Kary GIODO – Ochrona danych osobowych w praktyce

Zapewne nie jeden administrator danych zastanawiał się jakie kary nakłada GIODO. Sprzyjają temu media, w których co jakiś czas pojawia się temat kar nakładanych rzekomo przez Generalnego Inspektora Ochrony Danych osobowych. Warto pamiętać, iż GIODO nie posiada co do zasady kompetencji umożliwiających nakładanie kar finansowych np. w sytuacji wykrycia uchybień podczas kontroli.

Powstaje więc pytanie, czy GIODO może zrobić cokolwiek jeżeli administrator danych nie stosuje się do wymagań nałożonych ustawą o ochronie danych osobowych i czy administrator danych może zostać obciążony jakimiś karami pieniężnymi?

Warto pamiętać, że jednym ze środków jakie może zastosować GIODO jest złożenie zawiadamiania o możliwości popełnienia przestępstwa do prokuratury!

W poniższym artykule skoncentrujemy się na innym narzędziu jakim dysponuje GIODO. Ww. narzędziem jest możliwość nałożenia grzywny w celu wymuszenia wykonania wydanej decyzji administracyjnej. O samej egzekucji pisaliśmy szerzej w artykule Egzekucja decyzji GIODO. Przypomnę tylko, że GIODO od 7 marca 2011 roku może nakładać grzywny w celu przymuszenia na podmioty, które nie będą wykonywały jego decyzji administracyjnych.

Dzisiaj postaram się opisać jak wygląda możliwość miarkowania wysokości i nałożenia przez GIODO grzywny na administratora danych, który nie wykonuje decyzji administracyjnej GIODO. Na samym początku chciałbym zaznaczyć, iż do Zespołu do Spraw Egzekucji Administracyjnej trafia w finale mało spraw. Sam Zespół do Spraw Egzekucji Administracyjnej to jednostka organizacyjna wyodrębniona w strukturze biura GIODO a odpowiedzialna za prowadzenie postępowań egzekucyjnych. Zdecydowana większość administratorów danych decyduje się na dobrowolne wykonanie decyzji GIODO. Ale jak to często w życiu bywa nie wszyscy adresaci decyzji decydują się je wykonywać. GIODO w takiej sytuacji wykorzystuje swoje nowe kompetencje i w efekcie nakłada grzywny. Jak wygląda nałożenie grzywny? W jednym z orzeczeń NSA możemy przeczytać:

Generalny Inspektor podniósł bowiem, że […] […] Zarząd […]: 1) nie wykonał dobrowolnie obowiązku wynikającego z ostatecznej decyzji, 2) zignorował wezwania organu egzekucyjnego do dobrowolnego wykonania tego obowiązku, 3) nie wykonał ciążącego na nim obowiązku, nawet częściowo, mimo że jego wykonanie nie stanowiło dla zobowiązanego żadnej uciążliwości, czy to od strony finansowej czy to od strony organizacyjnej, co uzasadnia nałożenie grzywny w wysokości 25 000 zł.[1]

Widzimy więc, że administrator danych po prostu zignorował GIODO. Gdyby administrator danych zastosował się do decyzji, uniknąłby nałożenia grzywny i całego postępowania sądowego, które w końcu przegrał. W przytoczonym wyroku NSA rozstrzygał, czy grzywna we wskazanej wysokości jest adekwatna. Zdaniem WSA (sygn. II SA/Wa 1804/13) grzywna w wysokości 25 000 zł jest niezasadna z uwagi na okoliczność, iż w postanowieniu nie wyjaśniono dlaczego zasądzono grzywnę w takiej właśnie wysokości. Z argumentacją WSA nie zgodził się NSA twierdząc, że GIODO może nakładać grzywny uznaniowo do 50 000 zł (w przypadku spółek handlowych). Warto pamiętać, że w takim wypadku suma nałożonych grzywn  nie powinna przekroczyć 200 000 zł.- dotyczy to jednak niewykonania konkretnej decyzji administracyjnej. Zatem jeśli nie wykonaliśmy dwóch decyzji, możemy się spodziewać maksymalnie grzywn w wysokości do 400 000 zł.

Na marginesie warto jeszcze wspomnieć o okoliczności, iż GIODO był organem egzekucyjnym w zakresie egzekucji niepieniężnej również przed wejściem w życie nowelizacji  7 marca 2011 roku. Do takich wniosków doszedł NSA[2] :

„Reasumując należy stwierdzić, że zwrot „organy administracji rządowej” użyty w art. 2 § 1 pkt 10 ustawy o postępowaniu egzekucyjnym w administracji należy rozumieć tak jak „organy administracji publicznej” w ustawie Kodeks postępowania administracyjnego. Zatem wbrew stanowisku Sądu I instancji, decyzje Generalnego Inspektora Ochrony Danych Osobowych wydane zarówno przed 7 marca 2011 r., jak też po tej dacie, nakładające obowiązki o charakterze niepieniężnym podlegają egzekucji w trybie określonym w ustawie o postępowaniu egzekucyjnym w administracji. Przyjęcie odmiennego stanowiska prowadzi bowiem do wniosku, że decyzja GIODO nakazująca administratorowi danych ujawnienie zainteresowanej osobie określonych danych byłaby w istocie niewykonalna, a taka sytuacja jest niedopuszczalna w demokratycznym państwie prawnym.”

[1] sygn. I OSK 1466/14

[2] sygn. I OSK 316/13

Naruszenie prawa do ochrony danych osobowych

Wielu z nas doświadczyło, lub niestety doświadczy w najbliższej przyszłości naruszenia praw do ochrony własnych danych osobowych. Nie jest prawdą, że w takiej sytuacji jesteśmy całkowicie bezsilni i nie mamy żadnych uprawnień, które mogłyby skutecznie doprowadzić do zaprzestania naruszeń i ich wynagrodzenia. Na czym polegać może naruszenie prawa do ochrony danych osobowych? Z mojej praktyki wynika, że biznes (rzadziej administracja) dopuszcza się następujących praktyk, naruszających nasze prawo do prywatności:

  1. wysyłka niezamówionych informacji marketingowych na adres email
  2. telefony z przedstawieniem niezamówionych ofert handlowych
  3. sprzedaż danych kontrahentowi bez zgody osoby, której dane dotyczą
  4. niezabezpieczenie danych osobowych i potencjalne umożliwienie pozyskania do nich dostępu przez osoby nieupoważnione
  5. wyciek danych osobowych
  6. niedopełnianie wymaganych przez ustawę o ochronie danych osobowych obowiązków informacyjnych

Warto zwrócić uwagę, że ww. „uchybienia” mogą, zależnie od formy i natężenia, doprowadzić nawet do poniesienia przez nas szkody materialnej lub naruszenia dóbr osobistych.

Jeżeli przytrafi nam się jedna z ww. sytuacji, nie jesteśmy całkowicie bezbronni. Ustawa o ochronie danych osobowych, prawo cywilne oraz prawo karne zapewnia nam narzędzia, które możemy wykorzystać do dochodzenia swoich praw i ukarania podmiotów / osób, odpowiedzialnych za naruszenie prawa do ochrony naszych danych osobowych. Pierwszym krokiem, który zawsze warto podjąć, jeżeli będziemy podejrzewali, że ktoś przetwarza nasze dane osobowe niezgodnie z ustawą, to przygotowania i wysłanie w trybie art. 33 ustawy o ochronie danych osobowych, wniosku o uzyskanie informacji na temat sposobu przetwarzania danych osobowych. Taki wniosek nie rodzi po naszej stronie żadnych uprawnień, ale zmusza adresata to udzielenia w terminie 30 dni odpowiedzi na piśmie, która będzie zawierała informacje na temat sposobu przetwarzania i ochrony naszych danych osobowych.

 We wniosku warto zadać następujące pytania:

  1. jaka jest podstawa prawna przetwarzania danych osobowych?
  2. w jakim zbiorze danych osobowych przetwarzane są dane osobowe?
  3. jakie jest źródło i kiedy dane osobowe zostały pozyskane?
  4. w jakim zakresie przetwarzane są dane osobowe?
  5. w jakim celu dane osobowe są przetwarzane?
  6. od kiedy przetwarzane są nasze dane osobowe?
  7. komu i  na jakiej podstawy nasze dane osobowe zostały przekazane?

Otrzymana odpowiedź na ww. wniosek pozwoli nam podjąć decyzję co do dalszego działania oraz ustalenie ewentualnie innych podmiotów, które naruszają nasze prawo do ochrony danych osobowych. Warto w tym kontekście pamiętać, że pod adresem egiodo.giodo.gov.pl możemy sprawdzić, czy adresat naszego wniosku zarejestrował zbiór danych, w ramach którego przetwarza nasze dane osobowe, i w jaki sposób ten zbiór opisał. Wszelkie wykryte niezgodności mogą nam się w przyszłości przydać do egzekwowania naszych słusznych praw.

W przypadku kiedy odpowiedzi nie otrzymamy, adresat wniosku popełnia przestępstwo określone w art. 54 ustawy o ochronie danych osobowych i w efekcie powinniśmy o tym fakcie zawiadomić GIODO i prokuraturę.

Jeśli odpowiedź uzyskamy, a proszę mi wierzyć, że administratorzy dwoją się i troją by przygotować odpowiedź na czas, możemy przystąpić do identyfikacji niezgodności z ustawą i dopominania się o swoje prawa. Tutaj wiele zależy od konkretnego przypadku, ale w praktyce najczęściej spotykam się z następującymi drogami postępowania. Zdecydowana większość osób, o niezgodnościach informuje GIODO. Osobiście uważam, że nie jest to do końca pożądane i efektywne dla osoby, której prawo do ochrony danych osobowych zostało naruszone, postępowanie. Po pierwsze, postępowanie przed GIODO w żaden sposób nie zadośćuczyni poczynionej nam krzywdy poza tym, że będziemy mogli mieć satysfakcję, z tego, że administrator danych będzie miał kłopoty z kontrolą GIODO. Po drugie, wiele kontroli GIODO kończy się w sposób, który pozostawia z punktu widzenia zwykłych obywateli niedosyt. Jest to jednak temat na odrębny artykuł w którym opowiem o moich postrzeganiu sposobu pracy inspektorów GIODO, szczegółowości prowadzonych audytów, ich rozliczalności oraz skutków.

Na tym etapie zachęcałbym Państwa do skierowania do adresata naszego wniosku zawezwania do próby ugodowej. Mówiąc wprost, proponuję, byśmy w takich sytuacjach wyceniali nasze straty (nie tylko materialne ale również niematerialne) i składali wnioski o zawarcie ugody, której elementem byłoby zadośćuczynienie finansowe. Z praktyki mogę powiedzieć, że coraz częściej takie wnioski się pojawiają, a administratorzy danych, nie chcąc by sprawa dot. naruszenia przez nich zasad ochrony danych osobowych wyszła na światło dzienne, skłonni są do podjęcia tego typu rozmów. Oczywiście wypłacane sumy są niskie, jednak należy pamiętać, że wszystko zależy od konkretnego przypadku. Spotkałem się z wachlarzem kwot od 1000,00 zł do nawet 50 000,00 zł.

Jeżeli próba ugodowa nie przyniesie rezultatu, zawsze możemy udać się do pobliskiej kancelarii prawnej i zlecić poprowadzenie postępowania z tytułu naruszenia dóbr osobistych. Efektem takiego postępowania bardzo często jest wyrok nakazujący wypłatę zadośćuczynienia lub odszkodowania. Wydaje się, że ukształtowała się już praktyka, zgodnie z którą, naruszenie prawa do ochrony danych osobowych traktowane jest jako naruszenie prawa do prywatności a więc, jednego z dóbr osobistych wymienionych w art. 23 kodeksu cywilnego.

Dopiero, jeśli próba ugodowa i postępowanie cywilne nie przyniosą pożądanego dla nas rezultatu zalecam powiadomienie o sprawie GIODO i prokuratury. Dlaczego dpiero? Odnośnie GIODO, argumenty przedstawiłem wyżej. Co do prokuratury, należy pamiętać, że wcześniejsze powiadomienie o podejrzeniu popełnienia przestępstwa z ustawy o ochronie danych osobowych, przed wszczęciem postępowania cywilnego może spowodować zawieszenie tego ostatniego i wydłużenie całej procedury. Alternatywnie, w ramach postępowania cywilnego można również składać wnioski o wypłatę odszkodowania, taki jednak sposób działania jest nadal rzadkością w polskich sądach.