Judykatura.pl

Prezes UODO nakłada karę 25 000 zł za m.in. brak publikacji danych IOD

Prezes UODO wydał w połowie października br. decyzję, w której stwierdził naruszenie przez pewien Urząd przepisów RODO odnoszących się do trzech kwestii:

wyznaczenia Inspektora Ochrony Danych przez podmiot publiczny
opublikowania danych kontaktowych Inspektora Ochrony Danych na stronie internetowej
zawiadomienie Prezesa UODO o wyznaczeniu Inspektora Ochrony Danych

W związku z powyższymi uchybieniami Prezes UODO:

1) nakłada na X, ul. (…), administracyjną karę pieniężną w wysokości 25 000,- PLN (słownie: dwadzieścia pięć tysięcy złotych).

2) nakazuje X, ul. (…), dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679, w terminie 7 dni od dnia doręczenia niniejszej decyzji, poprzez dokonanie publikacji danych kontaktowych inspektora ochrony danych.

Na pytania Prezesa UODO administrator “zaprzeczył, jakoby nieprawidłowości w zakresie realizowanych przez niego procesów przetwarzania danych osobowych kiedykolwiek miały miejsce”.

Nadto wskazał, że:

Odnosząc się zaś szczegółowo do kwestii wyznaczenia w swojej organizacji inspektora ochrony danych, Z podniósł argumentację, zgodnie z którą„(…) Inspektorem Ochrony Danych Osobowych była p. AB, która od dnia (…) przebywała na zwolnieniu lekarskim. Stosunek pracy z tym pracownikiem ustał dnia (…). Wszystkie obowiązki pracownicze zostały przejęte przez p. CD, zgodnie z przyjętym i podpisanym zakresem obowiązków.”

W związku z otrzymaną odpowiedzią Prezes UODO pismem z 29 lutego 2024 r. zwrócił się do Administratora o poinformowanie, czy, a w przypadku udzielenia odpowiedzi pozytywnej, kiedy i w jaki sposób zawiadomił on organ nadzorczy o powołaniu, zmianie lub odwołaniu inspektora ochrony danych.

W replice datowanej na 5 marca 2024 r. Administrator wskazał, że „(…) [d]otychczas Inspektorem Ochrony Danych Osobowych w Y była p. AB. W momencie nastania jej dłuższej absencji spowodowanej problemami zdrowotnymi przekazała wszystkie obowiązki p. CD. (…)”. Przyznał on ponadto, że „(…) Niestety nastąpiło niedopatrzenie i nie zgłoszono tego drogą korespondencyjną do UODO. W międzyczasie X borykał się z zawirowaniami kadrowymi i problemami wynikającymi ze zmianą siedziby i długotrwałą przeprowadzką. Na dzień dzisiejszy zostanie dokonane skuteczne zgłoszenie nowego Inspektora Ochrony Danych Osobowych oraz zastępcy.” W ślad za powyższą deklaracją, Administrator przesłał Prezesowi UODO w dacie 5 marca 2024 r. następujące zawiadomienia:
1)   o wyznaczeniu Pani EF do pełnienia funkcji inspektora ochrony danych (dalej jako IOD) w Y ((…)),
2)   o odwołaniu Pani ABz pełnienia funkcji IOD w ww. podmiocie,
3)   o wyznaczeniu Pana GH do pełnienia funkcji zastępcy IOD w ww. podmiocie.

Prezes UODO tak argumentował nałożenie kary:

że w przedmiotowej sprawie nie zaszły żadne wyjątkowe okoliczności, które w jakikolwiek sposób usprawiedliwiałyby poważne uchybienia Administratora w aspekcie stosowania się przez niego do przepisów art. 37 ust. 1 lit. a) oraz art. 37 ust. 7 rozporządzenia 2016/679.

Okoliczność niewyznaczenia przez Administratora IOD niejednokrotnie może bowiem utrudniać, a nawet uniemożliwiać realizację przysługujących osobom fizycznym praw, co nakazuje traktować stwierdzone w niniejszej sprawie naruszenie, jako godzące w system ochrony danych osobowych.

W tym kontekście powaga stwierdzonych w toku niniejszego postępowania i będących udziałem Administratora naruszeń ww. przepisów rozporządzenia 2016/679 wzrasta jeszcze wyraźniej w zestawieniu z treścią art. 38 ust. 4 rozporządzenia 2016/679. Przepis ten bowiem statuuje niezwykle istotną z perspektywy osób, których dane dotyczą, funkcję IOD w postaci pełnienia dla podmiotów danych punktu kontaktowego we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy rozporządzenia 2016/679.

Nie sposób bowiem nie zauważyć, iż Administrator od początku w sposób konsekwentny trwał przy swojej tezie o skutecznym wyznaczeniu do pełnienia funkcji IOD p. AB oraz p. CD (co jak wykazano nie znalazło potwierdzenia w zgromadzonym materiale dowodowym), tylko po to, by ostatecznie dostarczyć dowodów na niespójność podnoszonej argumentacji.

W ocenie Prezesa UODO nałożona na Z administracyjna kara pieniężna w wysokości 25 000,- PLN (słownie: dwadzieścia pięć tysięcy złotych), spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.