Kilka dni temu pisałem o karze dla PNP S.A. za brak współpracy z organem. Tymczasem PUODO opublikował informację o kolejnej karze z tego samego powodu. Tym razem kwotę 22 739,50 zł zapłaci Funeda Sp. z o.o.
Znowu zaczęło się od skargi
Sytuacja zaczęła się podobnie jak w przypadku PNP S.A. – od skargi do PUODO. Skarżący zgłosił do organu nadzorczego, że Funeda Sp. z o.o. udostępniła jego dane osobowe dwóm innym spółkom bez podstawy prawnej. Nie zrealizowała też prawa dostępu do danych (art. 15 RODO) na jego żądanie.
PUODO listy pisze, dzwoni, mailuje…
Wobec skargi, urząd przystąpił do działania i zwrócił się do spółki o ustosunkowanie się. Korespondencja została odebrana, ale pozostała bez odpowiedzi.
PUODO wszczął postępowanie administracyjne. To skutkowała wysłaniem drugiego pisma, które spółka również odebrała. W tym piśmie PUODO wezwał do przesłania danych finansowych na podstawie których miała być określona wysokość kary. To pismo również pozostało bez odpowiedzi.
W decyzji wspomniano, że urząd wielokrotnie próbował się kontaktować ze spółką również mniej oficjalnymi drogami, tj. mailowo i telefonicznie. To również się nie udało.
Dlaczego taka kwota kary?
Nad zasadnością nałożenia tej kary nie musimy się zastanawiać. Pozostaje kwestia jej wysokości. Na jakiej podstawie zatem PUODO nałożył karę 22 739,50 zł? Skąd ta kwot?
Warunki nakładania kar określone są w artykule 83 RODO. W przypadku, gdy administrator nie udzieli organowi wymaganych informacji, możliwe jest nałożenie następującej kary:
- do 20 milionów euro, lub
- do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Ostateczną wysokość kary organ nadzorczy określa na podstawie kilku czynników, na przykład:
- charakter, waga i czas naruszenie,
- umyślny lub nieumyślny charakter naruszenia,
- stopień współpracy z organem.
Jak zapewne się domyślasz, ocena powyższych czynników nie była zbyt korzystna dla Funeda Sp. z o.o.
Skoro jednak tak było, to dlaczego PUODO nie nałożył maksymalnej kary. 20 milionów euro wyglądałoby „okazale”.
Pamiętaj, że RODO zobowiązuje organ nadzorczy do nakładania kar skutecznych, proporcjonalnych i odstraszających.
Proporcjonalność należy rozumieć z perspektywy wagi naruszenie, ale też możliwości finansowych ukaranego podmiotu. Mówiąc wprost – kara ma:
- uświadomić karanego, że naruszenie nie popłaca,
- odstraszyć innych (karanego również) od popełniania naruszeń.
Natomiast jej celem nie jest „wykończenie” ukaranego podmiotu.
Nadal nie wyjaśniłem jednak do końca jak PUODO ustalił wysokość kary, skoro spółka Funeda nie przekazała żądanych informacji finansowych. Otóż Prezes UODO może to oszacować samemu. Pozwala na to Ustawa o ochronie danych osobowych z 2018 roku (Art. 101a ust. 2). W przypadku Funeda Sp. z o.o.
Urząd skorzystał z tej możliwości.
Brak współpracy nie pomaga
Nie jest to pierwsza i pewnie nie ostatnia kara RODO nałożona przez PUODO za brak współpracy.
Osobiście nie rozumiem, dlaczego przedsiębiorcy ignorują wezwania organu nadzorczego.
Niedostarczenie informacji nie jest dobrą droga do uniknięcia kary. Wprost przeciwnie. Jest drogą do kolejnych. Zapewne więc usłyszymy jeszcze o Funeda Sp. z o.o. Tym razem w kontekście naruszenia, od którego ta historia się rozpoczęła.
Źródła:
https://uodo.gov.pl/pl/138/2080
Decyzja PUODO:
https://www.uodo.gov.pl/decyzje/DKE.561.25.2020
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.