Kary pieniężne, czyli to czego wszyscy obawiali się najbardziej

10, 20 milionów euro czy nawet 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – takimi wysokościami kar straszono w 2017 i 2018 roku. Wysokie potencjalne kary pieniężne spędzały sen z powiek zarządów, skraplały pot na skroniach księgowych oraz dyrektorów finansowych i wreszcie powodowały mściwy uśmiech szeregowego obywatela UE, który właśnie zakończył piątą niezamówioną rozmowę z telemarketerem. Szumne zapowiedzi kar okazały się trafione tylko w części – naprawdę dużymi karami oberwali w zasadzie wyłącznie giganci internetowi, ale nie jest pewne czy te kary ich zabolały. W Polsce kar nie było dużo, a też ich wysokość nie okazała się szczególnie przerażająca.

Z udostępnionych danych na temat aktywności Prezesa Urzędu Ochrony Danych Osobowych wynika, że w okresie od 25 maja 2018 r., tj., odkąd stosuje się RODO, do 31 marca 2022 r. Prezes Urzędu Ochrony Danych Osobowych wydał 41 decyzji administracyjnych nakładających karę pieniężną za naruszenie RODO. Jednocześnie na podstawie opublikowanych statystyk można oszacować, że w tym czasie do Prezesa UODO zgłoszono nawet 40 tysięcy naruszeń. Jedna kara pieniężna na tysiąc naruszeń to stosunkowo niewiele. Dodatkowo wiele z tych kar zostało uchylonych przez sądy administracyjne, a więc liczba kar zapłaconych i ostatecznych jest sporo niższa.

Czy to źle? Absolutnie nie.

Upomnienia zamiast kar, czyli jak w rzeczywistości działa Prezes UODO

RODO poza możliwością nałożenia kary pieniężnej daje organom nadzorczym także inne, mniej działające na wyobraźnię uprawnienia, które jednak mogą być nie mniej skuteczne. Zaliczamy do nich przede wszystkim decyzje nakazujące oraz upominające. Decyzje nakazujące mogą dotyczyć m.in. realizacji praw osób, których dane dotyczą, nakazania zawiadomienia o naruszeniu, czy wreszcie dostosowania operacji przetwarzania do przepisów RODO (Prezes UODO może wskazać nawet stosowny termin i sposób dostosowania). Z kolei decyzje upominające stwierdzają, że doszło do naruszenia, ale jego skala, charakter czy aktywność administratora lub podmiotu przetwarzającego w toku postępowania wskazują na to, że wystarczy upomnienie.

Z danych na temat aktywności Prezesa UODO wynika, że np. w roku 2020 Prezes UODO skorzystał z przysługujących mu uprawnień naprawczych ponad 520 razy, z czego około 140 razy wydał decyzję nakazującą, a około 380 decyzję upominającą. Z kolei w roku 2021, Prezes UODO skorzystał z uprawnień naprawczych ponad 780 razy, przy czym wydał około 250 decyzji nakazujących i 530 decyzji upominających. Co istotne, tendencja do wykonywania przez Prezesa UODO uprawnień naprawczych poprzez wydawanie decyzji nakazujących i upominających, zdaje się nie słabnąć, gdyż już w pierwszym kwartale 2022 r., Prezes UODO wydal 60 decyzji nakazujących i ponad 180 decyzji upominających.

Przytoczone statystyki dają podstawę, aby stwierdzić, że nakładane przez Prezesa Urzędu Ochrony Danych Osobowych kary pieniężne dotyczą głównie spraw o najpoważniejszym charakterze, tj. przede wszystkim spraw, w których w wyniku naruszenia ochrony danych osobowych istotnie zagrożone zostały prawa i wolności osób fizycznych.

Takie działania Prezesa UODO (decyzje nakazujące i upomnienia) zasługują na pochwałę, bo mają ogromny walor edukacyjny i pokazują, że mimo wszystko RODO nie jest maszynką do karania przedsiębiorców. Jako praktycy życzylibyśmy sobie jednak, aby nieco więcej decyzji Prezesa UODO było publikowanych i omawianych na stronie internetowej Urzędu.

Czytaj więcej

4,9 mln zł - nowy rekord kary za naruszenie RODO

Jakie RODO jest każdy widzi, czyli kilka gorzkich słów

RODO było reklamowane jako „inteligentny akt prawny”, czyli akt prawny, który poprzez użyty w nim język ma sam dostosować się do zmieniającej się rzeczywistości technologicznej. Być może w tej kwestii jest nieźle, ale tej „inteligencji” zabrakło w kilku miejscach, choćby w kwestii pewnych formalnych obowiązków, które są podobne w przypadku bardzo dużego przedsiębiorstwa z branży internetowej lub technologicznej, jak i jednoosobowego gabinetu fryzjerskiego (np. obowiązki informacyjne). Czy tak powinno być? Raczej nie.

Autopromocja
TYLKO U NAS

Ambasador Chin w Polsce Sun Linjiang o nowej ofercie współpracy Pekinu z Warszawą

CZYTAJ

Próg wejścia w zrozumienie RODO, ujęcie tematu ochrony danych osobowych i wymogów dotyczących np. privacy by design jest dość wysoki i nie wszyscy administratorzy danych byli w stanie samodzielnie poradzić sobie ze spełnieniem podstawowych wymogów RODO. Czy możemy jednak wymagać, aby malutki sklep internetowy podołał tym wymogom samodzielnie, gdy do dziś dnia na stronie ZUS – dysponującego przecież olbrzymim budżetem – można znaleźć prośbę czy też wymóg zupełnie zbędnego udzielenia zgody, a jeszcze niedawno ta zgoda była oparta o uchyloną w 2018 roku ustawę o ochronie danych osobowych z 1997 roku?

Największą wadą RODO jest jego stosunkowo niewielka skalowalność. Naszym zdaniem mikro i mali przedsiębiorcy powinni być (z zastrzeżeniem skali i kontekstu przetwarzania) zwolnieni z części obowiązków wskazanych w RODO. Alternatywnie, organ nadzorczy (w Polsce Prezes Urzędu Ochrony Danych Osobowych) mógłby wypracować narzędzia wspierające wdrożenie i stosowanie RODO dla mikro i małych przedsiębiorców z pewnych branż (np. produkcyjnej, sklepów czy sklepów internetowych). Dzięki temu zyskaliby oni pewne rozwiązanie do samodzielnego dostosowania do swoich warunków i procesów przetwarzania, zamiast mozolnych godzin spędzonych na lekturze RODO i artykułów specjalistycznych. Taką rolę miały pełnić zatwierdzany przez krajowe organy nadzorcze kodeksy postępowań, jednak do chwili obecnej nie udało się w Polsce zatwierdzić nawet jednego kodeksu postępowania a przedłożono ich zaledwie siedem (https://uodo.gov.pl/pl/426/1109).

Świadomość, czyli co RODO robi dobrze i źle zarazem

Największej wartości dodanej przez RODO należy upatrywać w zwiększonej świadomości tego, jak ważną kwestią w społeczeństwie informacyjnym jest ochrona danych osobowych. Oczywiście, ta świadomość nie jest idealna i wymaga dalszych działań edukacyjnych, ale niewątpliwie RODO przyczyniło się do popularyzacji tematu ochrony danych osobowych – słowo „dane (RODO)” znalazło się nawet na drugim miejscu w plebiscycie na Słowo Roku 2018. Świadome społeczeństwo chętniej spojrzy na informację o przetwarzaniu danych osobowych, zastanowi się, po co ma podawać konkretne dane osobowe, a przy zawiadomieniu o naruszeniu – podejmie środki zaradcze.

O tę świadomość należy jednak w dalszym ciągu dbać i rozwijać ją wśród wszystkich pokoleń. Konieczne jest także przebicie się do mainstreamu z przekazem, że zgoda to nie jedyna podstawa prawna do przetwarzania danych, a skarga do UODO niekonieczne służy do szantażowania pracodawcy.

Świadomość wagi tematu ochrony danych osobowych powinna także wreszcie dotrzeć do ustawodawcy, który dość uparcie pomija albo błędnie implementuje rozwiązania dotyczące ochrony danych osobowych w nowych ustawach. Tu jako przykład można podać ustawę z 11 sierpnia 2021 r. o kasach zapomogowo-pożyczkowych (Dz.U. 2021 poz. 1666), która jako podstawę przetwarzania danych członka kasy wskazuje jego zgodę (art. 43 ust. 1 ustawy). Mimo szerokiej krytyki, do chwili obecnej ustawa nie została poprawiona.

RODOza, czyli nie samą ochroną danych osobowych przedsiębiorca żyje

Mimo całej naszej sympatii do RODO oraz tematu ochrony danych osobowych trzeba pamiętać, że dla znakomitej części przedsiębiorców przetwarzanie danych to proces uboczny, jedynie środek do celu jakim jest działalność biznesowa. Inaczej jest w przypadku internetowych gigantów, dla których wartością samą w sobie są właśnie dane osobowe, a kreatywnych sposobów ich wykorzystania nie sposób zliczyć. Jednak w przypadku takiego „przeciętnego” przedsiębiorcy ochrona danych nie może pożerać zbyt wielu zasobów i to im należy pomóc przygotowując gotowe, dedykowane rozwiązania, z których mogą łatwo skorzystać.

Na koniec dnia trzeba pamiętać, że zgodnie z motywem 4 preambuły RODO „Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości.” I właśnie tego – aby przetwarzanie danych osobowych oraz ich ochrona służyły ludzkości - życzymy sobie i Państwu z okazji 4 rocznicy obowiązywania RODO.

Cenzurkę RODO wystawił:

Kamil Kozioł – manager i Kinga Adamczyk – associate z Andersen w Polsce.

Kancelaria jest zrzeszona w sieci Kancelarie RP działającej pod patronatem dziennika „Rzeczpospolita".