Po nitce do kłębka -kary za utrudnianie kontroli Prezesa UODO

06.04.2020

Kontroli Prezesa Urzędu Ochrony Danych Osobowych nie warto utrudniać. Grozi za to bowiem nie tylko administracyjna kara pieniężna, ale nawet do dwóch lat pozbawienia wolności.

W jednym z przedsiębiorstw telemarketingowych przetwarzane były dane osobowe, w tym numery telefonów. Fakt ten wydaje się być oczywistym nie tylko ze względu na przedmiot działalności przedsiębiorstwa. Obecnie trudno wyobrazić sobie prowadzenie działalności bez korzystania z danych takich jak adres e-mail czy numer telefonu. Podczas kontroli PUODO uwagę kontrolujących zwrócił jednak system teleinformatyczny służący do generowania połączeń telefonicznych. Co istotne kontrolowane przedsiębiorstwo nie posiadało własnej bazy danych.

 

Ciekawa okazała się treść umowy o współpracy, w zakresie outsourcingu usług telemarketingowych, zawarta pomiędzy kontrolowaną spółką a Vis Consulting sp. z o.o. Zgodnie z umową system miał uniemożliwiać przedsiębiorstwu telemarketingowemu dostęp do jakichkolwiek danych, w tym numerów telefonów, zaś o tym na jaki numer wykonane zostanie połączenie decydować miało kryterium lokalizacji. Kontrolujący uznali więc, że skontrolowania wymaga również Vic Consulting sp. z o.o. (dalej zwana Spółką).

 

Celem kontroli miało być zbadanie legalności przetwarzania danych osobowych przy użyciu wspomnianego systemu. Do Spółki została wysłana informacja o zamiarze przeprowadzenia kontroli przez PUODO w lipcu 2019 r. We wskazanym terminie kontrolujący udali się pod adres wskazany w KRS jako adres spółki. I tu zaczęły się problemy. Gdy dotarli na miejsce okazało się, że żadnego z pracowników Spółki tam nie zastali i nie zastaną, adres ten był bowiem podnajmowany na tzw. wirtualne biuro.

Osoba znajdująca się pod tym adresem poinformowała kontrolujących, że przekazała Spółce treść pisma z Urzędu oraz, że Spółka wypowiedziała umowę najmu na dwa dni przed planowanym terminem kontroli. Poproszono więc, o przekazanie prośby o kontakt. Z kontrolującymi skontaktowała się osoba podająca się za adwokata Spółki, który poinformował, że nie wie czy kontrola będzie mogła się odbyć.

 

Kontrolujący podjęli kolejną próbę zastania pracowników spółki pod tym samym adresem, jednak i tym razem zakończyła się ona niepowodzeniem. Tego samego dnia skontaktował się z nimi adwokat Spółki informując, że kontrola się nie odbędzie. W związku z tym Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia administracyjnej kary pieniężnej w związku z uniemożliwieniem przeprowadzenia kontroli. Pismo, wysłane w tej sprawie do Vis Consulting sp. z o.o. wróciło jednak... z adnotacją „adres nieaktualny”. Jak się okazało 30 lipca 2019 r. podjęto uchwałę o rozwiązaniu Spółki i postawieniu jej w stan likwidacji.

 

PUODO uznał, że Spółka „nie realizuje [...] obowiązków związanych z przetwarzaniem danych osobowych albo co najmniej w sposób zamierzony unika poddania się kontroli organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych” (decyzja z dnia 09 marca 2020 r. ZSPR.421.19.2019). RODO nakłada bowiem na administratorów danych osobowych, jak i podmioty przetwarzające, obowiązek współpracy z organem nadzorczym na jego żądanie, w tym poprzez umożliwienie dostępu do wszystkich danych osobowych oraz wszelkich informacji niezbędnych organowi do realizacji jego zadań oraz zapewnienie dostępu do wszelkich pomieszczeń administratora i podmiotu przetwarzającego, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego.

 

Na Spółkę nałożona została administracyjna kara pieniężna w wysokości 20.000 zł. Zadawać sobie można pytanie, czy kwota ta jest kwotą wysoką, czy niską, biorąc pod uwagę fakt, że roczny dochód netto Spółki wynosił ponad 400 tys. zł. Zgodnie z RODO nakładając karę organ nadzorczy zwraca uwagę na:

 

  • charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

  • umyślny lub nieumyślny charakter naruszenia;

  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 RODO;

  • wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

  • kategorie danych osobowych, których dotyczyło naruszenie;

  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

  • jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 RODO - przestrzeganie tych środków;

  • stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji;

  • wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

 

W decyzji PUODO podał kryteria, którymi kierował się przy ustalaniu wysokości kary. Działania Spółki zostały uznane za umyślne, stanowiące naruszenie o znacznej wadze i poważnym charakterze. Ponadto uniemożliwiło to ocenę materiału dowodowego zebranego w toku innej kontroli (wobec przedsiębiorstwa telemarketingowego). Zaznaczył przy tym, że nie dopatrzył się żadnych okoliczności łagodzących. Uwzględniając więc przesłanki charakteru, wagi i czasu naruszenia oraz umyślności bądź nieumyślności postępowania, uznał, że pozostałe przesłanki wymiaru kary nie mają w tym wypadku zastosowania.

 

„Wskazać należy, że kara pieniężna nałożona na Spółkę w związku z brakiem współpracy z Prezesem Urzędu Ochrony Danych Osobowych ma charakter represyjny (ma spowodować by Spółka poniosła karę finansową za unikanie kontroli) oraz prewencyjny (ma zapobiec naruszaniu prawa w przyszłości przez Spółkę, ale i przez inne podmioty). Ponadto, kara pieniężna nałożona na Spółkę ma również charakter odstraszający i wiąże się z zapobieganiem popełniania naruszeń. Kara ma odstraszać zarówno Spółkę przed ponownym naruszeniem, jak i inne podmioty.”

(decyzja z dnia 09 marca 2020 r. ZSPR.421.19.2019)

 

Na karze pieniężnej się jednak nie skończyło. O podejrzeniu popełnienia przestępstwa polegającego na udaremnieniu przeprowadzenia czynności kontrolnych została poinformowana Prokuratura Rejonowa w Katowicach. W styczniu bieżącego roku do Urzędu Ochrony Danych Osobowych wpłynęło zawiadomienie o skierowaniu aktu oskarżenia przeciwko prezesowi Spółki. Zgodnie z art. 108 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych:

 

„Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch”.

 

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.

 

Please reload

Szukaj po kategoriach
Please reload

Media
  • Facebook Social Icon
  • YouTube Social  Icon
rodo_team.PNG

Znajdziesz nas również

  • White Facebook Icon
  • White YouTube Icon