Adam Sanocki: Celem UODO nie jest karanie

Kary są ostatecznością. Znacznie częściej organ nadzorczy stosuje inne środki naprawcze, np. upomnienia czy nakazy, by administrator prawidłowo chronił dane osobowe czy przestrzegał praw osób, których dane przetwarza.

Decyzji administracyjnych wydawanych przez UODO w 2021 r. było prawie 2100, tj. o 20 proc. więcej niż w roku poprzednim. W 2022 r. mniej więcej tyle samo. I choć decyzje nakładające administracyjne kary pieniężne stanowią jedynie ok. 3 proc., to nadal cieszą się one największym zainteresowaniem i opinii publicznej, i samych administratorów.

Czytaj więcej

Dane osobowe

Nie zweryfikowali komu powierzają dane, zapłacą karę od UODO

2,5 tys. zł kary administracyjnej ma zapłacić Sułkowicki Ośrodek Kultury za to, że powierzył przetwarzanie danych osobowych podmiotowi, którego nie zweryfikował i z którym nie zawarł umowy na piśmie.

Trudno się dziwić

Niezadowolenie administratora czy satysfakcja osób, których dane np. wyciekły w wyniku niewystarczających zabezpieczeń, to częste emocje, jakie towarzyszą nakładaniu kar przez Urząd Ochrony Danych Osobowych (UODO). Te emocje są zrozumiałe, gdyż ci pierwsi za wszelką cenę chcą uniknąć kary. Ci drudzy z kolei oczekują wyciągnięcia przez organ nadzorczy jak najsurowszych konsekwencji. I trudno się temu dziwić, skoro dane poszkodowanych wyciekiem niejednokrotnie służą przestępcom do zaciągnięcia zobowiązań, np. pożyczek. Znacznie częściej dane, które w wyniku naruszenia dostały się w niepowołane ręce, służą do prób wyłudzenia kolejnych danych od ofiar wycieku czy wykorzystywania ich do agresywnego telemarketingu.

Prezes UODO rzadko sięga po kary – są one ostatecznością. I w praktyce mają zastosowanie, gdy administrator poważnie zaniedbał kwestie związane z ochroną danych – zarówno od strony technicznej, jak i organizacyjnej, czy też gdy naruszenie obejmowało szeroki zakres danych i dotyczyło bardzo wielu osób. W kilku przypadkach na takie rozwiązanie organ nadzorczy się zdecydował, gdy administrator danych nie współpracował albo utrudniał czy wręcz uniemożliwiał działania UODO.

Stosowane wyjątkowo

Od rozpoczęcia stosowania przepisów RODO, czyli od 25 maja 2018 r., prezes UODO wydał 65 decyzji o nałożeniu administracyjnych kar pieniężnych na łączną kwotę 17 874901,98 zł, z czego 18 decyzji było znaczących ze względu na wysokość przyznanej kary – to jest na kwotę 100 tys. zł i więcej, z najwyższą karą opiewającą na kwotę prawie 5 mln zł nałożoną w 2022 r.

Liczby te pokazują, że na ogromną ilość spraw te, które kończą się karami, to niewielka część. Po kary UODO sięga tylko w wyjątkowych sytuacjach. Podstawowym bowiem celem UODO nie jest karanie, ale przywrócenie stanu zgodnego z prawem, a więc dążenie do tego, by administrator podjął działania naprawcze i wdrożył rozwiązania zgodne z przepisami RODO.

Dlatego UODO częściej sięga po inne uprawnienia naprawcze, które są określone w art. 58 ust. 2 Rozporządzenia o ochronie danych osobowych (RODO). Na ich podstawie prezes UODO może nie tylko nałożyć karę pieniężną, ale i wydawać ostrzeżenia dotyczące możliwości naruszenia RODO, udzielać upomnień, nakazać administratorowi lub podmiotowi przetwarzającemu spełnienie żądania osoby, której dane dotyczą, wprowadzić czasowe lub całkowite ograniczenia przetwarzania, w tym zakaz przetwarzania.

W każdym przypadku UODO reaguje odpowiednio do wagi konkretnej sprawy, korzystając z uprawnień, jakie przysługują organowi nadzorczemu na podstawie RODO.

Jeśli już kara…

Gdy jednak UODO uzna, że kara jest konieczna, to każda taka decyzja zależy od oceny okoliczności konkretnej sprawy, która jest badana indywidualnie. Wydając decyzję w konkretnej sprawie, UODO analizuje stan faktyczny i prawny na dzień jej wydania. Nawet po jednym z dwóch podobnych naruszeń może zostać nałożona administracyjna kara finansowa, a po drugim nie. Przesądzić bowiem o tym mogą specyficzne okoliczności związane z tymi sprawami.

Kary pieniężne mają być nie tylko skuteczne i odstraszające, ale i proporcjonalne. Dlatego przy ich wymierzaniu prezes UODO musi brać pod uwagę aż jedenaście różnych czynników. Znaczenie ma więc waga i czas trwania naruszenia, umyślny lub nieumyślny charakter naruszenia, czy też działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.

Bierze się pod uwagę także stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych. Znaczenie mają też wszelkie wcześniejsze naruszenia, stopień współpracy z prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Organ, badając taką sprawę, bierze też pod uwagę kategorie danych osobowych, których dotyczyło naruszenie, oraz w jaki sposób prezes UODO dowiedział się o naruszeniu, w szczególności czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (np. czy sam zgłosił np. wyciek danych).

Wysokość kary

Powyższe czynniki są brane pod uwagę przy decydowaniu o tym, czy kara w danej sprawie w ogóle zostanie zastosowana oraz w jakiej wysokości.

Przepisy RODO przewidują limity wysokości kar. Prezes UODO nakłada karę pieniężną w wysokości do 10 mln euro lub do 2 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) za np.: nieprawidłowości w powierzeniu przetwarzania danych; niewłaściwe prowadzenie rejestru czynności przetwarzania lub jego brak; czy niezgłoszenie naruszenia ochrony danych lub niezawiadomienie o naruszeniu osoby, której dane dotyczą.

Wyższa kara, bo aż do 20 mln euro, a dla przedsiębiorstwa w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, może mieć zastosowanie np. za przetwarzanie danych osobowych niezgodnych z zasadami RODO, niedotrzymanie warunku wyrażenia zgody na przetwarzanie danych, niedotrzymanie warunków przetwarzania szczególnych kategorii danych osobowych (tj. np. danych o stanie zdrowia, wyznaniu, orientacji seksualnej), niedopełnienie obowiązku informacyjnego czy prawa do sprostowania.

Polski ustawodawca postanowił jednak nieco złagodzić kary dla podmiotów sektora publicznego. Dlatego w ustawie o ochronie danych osobowych najwyższa kara, jaka może być nałożona na jednostki sektora finansów publicznych, instytuty badawcze czy Narodowy Bank Polski, to 100 tys. zł. Z kolei do 10 tys. zł może wynieść kara nałożona na państwowe i samorządowe instytucje kultury.

Kary określone w RODO wyrażone są w euro, dlatego oblicza się je według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku. Ustawodawca wskazał tę datę nieprzypadkowo, gdyż tego dnia obchodzony jest Dzień Ochrony Danych Osobowych.

Środki z administracyjnej kary pieniężnej stanowią dochód budżetu państwa. Nie zasilają one samego Urzędu.

Na tego wypadło, na tego bęc

Wymaga podkreślenia, że każda decyzja jest efektem pracy wielu ekspertów UODO. Dlatego choć ostatecznie wydaje ją prezes UODO, to oni mają wpływ na jej kształt.

Przy decyzjach karowych UODO nie kieruje się też własnym widzimisię. Jako członek Europejskiej Rady Ochrony Danych bierze pod uwagę także to, że kary w Unii Europejskiej powinny być nakładane w sposób zharmonizowany. Stosuje się więc do wytycznych EROD w sprawie obliczania administracyjnych kar pieniężnych.

W wytycznych tych określono pięcioetapową metodologię obliczania wysokości kary. Po pierwsze, organy ochrony danych muszą ustalić, czy dana sprawa dotyczy jednego lub większej liczby przypadków zachowania podlegającego sankcjonowaniu i czy doprowadziły one do jednego lub wielu naruszeń. Celem jest wyjaśnienie, czy wszystkie naruszenia lub tylko niektóre z nich mogą zostać obłożone karą pieniężną.

Po drugie, organy ochrony danych muszą opierać się na punkcie wyjścia do obliczenia kary pieniężnej, dla którego EROD zapewnia zharmonizowaną metodę.

Organy nadzorcze muszą też wziąć pod uwagę czynniki obciążające lub łagodzące, które mogą zwiększyć lub zmniejszyć kwotę kary pieniężnej. EROD zapewnia ich spójną interpretację.

Kolejnym etapem jest określenie pułapów kar pieniężnych określonych w art. 83 ust. 4–6 RODO oraz zapewnienie, że kwoty te nie zostaną przekroczone.

W ostatnim etapie organ musi przeanalizować, czy obliczona kwota końcowa spełnia wymagania dotyczące skuteczności, odstraszającego charakteru i proporcjonalności, czy też konieczne są dalsze korekty kwoty.

Powyższe rozważania pokazują, że kary z RODO, którymi tak straszono administratorów przed 25 maja 2018 r. , są stosowane w Polsce wyjątkowo. Ponadto ich wysokość jest daleka od ich górnych limitów określonych w rozporządzeniu.

Prezes UODO, decydując się o nałożeniu kary, musi wyważyć, by była ona skuteczna i odstraszająca, aby jej wysokość nie pogrążyła administratora. Z drugiej strony nie może zapominać o ludziach, których dane w wyniku poważnego naruszenia dostały się w niepowołane ręce i są wykorzystywane do phishingu, telemarketingu, rozsyłania spamu czy do celów przestępczych.