Zakres obowiązku współpracy z organem nadzorczym

PUODO coraz częściej nakłada na administratorów kary za brak współpracy z nim jako organem nadzorczym. PUODO określa lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań) jako naruszenie o dużej wadze, które musi podlegać sankcjom finansowym (decyzja PUDO z dnia 21 czerwca 2023 r., DOKE.561.1.2023). Co w praktyce oznacza obowiązek współpracy z organem nadzorczym i jakie mogą być skutki jego niedopełnienia?

Źródłem ogólnego obowiązku współpracy z organem nadzorczym jest art. 31 RODO, który stanowi, że administrator i podmiot przetwarzający oraz ich przedstawiciele na żądanie współpracują z organem nadzorczym w ramach wykonywania przez niego swoich zadań. Szczególną formą obowiązku współpracy z organem nadzorczym jest dostarczanie na jego żądanie informacji w toku prowadzonego przez ten organ postępowania. Zgodnie z art. 58 ust. 1 RODO w zakresie prowadzonych postępowań organowi nadzorczemu przysługują uprawnienia m.in. do nakazania administratorowi, podmiotowi przetwarzającemu, a w stosownym przypadku ich przedstawicielom, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji jego zadań; uzyskiwania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji jego zadań oraz uzyskiwania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego.

Obowiązek współpracy obciąża administratora, podmiot przetwarzający oraz ich przedstawicieli. Należy jednak zwrócić uwagę, że zgodnie z art. 39 ust. 1 lit. d RODO współpraca z organem nadzorczym należy do zadań inspektora ochrony danych. W sytuacji zatem, gdy administrator lub podmiot przetwarzający wyznaczy inspektora ochrony danych, przejmuje on obowiązki związane kontaktem z organem nadzorczym, pełniąc funkcję punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych i prowadząc konsultacje we wszystkich wymagających tego sprawach. W konsekwencji obowiązki związane z koniecznością zapewnienia odpowiedniej współpracy z organem nadzorczym wypełnia inspektora ochrony danych. Nie zmienia to jednak faktu, że odpowiedzialność za brak takiej współpracy nadal spoczywa na administratorze i podmiocie przetwarzającym.  

 

Brak współpracy w orzecznictwie PUODO

Analiza orzecznictwa PUODO pozwala wskazać, że o braku właściwej współpracy z organem nadzorczym może świadczyć w szczególności:

• nieprzedstawienie informacji żądanych przez PUODO i brak złożenia wyjaśnień w sprawie (decyzja PUDO z dnia 21 czerwca 2023 r., DOKE.561.1.2023);
• brak reakcji na pisma informujące o obowiązkach ciążących na administratorze w związku z wystąpieniem naruszenia ochrony danych osobowych (decyzja PUDO z dnia 12 lipca 2023 r., DKN.5131.43.2022)
• brak odpowiedzi na zadawane pytania mające na celu ustalenie wszystkich okoliczności naruszenia ochrony danych osobowych (decyzja PUDO z dnia 12 lipca 2023 r., DKN.5131.43.2022);
• brak złożenia wyjaśnień w sprawie (decyzja PUDO z dnia 21 czerwca 2023 r., DOKE.561.1.2023);
• złożenie wyjaśnień dalece niepełnych (decyzja PUDO z dnia 21 czerwca 2023 r., DKE.561.4.2023);
• odmowa dostarczenia dowodów niezbędnych do wszechstronnego wyjaśnienia sprawy (decyzja PUDO z dnia 21 czerwca 2023 r., DKE.561.4.2023);
• złożenie lakonicznych wyjaśnień w połączeniu z odmową przedstawienia dowodów na ich potwierdzenie (decyzja PUDO z dnia 21 czerwca 2023 r., DKE.561.4.2023);
• udzielanie lakonicznych i wymijających odpowiedzi na konkretne i niewymagające specjalistycznej wiedzy z zakresu ochrony danych osobowych pytania organu nadzorczego (decyzja PUDO z dnia 21 czerwca 2023 r., DKE.561.4.2023);
• brak odpowiedzi na odebrane wezwania (decyzja PUDO z dnia 21 czerwca 2023 r., DKE.561.4.2023);
• uchylanie się od odpowiedzi na odebraną korespondencję (decyzja PUDO z dnia 31 maja 2023 r.) DKE.561.37.2022
• niezapewnienie dostępu do informacji potrzebnych mu do dokładnego wyjaśnienia stanu faktycznego sprawy (decyzja PUDO z dnia 2 czerwca 2023 r., DKE.561.38.2022);

 

Konsekwencje braku współpracy

Zgodnie z art. 83 ust. 4 lit. a RODO naruszenie obowiązku określonego w art. 31 RODO podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Z kolei niezapewnienie organowi nadzorczemu dostępu, które skutkuje naruszeniem art. 58 ust. 1 RODO jest zgodnie z art. 83 ust. 5 lit. e RODO podstawą do nałożenia administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. PUODO wskazuje, że dolegliwość tych kar w wymiarze finansowym powinna dyscyplinować do prawidłowej współpracy w prowadzonych przed nim postępowaniach oraz pełnić funkcję odstraszającą (decyzja PUDO z dnia 21 czerwca 2023 r., DOKE.561.1.2023).

Warto zauważyć, że brak współpracy w toku prowadzonego przez PUODO postępowania kontrolnego może być klasyfikowany jako udaremnianie lub utrudnianie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych. W świetle art. 108 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych zachowanie takie jest przestępstwem zagrożonym karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch. Zgodnie z art. 108 ust. 2 tej ustawy taką samą karą zagrożone jest niedostarczanie w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej danych niezbędnych do określenia podstawy wymiaru tej kary lub dostarczanie danych, które uniemożliwiają ustalenie podstawy jej wymiaru.
Analizując skutki braku współpracy z organem nadzoru należy wskazać także na treść art. 83 ust. 2 lit. f RODO, zgodnie z którym stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków jest jednym z elementów, które muszą być brane pod uwagę przy podejmowaniu decyzji o nałożeniu administracyjnej kary pieniężnej i o jej wysokości. W tym przypadku właściwa współpraca z organem nadzorczym może przyczynić się do wymierzenia mniejszej kary za stwierdzone przez PUODO naruszenie w obszarze przetwarzania danych osobowych, zaś jej brak może skutkować zaostrzeniem tej kary. W ocenie PUODO brak współpracy skutkuje utrudnieniem i nieuzasadnionym przedłużeniem prowadzonego postępowania a co za tym idzie musi wpływać obciążająco na ocenę stwierdzonego naruszenia (decyzja PUDO z dnia 21 czerwca 2023 r., DOKE.561.1.2023).

 

Stopnień braku współpracy

Orzecznictwo PUODO potwierdza, że naruszenie obowiązku współpracy z organem nadzorczym jest stopniowalne. Najdalej idącą formą naruszenia tego obowiązku jest odmowa i całkowity brak współpracy. Przy ocenie stopnia naruszenia obowiązku współpracy znaczenie ma umyślność albo nieumyślność zachowania zobowiązanego podmiotu (decyzja PUODO z dnia 23 marca 2023 r., DKE.561.32.2022). Znaczenie dla oceny stopnia realizacji obowiązku współpracy mogą mieć także szybkość i terminowość udzielania odpowiedzi oraz ich szczegółowy i wyczerpujący charakter.

 

Późniejsze podjęcie współpracy

Podjęcie przez administratora lub podmiot przetwarzający, który nie wywiązywał się z obowiązku współpracy z organem nadzorczym, współpracy w późniejszym okresie (np. w wyniku działań podjętych przez organ nadzorczy i zagrożenie karą) nie uwalnia tego podmiotu od odpowiedzialności. Należy jednak zauważyć, że zgodnie ze stanowiskiem prezentowanym, przez  PUODO, następcza, aktywa postawa, która wskazuje na gotowość do dalszej współpracy z organem nadzorczym ma wpływ na wymiar kary za naruszenie obowiązku współpracy i może skutkować odstąpieniem od wymierzenia administracyjnej kary pieniężnej i poprzestaniem na upomnieniu (decyzja PUDO z dnia 22 maja 2023 r., DOKE.561.3.2023).

 

Podsumowanie

Niedopełnienie obowiązku współpracy z PUODO może skutkować nałożeniem na administratora lub podmiot przetwarzający dane osobowe kary administracyjnej oraz wpływać na wymiar kary nałożonej na za inne naruszenia przepisów o ochronie danych osobowych. W niektórych sytuacjach może pociągać nawet odpowiedzialność karną. Aby nie narażać się na takie skutki, podmioty zobowiązane powinny dokładać starań aby współpraca z PUODO przebiegała możliwie sprawnie. W szczególności warto zwrócić uwagę na terminowość reagowania na prośby i wnioski organu nadzorczego oraz sposób udzielania odpowiedzi, dbając by były one możliwie szczegółowe i wyczerpujące.

Grzegorz Lubeńczuk
radca prawny

Zobacz także

• Opodatkowanie VAT nabywanych przez JST usług szkoleń - a możliwość odliczenia podatku VAT.
• Budynek do rozbiórki a ustalenie stawki VAT dla sprzedawanej nieruchomości.
• Dzierżawa gruntu na rzecz konsumenta - jak powstaje obowiązek podatkowy?
• Ogłoszono nowe informacje w sprawie KSeF!
• Jak sprawdzić status polskiego kontrahenta w VAT?
• Czy wycofanie samochodu osobowego z działalności gospodarczej zawsze jest objęte VAT?
• Moment powstania obowiązku podatkowego u sprzedawcy – jakie znaczenie ma on dla nabywcy towaru/usługi.
• Nota korygująca wystawiona do faktury w KSEF
• Jak będziemy identyfikować faktury konsumenckie, które będą wyłączone z obowiązkowego KSEF?
• Moment powstania obowiązku podatkowego dla dostawy energii elektrycznej i najmu w świetle interpretacji Dyrektora KIS.