Przepisy rozporządzenia o ochronie danych osobowych (dalej również: RODO) nakładają obowiązki na podmioty administrujące oraz przetwarzające dane osobowe. Przykładem takiego podmiotu z pewnością są spółdzielnie i wspólnoty mieszkaniowe.
W przypadku wspólnot mieszkaniowych zarząd lub zarządca wspólnoty przejmuje funkcję administratora danych osobowych i to on oceniany jest z punktu widzenia przestrzegania przepisów RODO.
Za naruszenie obowiązków ujętych w rozporządzeniu RODO grożą dotkliwe kary finansowe. W przypadku gdy w toku postępowania wyjaśniającego okaże się, że wspólnota mieszkaniowa narusza przepisy o ochronie danych osobowych, musi liczyć się więc z ryzykiem nałożenia na nią kary przez UODO.
Czym jest UODO?
UODO to inaczej Urząd Ochrony Danych Osobowych. Jest to organ administracyjny, który zajmuje się szeroko pojętą ochroną danych osobowych, a na jego czele stoi Prezes Urzędu Ochrony Danych Osobowych. Organ ten, wraz z wejściem w życie rozporządzenia RODO, zastąpił inny analogiczny podmiot tj. Generalnego Inspektora Danych Osobowych (GIODO).
Do katalogu głównych obowiązków Prezesa UODO należą m.in.:
- egzekwowanie od innych podmiotów respektowania przepisów RODO;
- rozpatrywanie skarg, wnoszonych przez osoby, których dane osobowe podlegają przetwarzaniu;
- udzielanie bieżących informacji i odpowiedzi na pytania prawne wnoszone przez osoby, których dane są przetwarzane;
- kierowanie kontrolami i postępowaniami w zakresie nałożenia kar RODO;
- współpraca z innymi organami w zakresie przestrzegania RODO;
- udział w pracach Europejskiej Rady Ochrony Danych.
Podstawowy katalog kar za naruszenie RODO
Co do zasady o karach za naruszenie RODO mówi art. 83 RODO. Podstawową z kar przewidzianych w tym rozporządzeniu jest kara finansowa. Jej wysokość może być dość mocno zróżnicowana, niemniej są to z reguły kary bardzo dotkliwe. Zgodnie z art. 83 ust. 4 i 5 RODO kara może zostać nałożona w zależności od rodzaju naruszenia w wysokości:
- do 20 000 000,00 EURO, a w przypadku przedsiębiorstw do 4% ich rocznego całkowitego, światowego dochodu za poprzedni rok obrotowy – w przypadku naruszeń dotyczących 1) podstawowych zasad przetwarzania danych osobowych, 2) praw osób, których dane dotyczą, 3) przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, 4) wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX, 5) nie przestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych;
- do 10 000 000,00 EURO, a w przypadku przedsiębiorstw do 2% ich rocznego całkowitego, światowego dochodu za poprzedni rok obrotowy – w przypadku innych naruszeń.
Co istotne przepisy o karach za naruszenie RODO stosowane są w rzeczywistości. Od wejścia w życie RODO Prezes UODO nałożył już szereg kar RODO na podmioty łamiące przepisy dotyczące ochrony danych osobowych, których wartość sięga wielu milionów złotych. Kilkukrotnie także kary takie były nakładane na wspólnoty mieszkaniowe.
Za co wspólnota mieszkaniowa może otrzymać karę od UODO?
Wspólnoty mieszkaniowe, podobnie jak inne podmioty przetwarzające dane osobowe mogą otrzymać karę finansową za praktycznie każde naruszenie przepisów RODO, opisane w art. 83 rozporządzenia. W praktyce wspólnoty mieszkaniowe otrzymuję najczęściej kary za przewinienia takie jak brak odpowiedniego zgłoszenia przypadku naruszenia danych osobowych do organu nadzorczego, nie poinformowanie o naruszeniu danych osobowych osób, których te dane dotyczyły, brak udpowiednich zabezpieczeń danych osobowych czy udostępnienie danych osobowych członków wspólnoty bez sporządzenia odpowiedniej umowy pisemnej powierzenia danych.
Kara UODO, czy można się odwołać?
Pozytywną informacją dla podmiotów, na które Prezes UODO nałożył karę RODO jest to, że kara taka nakładana jest w formie decyzji administracyjnej, co oznacza, że można się od niej odwołać. Samo postępowanie administracyjne ma charakter jednoinstancyjny, gdyż nad UODO nie ma już organu wyższego rzędu. Oznacza to, że odwołanie od kary UODO musi przybrać formę skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Skargę należy wnieść w nieprzekraczalnym terminie 30 dni od dnia doręczenia decyzji o nałożeniu kary. W treści skargi należy wskazać na wszystkie uchybienia i naruszenia przepisów, jakich UODO miał się dopuścić w konkretnej sprawie. Warto przy tym pamiętać, że WSA, co do zasady nie przeprowadza postępowania dowodowego w sprawie, a jedynie bada ewentualne naruszenia przepisów w toku postępowania przed UODO. Powoduje to, że wielu przedstawicieli zawodów prawniczych krytykuje tę formę odwołania, jako niedającą realnej możliwości obrony przed nałożeniem kary RODO. W przypadku uwzględnienia skargi WSA uchyla bowiem zaskarżoną decyzję i przekazuje sprawę do ponownego rozpoznania przez UODO. Od niekorzystnego wyroku WSA przysługuje skarga kasacyjna do Naczelnego Sądu Administracyjnego.