Prowadząc firmę, trzeba nie tylko dbać o jakość usług czy relacje z klientami, ale również o zgodność z przepisami dotyczącymi ochrony danych osobowych. Przekonał się o tym jeden z przedsiębiorców z branży gastronomiczno-hotelarskiej, który zignorował wielokrotne wezwania Prezesa Urzędu Ochrony Danych Osobowych. W rezultacie otrzymał administracyjną karę pieniężną w wysokości 18 941 zł. Ta sprawa to ważne ostrzeżenie dla wszystkich administratorów danych: brak współpracy z PUODO może słono kosztować.
Skarga do PUODO i podejrzenie naruszenia RODO
W 2021 roku do PUODO wpłynęła skarga od osoby zatrudnionej w jednym z obiektów hotelowych. Pracownica zgłosiła nieprawidłowości związane z przetwarzaniem jej danych osobowych – w tym danych biometrycznych, takich jak odciski palców. Dane tego typu są traktowane przez RODO jako szczególnie wrażliwe i ich przetwarzanie wymaga spełnienia rygorystycznych warunków. Zaznacza się, że nawet zgoda pracownika jest wątpliwą podstawa ku temu, by móc legalnie wprowadzić takie rozwiązanie.
W związku ze skargą, Prezes UODO zażądał od przedsiębiorcy wyjaśnień dotyczących podstawy prawnej przetwarzania tych danych, celu ich zbierania, okresu przechowywania oraz tego, czy pracownica została odpowiednio poinformowana o przetwarzaniu.
Brak współpracy z PUODO
Mimo wielokrotnych prób kontaktu – w tym ostatniego wezwania w maju 2024 roku – przedsiębiorca nie udzielił żadnych odpowiedzi. Nie przekazał wymaganych dokumentów, nie odniósł się do zarzutów i nie wskazał podstaw prawnych dla przetwarzania danych. Takie działanie (a raczej jego brak) zostało uznane przez PUODO za naruszenie przepisów.
Zgodnie z art. 58 ust. 1 lit. a i e RODO, organowi nadzorczemu przysługują następujące uprawnienia w zakresie prowadzonych postępowań:
- nakazanie administratorowi i podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań,
- uzyskiwanie od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań.
Ignorowanie tych obowiązków i tym samym uniemożliwienie prawidłowego prowadzenia postępowania przez organ nadzorczy oznacza naruszenie przepisów, za które mogą zostać nałożone surowe sankcje finansowe.
Kara za brak współpracy z PUODO – konsekwencje uporczywego milczenia
W styczniu 2025 r. Prezes UODO wszczął postępowanie w sprawie nałożenia kary. Przedsiębiorcy po raz kolejny dano szansę na złożenie wyjaśnień, które mogłyby wpłynąć na wysokość ewentualnej sankcji. On jednak nadal milczał.
W konsekwencji PUODO uznał, że:
- doszło do świadomego i celowego unikania współpracy,
- sytuacja znacząco utrudniła rozpoznanie skargi,
- postępowanie przedsiębiorcy przyczyniło się do przedłużenia stanu naruszenia prawa.
To właśnie ta postawa – lekceważenie obowiązków wobec organu nadzorczego – przesądziła o wysokości nałożonej kary: 18 941 zł.
Czego uczą nas kary za brak współpracy z PUODO?
Ta sprawa powinna być czytelnym sygnałem ostrzegawczym dla wszystkich administratorów danych – zarówno dużych firm, jak i małych działalności gospodarczych. Przepisy RODO nie są martwą literą prawa, a organy nadzorcze mają realne narzędzia do ich egzekwowania.
Wnioski dla przedsiębiorców:
- współpraca z UODO to obowiązek prawny,
- nawet rutynowe przetwarzanie danych wymaga analizy legalności,
- dane biometryczne podlegają szczególnej ochronie,
- brak reakcji na pisma i wezwania PUODO może zostać potraktowany jako umyślne naruszenie RODO.
Milczenie wobec PUODO może drogo kosztować
Zignorowanie wezwań Prezesa Urzędu Ochrony Danych Osobowych to nie tylko brak uprzejmości, ale konkretne naruszenie prawa. Kara za brak współpracy z Prezesem UODO, jak w przypadku omawianego przedsiębiorcy, to lekcja dla wszystkich, którzy nadal lekceważą obowiązki administratora danych.
