Co po kontroli RODO – jak przebiega postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych

Przypomnijmy, że w niektórych przypadkach kontrola RODO może zostać przeprowadzona bez uprzedzenia (ad hoc). Natomiast procedura w sprawie naruszenia jest wszczynana zawsze po zawiadomieniu dokonywanym przez Prezesa Urzędu Ochrony Danych Osobowych. Jeżeli liczba stron zawiadomienia przekracza 20, wówczas zamiast indywidualnego komunikatu Prezes UODO może opublikować informację w postaci obwieszczenia.

Na samym początku postępowania administrator danych osobowych (podmiot przetwarzający) może zaakceptować stanowisko przedstawione przez organ nadzorczy po kontroli RODO. W tym celu:

• informuje on Prezesa UODO o podjęciu działań zmierzających przywrócenia stanu zgodności z prawem (np. w zakresie naruszenia praw i wolności osób fizycznych bądź wprowadzenia adekwatnych środków bezpieczeństwa danych),
• usuwa nieprawidłowości i informuje o tym organ nadzorczy (przedstawiając dowody np. dokumenty potwierdzające usunięcie uchybień).

Nie wystarczy tu więc zgłoszenie naruszenia ochrony danych zgodnie z ogólnym rozporządzeniem o ochronie danych.

Z kolei gdy administrator nie zgodził się ze stanowiskiem Prezesa UODO, wtedy powinien przedstawić własne argumenty wraz z dowodami. Na tym etapie ADO może składać wnioski dowodowe obejmujące przeprowadzenie dowodu z:

• dokumentów (przedkładając je do akt sprawy)
• zeznań świadków (wskazując imię i nazwisko oraz adres świadka)
• opinii biegłego,
• oględzin,
• przesłuchania strony (czyli administratora/podmiotu przetwarzającego).

Nim dojdzie do wydania decyzji dotyczącej naruszenia danych Prezes UODO może zobowiązać administratora danych do ograniczenia przetwarzania danych w odpowiednim zakresie. Postanowienie w tej sprawie jest wydawane, gdy zostanie uprawdopodobnione, że:

• przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych,
• dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki

W postanowieniu określany jest dopuszczalny zakres przetwarzania danych i okres obowiązywania ograniczenia (nie dłuższy niż sama procedura).

Jeśli administrator nie zaakceptował stanowiska organu nadzorczego po kontroli RODO, wówczas, jak już wskazano, zapewne przedstawił własne argumenty i zgłosił wnioski dowodowe. W takim przypadku rozpocznie się oczywiście postępowanie dowodowe. Administrator musi zostać zawiadomiony o miejscu i terminie przeprowadzenia dowodu z zeznań świadków, biegłych i oględzin z co najmniej 7-dniowym wyprzedzeniem.

Tak jak na etapie kontroli, Prezes UODO może zażądać tłumaczenia przedstawionej przez administratora dokumentacji na język polski. ADO musi wówczas ją wykonać na własny koszt.

Podobnie jak w przypadku kontroli RODO, organ nadzorczy ma generalnie wgląd do dokumentów i informacji mających bezpośredni związek z zakresem postępowania dotyczącego naruszenia danych osobowych. Dotyczy to także informacji objętych tajemnicą prawnie chronioną. Od tej reguły przewidziano jednak wyjątek. Administrator może bowiem zastrzec informacje, dokumenty lub ich części zawierające tajemnicę przedsiębiorstwa (w rozumieniu art. 11 ust. 2 ustawy o zwalczaniu nieuczciwej konkurencji). W takim przypadku musi on jednak przedstawić taką wersję dokumentu, która nie zawiera informacji objętych zastrzeżeniem.

Rażącym błędem jest niewykonywanie poleceń Prezesa UODO na tym etapie procedury. Może to bowiem skutkować nałożeniem kary grzywny w wysokości od 500 zł do 1500 zł. Kara grozi za:

• naruszenie obowiązku stawiennictwa przez stronę, biegłego czy świadka,
• nieuprawnioną odmowę składania zeznań, wydania opinii czy okazania przedmiotu oględzin,
• nieprzedstawienie tłumaczenia dokumentacji mimo żądania organu nadzorczego.

Generalnie administrator jako strona ma prawo:

• wglądu w akta sprawy,
• sporządzania z tych akt notatek, kopii lub odpisów.

Z uprawnienia tego można skorzystać także po zakończeniu procedury. Administrator nie może jednak z niego skorzystać w przypadku akt sprawy:

• zawierających informacje niejawne o klauzuli tajności "tajne" lub "ściśle tajne", lub
• innych akt, które organ nadzorczy wyłączy ze względu na ważny interes państwowy (wydając stosowne postanowienie, na które administratorowi przysługuje zażalenie),

Prezes UODO wyda postanowienie w sprawie odmowy dostępu do akt także w przypadku, gdy udostępnienie informacji i dokumentów, grozi ujawnieniem:

• tajemnic prawnie chronionych,
• tajemnicy przedsiębiorstwa,

jeśli o ograniczenie wglądu do akt dla stron wnosi przedsiębiorca, od którego informacja pochodzi.

Tuż przed zakończeniem postępowania Prezes UODO poinformuje strony o zebranym materiale dowodowym. Administrator może wtedy wypowiedzieć się w aspekcie zebranych dowodów i materiałów oraz zgłoszonych żądań. Obowiązkiem Prezesa Urzędu jest stworzenie stronom takiej możliwości, ponieważ dopiero wtedy stan faktyczny ustalony w toku sprawy może zostać udowodniony.

Prezes UODO musi zawiadomić strony o niezałatwieniu sprawy w terminie. W informacji tej podaje przyczyny zwłoki, wskazując nowy termin załatwienia sprawy oraz pouczając o prawie do wniesienia ponaglenia. Informuje także o stanie sprawy i przeprowadzonych w jej toku czynnościach. W takim przypadku administrator może wnieść ponaglenie, jeżeli procedura jest prowadzona dłużej niż jest to niezbędne do załatwienia sprawy.

Kończąc procedurę, Prezes UODO wydaje decyzję administracyjną. Jeżeli uchybienia zostaną w całości usunięte i tym samym postępowanie stanie się bezprzedmiotowe, wówczas Prezes UODO umarza postępowanie. Natomiast gdy stwierdzono, że doszło do naruszenia, może zostać wydana decyzja, w której organ nadzorczy

• nakaże dostosowanie operacji przetwarzania do przepisów RODO, a w stosownych przypadkach wskazanie sposobu i terminu (art. 58 ust. 2 lit. d RODO),
• nakaże spełnienie żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO (art. 58 ust. 2 lit. c RODO),
• wprowadzi całkowite lub całkowite ograniczenie przetwarzania, w tym zakaz przetwarzania (art. 58 ust. 2 lit. f RODO),
• nakaże zawieszenie przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej (art. 58 ust. 2 lit. j RODO).

Przede wszystkim Prezes UODO może w przypadku stwierdzenia naruszenia nałożyć administracyjną karę pieniężną i to niezależnie od powyższych rozstrzygnięć. W uzasadnieniu decyzji kończącej sprawę i wymierzającej administracyjną karę pieniężną znajdą się również kryteria wymiaru kary określone w art. 83 ust. 2 RODO (art. 72 ustawy o ochronie danych osobowych).

Gdy administratorem jest:

• jednostka sektora finansów publicznych (np. szkoła lub inna jednostka samorządowa)
• instytut badawczy
• Narodowy Bank Polski,

wtedy musi on podać do publicznej wiadomości na swojej stronie internetowej lub stronie podmiotowej w BIP informacje o działaniach podjętych w celu wykonania decyzji.

Administratorowi przysługuje oczywiście przysługuje prawo do wniesienia skargi na decyzję Prezesa UODO do wojewódzkiego sądu administracyjnego. Ma na to 30 dni od dnia otrzymania decyzji z uzasadnieniem.