypełniamy jego zalecenia i jeśli stwierdzi naszą bezczynność, wówczas należy liczyć się z mocniejszą reakcją (choć raczej nie w wysokości 20 mln. euro).

ILE SPRAW JUŻ WPŁYNĘŁO DO UODO ?

Jak podaje Urząd Ochrony Danych Osobowych, w pierwszych trzech miesiącach obowiązywania RODO wpłynęło 2400 skarg. Z tej liczby ok. 60 dotyczy placówek opieki zdrowotnej.

Należy zwrócić uwagę, iż jedynie kilkanaście z tych 60 skarg było złożonych poprawnie. Pozostałe wymagają albo doprecyzowania żądań, albo usunięcia innych braków – jest to brak podpisu czy adresu, co uniemożliwia Urzędowi wszczęcie postępowania administracyjnego.

Skargi najczęściej dotyczą udostępnienia danych lub wydania dokumentacji medycznej osobie nieuprawnionej. W części spraw kwestionowana jest podstawa prawna do przetwarzania danych, są także sprawy dotyczące przetwarzania danych osobowych w związku z uchylaniem się od wykonania obowiązkowych szczepień ochronnych dzieci. W kilku przypadkach skargę wnieśli pacjenci, z uwagi na to, że placówka medyczna uzależniła udzielenie świadczenia od wyrażenia zgody na przetwarzanie danych. Została także złożona skarga dotycząca  niewłaściwego zabezpieczenia danych pacjenta – chodziło o porzucenie recept przez aptekę. Wśród skierowanych do UODO spraw, pojawia się także kwestia przetwarzania danych osobowych lekarzy przez podmioty prowadzące portale internetowe umożliwiające ocenianie lekarzy.

adw. Krzysztof Izdebski


ISPOZ 2017. Wszystkie prawa zastrzeżone.