Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Obowiązek współdziałania w czasie kontroli UODO

22-09-2020 Autor: Aleksandra Baranowska-Górecka

W ostatnim czasie Prezes UODO wydał szereg decyzji, na podstawie których administratorzy zostali ukarani karami administracyjnymi za naruszenia w zakresie obowiązku współdziałania z organem nadzorczym. W artykule zostanie zaprezentowane, w jakich sytuacjach i w jakim zakresie takie współdziałanie jest konieczne, jakie informacje powinny być przedstawiane organowi nadzorczemu i w jaki sposób.

 

Jednym z obowiązków zarówno administratora danych, jak i podmiotu przetwarzającego (procesor) jest współdziałanie z organem nadzorczym w zakresie ochrony danych osobowych. W Polsce takim organem jest Prezes Urzędu Ochrony Danych Osobowych. Brak współpracy z organem jest poważnym naruszeniem, za które administratorzy danych i podmioty przetwarzające mogą ponieść dotkliwe sankcje w postaci np. administracyjnych kar pieniężnych. Ostatnie decyzje wydane przez Prezesa UODO pokazują, że organ przykłada dużą wagę do realizacji tego obowiązku – chodzi o decyzje z 29 maja 2020 r., DKE.561.1.2020, z 3 czerwca 2020 r., DKE.561.2.2020 oraz z 2 lipca 2020 r., DKE.561.3.2020.

 

Obowiązek administratora i procesora a uprawnienia organu


Przede wszystkim należy wskazać, że szczególne obowiązki administratorów i procesorów powiązane są z uprawnieniami organu nadzorczego. Te zaś wynikają z art. 58 ust. 1 rodo. W świetle tego przepisu organ nadzorczy ma m.in. prawo do uzyskania dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań czy też uzyskania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego. Należy podkreślić, że ten dostęp dotyczy przede wszystkim postępowań kontrolnych.


Uprawnienia organu w zakresie kontroli


W Polsce kwestie związane z kontrolą procesorów i administratorów danych przez organ nadzorczy regulują art. 78 i n. ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: uodo). W związku z prowadzonymi kontrolami UODO ma szerokie uprawnienia – nie tylko możliwość wglądu do dokumentów, ale też wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń, przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych, które służą do przetwarzania danych, zlecania sporządzenia ekspertyz i opinii czy też żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwania w charakterze świadka osób w zakresie niezbędnym do ustalenia stanu faktycznego.

 

Sankcje

 

Jeżeli administrator danych lub procesor nie podporządkują się poleceniom organu nadzorczego, będą musieli liczyć się z konsekwencjami. W takim przypadku grozi im nawet ukaranie administracyjną karą pieniężną na zasadach określonych w art. 84 rodo, w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. W przypadku większości jednostek sektora publicznego, instytutów badawczych, NBP ta kara nie może przekraczać 100 000 zł.

 

Sposób współdziałania


Zarówno administratorzy, jak i podmioty przetwarzające niejednokrotnie zastanawiają się, w jakiej formie i w jaki sposób powinny współdziałać z organem nadzorczym. Tutaj przepisy nie dają jednej odpowiedzi, natomiast ze względu na szeroki zakres uprawnień organu konieczne jest dostosowanie się do poleceń podmiotu przeprowadzającego kontrolę lub domagającego się określonych informacji.


W zasadzie to organ decyduje o tym, jakie informacje i w jakiej formie powinny zostać przekazane, a administrator czy procesor nie ma mechanizmu umożliwiającego zakwestionowanie zakresu żądanych informacji na etapie prowadzonego postępowania. Administratorowi (lub procesorowi) pozostaje jedynie możliwość odmowy udzielenia informacji (czy przeprowadzenia kontroli w inny sposób), a następnie zaskarżenia decyzji o ukaraniu go przez organ. Niestety taka ścieżka jest o tyle ryzykowna, o ile sąd może podzielić stanowisko organu.


Ochrona informacji poufnych


Nie będzie także uprawnione zasłanianie się przez podmiot, od którego Prezes UODO żąda określonych informacji, tym, że podlegają one prawnej ochronie, w szczególności, że stanowią one tajemnicę przedsiębiorstwa. Wynika to wprost z art. 64 i art. 65 uodo. W takim przypadku strona może zastrzec informacje, dokumenty lub ich części zawierające tajemnicę przedsiębiorstwa, przedstawiane Prezesowi UODO. Wówczas strona jest zobowiązana przedstawić Prezesowi UODO również wersję dokumentu niezawierającą informacji objętych zastrzeżeniem. Niemniej jednak należy liczyć się z tym, że organ może uchylić to zastrzeżenie (w drodze decyzji), jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa. To pokazuje, jak daleko idące uprawnienia przysługują polskiemu organowi w związku z prowadzonymi kontrolami.


Dokumenty w języku polskim


Kontrolowany podmiot, od którego Prezes UODO żąda informacji, powinien liczyć się też z tym, że jeżeli przedstawiona przez niego dokumentacja jest sporządzona w języku obcym, konieczne będzie przedstawienie przez niego jej tłumaczenia na język polski (art. 63 uodo). Oczywiście koszty tego tłumaczenia poniesie kontrolowany podmiot.

 

Nieuchronne sankcje

 

Ostatnie decyzje wydane przez Prezesa UODO pokazują, że faktycznie za naruszenie obowiązków w tym zakresie takie kary są nakładane zarówno na przedsiębiorców, jak i na inne podmioty. To pokazuje, że zatajanie faktów, unikanie odpowiedzi na zapytania ze strony UODO nie chroni administratorów lub procesorów przed poniesieniem konsekwencji ewentualnych nieprawidłowości. Przeciwnie, może spowodować dodatkowe sankcje, niezależnie od ewentualnych dalszych kar, jeśli faktycznie doszłoby do innych naruszeń, których dotyczyło postępowanie.

 

[...]

 

Autorka jest radcą prawnym w SDZLEGAL Schindhelm Kancelaria Prawna Schampera, Dubis, Zając i Wspólnicy Sp.k.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.