Na stronie Prezesa Urzędu Ochrony Danych Osobowych pojawiła się decyzja nakładająca karę pieniężną w wysokości 20 000,00 zł za nieumożliwienie przeprowadzenia kontroli w Spółce Vis Consulting Sp. z o.o. w likwidacji z siedzibą w Katowicach. Warto podkreślić i jest to pierwsza tego typu kara nałożona w Polsce.
Dlaczego Prezes Urzędu Ochrony Danych Osobowych chciał przeprowadzić czynności kontrolne w spółce Vis Consulting?
W 2019 r. Prezes Urzędu Ochrony Danych Osobowych otrzymał liczne sygnały, skargi o nieuczciwych praktykach firm telemarketingowych, co przełożyło się na działania kontrolne .
Prezes Urzędu Ochrony Danych Osobowych prowadząc postępowanie kontrolne w innej firmie ustalił, iż kontrolowana spółka miała podpisaną umowę o współpracy w zakresie outsourcingu usług telemarketingowych. Spółka Vis Consulting odpowiadała za wykonywanie połączeń telefonicznych, co wiązało się z przetwarzaniem danych osobowych.
Niestety mimo prób umówienia się na kontrolę w lipcu 2019 r., jak wynika z decyzji Prezesa pełnomocnik Vis Consulting poinformował, iż kontrola się nie odbędzie.
Obowiązek współpracy z organem nadzorczym
Należy podkreślić, iż jednym z obowiązków administratora danych osobowych oraz podmiotów przetwarzających dane osobowe zgodnie z treścią art. 31 Rozporządzenia RODO1 jest obowiązek współpracy z organem nadzorczym: „ Administrator i podmiot przetwarzający oraz – gdy ma to zastosowanie – ich przedstawiciele na żądanie współpracują z organem nadzorczym w ramach wykonywania przez niego swoich zadań.”
Administrator danych osobowych tak samo jak i podmiot przetwarzający, mają obowiązek udostępnić organowi nadzorczemu dostęp do wszelkich danych osobowych i wszelkich informacji niezbędnych, w związku z realizowanymi przez organ zadaniami. Technicznie rzecz ujmując dotyczy to także udostępnienia wszystkich pomieszczeń, w tym sprzętu i środków służących do przetwarzania danych osobowych. Ten obowiązek wynika z art. 58 ust. 1 lit e) i f) Rozporządzenia RODO.
Z czego wynika kara 20 000 zł?
W przypadku przedsiębiorców wysokość kary uzależniona jest od całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Art. 83 ust. 4 Rozporządzanie RODO wskazuje, iż za naruszenie przepisów z art. 31 Rozporządzanie RODO, Prezes Urzędu Ochrony Danych Osobowych może nałożyć administracyjną karę pieniężną w wysokości do 2 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Natomiast naruszenie obowiązków wynikających z art. 58 ust. 1 lit. e) oraz f) podlega karze pieniężnej wysokości do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Więcej o wysokości kar przeczytasz tutaj.
RODO a odpowiedzialność karna
Jak często podkreślamy, naruszenie przepisów Rozporządzenia RODO oraz Ustawa o ochronie danych osobowych wiążą się z administracyjną karą pieniężną, ale także z odpowiedzialnością karną.
Prezes Urzędu Ochrony Danych Osobowych w związku z podejrzeniem popełnienia przestępstwa z art. 108 ust. 1 Ustawy o ochronie danych osobowych, zawiadomił Prokuraturę Rejonową w Katowicach.
Jak wynika z treści przytoczonego artykułu „Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.”
Odpowiedzialność karna dotycz członków zarządu spółki Vis Consulting. Jak wynika ze strony Urzędu, Prokuratura skierowała już w tej sprawie akt oskarżenia przeciwko prezesowi spółki do sądu.
Kontrola przestrzegania przepisów o ochronie danych osobowych – o czym należy pamiętać?
- Zgodnie z art. 79 ust. 1 pkt Ustawy o ochronie danych osobowych z 10 maja 2018 r. kontrola przeprowadzana jest przez upoważnionego przez Prezesa Urzędu Ochrony Danych Osobowych pracownika Urzędu.
- Uprawnienia kontrolującego: (art. 84 ust. 1 Ustawy o ochronie danych osobowych)
- wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń;
- wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;
- przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
- żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
- Z przebiegu czynności kontrolnych sporządzany jest protokół kontroli.
Podsumowanie:
- Kontrola prowadzona w naszym przedsiębiorstwie przez Prezesa Urzędu Ochrony Danych Osobowych może wiązać się z kontrolą prowadzoną w firmie, która z nami współpracuje. Kontrola Prezesa UODO może przytrafić się tak samo jak m.in. kontrola z ZUS czy PIP – Państwowej Inspekcji Pracy.
- W przypadku spółek dostęp do danych finansowych jest powszechny i każdy może się z nimi zapoznać, a w szczególności w celu wyliczenia wysokości administracyjnej kary pieniężnej.
- Odpowiedzialność karna m.in. członków zarządu za:
- Nielegalne przetwarzanie danych osobowych;
- Udaremnianie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych;
- Niedostarczenie Prezesowi UODO danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej.
Treść decyzji z dnia 09 marca 2020 r. – znajdziesz tutaj
1 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)