Urząd Ochrony Danych Osobowych nakłada kary za brak współpracy
Urząd Ochrony Danych Osobowych nakłada kolejne kary za naruszenie RODO. Spółka East Power oraz Główny Geodeta Kraju zostali ukarani za brak współpracy z organem w trakcie postępowań wszczętych przez Urząd..
UODO nałożył na spółkę East Power karę w wysokości 15 tys. zł. za nieudostępnienie organowi nadzoru danych osobowych oraz innych informacji wymaganych do realizacji jego zadań. Spółka z Jeleniej Góry zajmuje się pośrednictwem pracy oraz zarządzaniem zasobami ludzkimi w przedsiębiorstwach na terenie Polski i Niemiec. Skargę na działania spółki złożył obywatel Niemiec, wniosek pierwotnie został skierowany do niemieckiego organu ochrony danych osobowych, następnie został przejęty przez polski organ ze względu na miejsce siedziby spółki, która znajduje się w naszym kraju. W związku z tym Urząd Ochrony Danych Osobowych stał się organem wiodącym w tej sprawie.
Do spółki skierowano trzy wezwania do złożenia wyjaśnień koniecznych przy rozpatrzeniu sprawy. Pierwsze oraz trzecie pismo pozostały bez odpowiedzi, na drugie wezwanie spółka zareagowała, lecz brakowało wyczerpujących odpowiedzi na szczegółowe pytania, ponadto odpowiedź miejscami była sprzeczna. Spółka oświadczyła, że dane osobowe obywatela Niemiec uzyskała z internetu, natomiast później twierdziła, że w ogóle nie przetwarzała danych osobowych skarżącego. Na niekorzyść spółki działa również fakt, że nawet nie próbowano usprawiedliwić braku odpowiedzi na otrzymane wezwania. Nie zgłoszono także ewentualnych wątpliwości, jak powinna wyglądać odpowiedzieć na pisma Prezesa UODO. Dopiero po otrzymaniu wiadomości o wszczęciu postępowania, spółka udzieliła szerszych wyjaśnień, jednakże nadal były niewystarczające. Prezes UODO uznał więc, że East Power lekceważy obowiązki związane ze współpracą z organem.
Na decyzję o nałożeniu kary i jej wysokość wpływ miały obciążające okoliczności, duża waga naruszenia, umyślny charakter oraz znikoma współpraca administratora danych osobowych z Prezesem UODO w sprawie likwidacji naruszenia oraz zmniejszenia jego skutków.
Kara dla Głównego Geodety Kraju
Za niedopełnienie obowiązku współpracy z organem w trakcie kontroli, nieudostępnienie pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz nieprzekazanie danych osobowych i informacji niezbędnych do przeprowadzania postępowania został również ukarany Główny Geodeta Kraju. Nałożona grzywna wyniosła 100 tys. zł..
Kontrola dotyczyła przetwarzania danych osobowych przez Głównego Geodetę Kraju umieszczanych na stronie GEOPORTAL2. Dane pochodziły z ksiąg powiatowych ewidencji gruntów i budynków. Główny Geodeta Kraju był poinformowany pisemnie o szczegółowym zakresie kontroli i jej terminie, jednak osoby nadzorujące nie zostały dopuszczone do dokonania kompleksowej kontroli. W uzasadnieniu odmowy Główny Geodeta Kraju oznajmił, że według przedstawionych upoważnień kontrola miała dotyczyć numerów ksiąg wieczystych, lecz jego zdaniem nie są to dane osobowe w rozumieniu przepisów prawa geodezyjnego i kartograficznego. GGK wyraził zgodę na ustalenie czy wykorzystywane metody techniczne i organizacyjne są odpowiednie dla zapewnienia ochrony danych osobowych oraz sprawdzenie czy został wyznaczony inspektor danych. Przez ograniczony dostęp kontrolujących do używanych systemów informatycznych oraz uniemożliwienie koniecznych oględzin systemu nie udało się ustalić czy były zastosowane odpowiednie środki ochrony danych.
Przez brak zgody Głównego Geodety Kraju na dokonanie pełnych czynności kontrolnych niemożliwe było ustalenie podstawy prawnej na mocy której udostępniane są informacje z ewidencji gruntów i budynków na stronie GEOPORTAL2, oraz wdrożenia środków w celu zapewnienia bezpieczeństwa danych. Ze względu na utrudnienia w przeprowadzeniu czynności nie udało się zbadać głównego przedmiotu kontroli, stąd nałożenie kary, według UODO, było zasadne.
Ubezpieczenie ryzyk cybernetycznych to produkt, który może zadziałać w przypadku wszczęcia postępowania przez organ nadzoru czy utraty danych osobowych. Ubezpieczyciel, w ramach niniejszego produktu, może pokryć koszty obrony prawnej oraz koszt samej kary administracyjnej. Należy zaznaczyć, że każda szkoda jest rozpatrywana indywidualnie i ocena możliwości wypłaty odszkodowania zależy od okoliczności zdarzenia.
Źródła:
https://uodo.gov.pl/pl/138/1597
https://uodo.gov.pl/pl/138/1602
https://uodo.gov.pl/decyzje/DKE.561.1.2020
https://niebezpiecznik.pl/post/polska-firma-ukarana-przez-uodo-po-skardze-obywatela-niemiec/