Prezes Urzędu Ochrony Danych Osobowych decyzją administracyjną z dnia 2.07.2020 nałożył karę pieniężną w wysokości 100 tys. zł na Głównego Geodetę Kraju. Przyczyną ukarania jednostki sektora finansów publicznych było utrudnianie wykonania czynności kontrolnych organowi nadzorczemu poprzez „niezapewnienie dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych prezesowi UODO do realizacji jego zadań” oraz brak współpracy GGK w trakcie kontroli.
Konsekwencje dla podmiotu utrudniającego przeprowadzenie kontroli
Impulsem do wszczęcia przez Prezesa UODO postepowania administracyjnego z urzędu był brak zgody GGK na realizację kontroli przez upoważnionych pracowników UODO. Kontrola miała być przeprowadzona w marcu bieżącego roku i związana była z przetwarzaniem danych osobowych w postaci numerów ksiąg wieczystych na portalu internetowym GEOPORTAL2.
Rezultatem utrudniania organowi nadzorczemu przeprowadzenia czynności kontrolnych było złożenie przez Prezesa UODO zawiadomienia do Prokuratury Rejonowej Warszawa-Śródmieście o podejrzeniu popełnienia przestępstwa określonego w art. 108 ust. 1 ustawy o ochronie danych osobowych. Zgodnie z treścią tego przepisu: „kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch”.
Następnie Prezes UODO po przeprowadzeniu w urzędu postępowania administracyjnego uznał, że GGK naruszył przepisy RODO poprzez niezapewnienie organowi nadzorczemu dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych prezesowi UODO w związku z realizacją jego zadań. UODO uznał również, że GGK nie współpracował w trakcie wykonywania czynności kontrolnych, co było kolejnym czynnikiem, który wpłynął na podjęcie przez Prezesa UODO decyzji o nałożeniu na GGK maksymalnej kary pieniężnej (100 tys. zł) przewidzianej w ustawie o ochronie danych osobowych dla jednostki sektora finansów publicznych.
W uzasadnieniu decyzji Prezes UODO podnosił również, że wpływ na wymiar kary miały: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) RODO), umyślny charakter naruszenia (art. 83 ust. 2 lit. b) RODO), a także brak współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) RODO). W ocenie Prezesa UODO brak zdecydowanej reakcji organu mógłby doprowadzić do „nieakceptowalnej sytuacji, polegającej na tym, że uniemożliwiając ustalenie stanu faktycznego sprawy, kontrolowany odbiera niezależnemu organowi kontrolującemu możliwość dokonania własnej, rzetelnej i wszechstronnej oceny prawnej sytuacji, która to ocena mogłaby być poddana w razie konieczności późniejszej weryfikacji przez właściwe organy sądowoadministracyjne”. Uzasadniając wysokość nałożonej kary Prezes UODO podkreślił, że podmiot kontrolowany nie może już na etapie wszczęcia i prowadzenia kontroli kwestionować zasadności przeprowadzenia tej kontroli oraz jej zakresu, gdyż podważa w ten sposób instytucję samej kontroli oraz neguje kompetencje Prezesa jako organu powołanego do monitorowania i egzekwowania przestrzegania przepisów RODO.
Decyzja Prezesa UODO w niniejszej sprawie jest ostateczna, a Głównemu Geodecie Kraju przysługuje prawo złożenia odwołania do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Treść decyzji dostępna pod linkiem https://uodo.gov.pl/decyzje/DKE.561.3.2020
Poniżej przypominamy, jaka jest podstawa prawna wykonywania czynności kontrolnych przez UODO
Rozporządzenie 2016/679 przyznało kompetencje nadzorcze krajowym organom ochrony danych osobowych poszczególnych państw członkowskich. Prezes UODO jako polski organ ochrony danych osobowych powołany do realizacji zadań wynikających z RODO posiada uprawniania m.in.:
- w zakresie monitorowania i egzekwowania przestrzegania przepisów RODO (art. 57 ust. 1 lit. a) RODO)
- prowadzenia postepowań administracyjnych w sprawie stosowania RODO (art. 57 ust. 1 lit. h) RODO).
Prezes UODO na podstawie przysługujących mu kompetencji może m.in. nakazać administratorowi (podmiotowi przetwarzającemu, przedstawicielowi administratora danych) podjęcie określonych działań lub powstrzymanie się od ich podejmowania. Uprawnienia przysługujące organowi nadzorczemu w realizacji wykonywanych zadań określa art. 58 RODO. Na podstawie tego przepisu organ nadzoru może m.in. nakazać ww. podmiotom dostarczenie wszelkich informacji potrzebnych mu do realizacji wykonywanych zadań (art. 58 ust. 1 lit. a) RODO).
Organ nadzoru jest również uprawniony do uzyskania od ww. podmiotów dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do wykonywania jego obowiązków (art. 58 ust. 1 lit e) RODO), a także ma prawo dostępu do wszelkich pomieszczeń administratora danych i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych osobowych (art. 58 ust. 1 lit. f) RODO). Na gruncie prawa krajowego kwestia uprawnienia organu nadzorczego do uzyskania dostępu do pomieszczeń administratora podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, jest opisana procedura „kontroli przestrzegania przepisów o ochronie danych osobowych” (art. 78 – 91 ustawy o ochronie danych osobowych).
Pracownicy UODO upoważnieni do przeprowadzenia kontroli, na podstawie art. 84 ustawy o ochronie danych osobowych, mają m.in.: prawo wstępu na teren jednostki kontrolowanej, dostępu pomieszczeń i do wszystkich dokumentów oraz informacji związanych z zakresem prowadzonej kontroli, niezbędnych do ustalenia stanu faktycznego. Mogą przeprowadzać oględziny miejsc, przedmiotów, urządzeń, nośników, systemów informatycznych lub teleinformatycznych służących do przetwarzania danych, a także żądać złożenia pisemnych lub ustnych wyjaśnień.
Z kolei administrator danych lub podmiot przetwarzający, a także ich przedstawiciele zobowiązani są do współpracy z organem nadzorczym w ramach realizacji przez ten organ jego zadań (art. 31 RODO) Uchybienie temu obowiązkowi współpracy z organem zagrożone jest administracyjną karą pieniężną w wysokości do 100 tys. zł (art. 83 ust. 4 lit. a) RODO w związku z art. 102 ust. 1 i 3 ustawy o ochronie danych osobowych).
autor: Dorota Echaust – Przybytniak
[/vc_column_text][/vc_column][/vc_row]