Autor: Łukasz Kolatorski
Myśląc o RODO, często pomijanym lub zapominanym zagadnieniem są uprawnienia naprawcze organów nadzorczych. Zazwyczaj skupiamy się na niebotycznych karach finansowych- działających na wyobraźnię 10-20 mln euro lub 2-4% całkowitych światowych obrotów organizacji.
Powodów takiego przedstawiania konsekwencji nieprzestrzegania RODO może być kilka m.in.: uprawnienia naprawcze nie zwiększają poczytności i klik bajtów; same organy nadzorcze po rozpoczęciu obowiązywania RODO skupiły się raczej na nakładaniu kar finansowych, niżeli na korzystaniu z owych uprawnień naprawczych.
Patrząc na te uprawnienia przez pryzmat krajowego „podwórka”, mamy ciekawy przypadek, który przy wprowadzeniu ograniczenia lub zakazu przetwarzania danych, mógłby zmienić optykę postrzegania konsekwencji nieprzestrzegania przepisów o ochronie danych osobowych osób fizycznych.
Czym są uprawnienia naprawcze?
Uprawnienia naprawcze to nic innego, jak katalog specjalnych uprawnień organów nadzorczych, z których mogą i powinny korzystać krajowe organy, zajmujące się ochroną danych osobowych osób fizycznych przebywających na terytorium UE, w przypadku kiedy w ramach prowadzonego postępowania sprawdzającego, wyjaśniającego lub kontrolnego stwierdzą niezgodności w zakresie wymogów stawianych przez RODO dla przetwarzania danych osobowych. Katalog ten możemy znaleźć w artykule 58 ust. 2 RODO. Zanim przejdę do analizy zapisów, poniżej przedstawiam wspomniany katalog:
- Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:
a) wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu, dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;
b) udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;
c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;
d) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;
e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
f) wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
g) nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych, lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
h) cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;
i) zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy;
j) nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.
Z powyższego katalogu możemy całkowicie pominąć zapis z punktu „h”, ponieważ certyfikacja na gruncie RODO na chwilę obecną znajduje się w dziale baśni i legend.
Uprawnienia naprawcze- co i kiedy?
Uprawnienia naprawcze możemy podzielić według reakcji organu nadzorczego na wysokie prawdopodobieństwo wystąpienia naruszenia lub naruszenie przepisów.
Rozpocząć należy od ostrzeżenia, co do możliwości naruszenia przepisów. To nic innego, jak wskazanie potencjalnych niezgodności dla planowanych operacji przetwarzania, które organ wychwycił na etapie prowadzonych konsultacji z administratorem lub podmiotem przetwarzającym, gdy jeden z nich zgłosił się do organu z wykorzystaniem trybu przewidzianego w art. 36 RODO, po przeprowadzeniu oceny skutków dla ochrony danych – DPIA (data protection impact asesment). W tym przypadku już na wstępie dowiadujemy się, że planowane przez nas operacje przetwarzania w kształcie, jaki zaproponowaliśmy w konsultacjach z organem nadzorczym, nie spełniają wymogów rozporządzenia, a zastosowane przez nas środki minimalizujące ryzyko naruszenia praw i wolności są nadal niedostateczne, abyśmy mogli rozpocząć przetwarzanie danych. Z punktu widzenia biznesu to zarówno źle, jak i dobrze. Źle, bo musimy zmodyfikować nasz proces i dostosować go do przepisów, co opóźni rozpoczęcie naszych działań. Dobrze, ponieważ mamy pewność, że odpowiednio zarządzamy ryzykiem, mitygujemy je i nie narażamy się na karę finansową.
Organ nadzorczy, w ramach przeprowadzonego postępowania wyjaśniającego, sprawdzającego lub kontrolnego w momencie, gdy uzna, iż naruszone zostały przepisy RODO, może upomnieć przetwarzającego, iż ten naruszył przepisy rozporządzenia. Jest to jeden z najłagodniejszych i najmniej inwazyjnych środków naprawczych, jakie organ może zastosować. Wykorzystywany powinien być w sytuacjach, gdy okoliczności naruszenia nie stanowią istotnego zagrożenia dla praw i wolności osób, których dane dotyczą, a wychwycona niezgodność wymaga jedynie korekty ze strony przetwarzającego.
Kolejnym uprawnieniem jest nakazanie spełnienia żądania osoby, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia. W tym przypadku jeszcze nie jest źle, ale powinniśmy jako organizacja mieć się na baczności, ponieważ nie dość, że nie realizujemy wymagań rozporządzenia, to jeszcze podmiot danych – zapewne odbijając się ze swymi żądaniami od przyjętych przez nas założeń – postanowił skorzystać z pomocy organu nadzorczego, aby ten zainterweniował w jego sprawie i, co gorsza, miał rację. W tym przypadku nie mamy innego wyjścia, jak tylko spełnić żądanie osoby bez zbędnej zwłoki, aby nie sprowadzić na siebie kontroli organu nadzorczego w naszej organizacji. Istnieje duże prawdopodobieństwo, że w przypadku kontroli, gdy organ zacznie szukać, to znajdzie coś, co będzie niekorzystne dla naszej organizacji.
Następnym uprawnieniem naprawczym organów nadzorczych jest nakaz dostosowania operacji przetwarzania do przepisów rozporządzenia, gdzie w niektórych przypadkach może to zostać „ubrane” we wskazanie sposobu i terminu wykonania. Tu zaczynają się robić dla nas, jako organizacji, schody. Organ nadzorczy może zacząć nam dyktować warunki, według których mamy spełnić jego żądanie. Dla organizacji z miernym pojęciem o ochronie danych osobowych i niedostatecznym budżetem może to być dopiero początek krętej drogi, skazanej na niepowodzenie. Szycie rozwiązań na miarę pod presją czasu, pod rygorem wymagań kogoś, kto nie zna realiów naszej działalności, może być poprzeczką zawieszoną za wysoko, potęgowaną dodatkowo przez ograniczony zasób czasu w momencie, gdy organ nadzorczy wyznaczy nam określony termin.
Zawiadomienie osoby o naruszeniu jej dóbr z reguły jest łatwą sprawą, ale tutaj istotne znaczenie odegra kontekst naszego przetwarzania i dane kontaktowe, które posiadamy. Jeśli dysponujemy mailem lub telefonem, sprawa jest w miarę prosta. Natomiast w przypadku braku wymienionych danych, rozsyłanie listów papierowych, gdy znamy tylko np. adresy korespondencyjne, może być kłopotliwe, a wręcz niewykonalne, zwłaszcza gdy te dane nie są aktualne (jeszcze gorzej dla nas, gdy wyjdzie to na jaw podczas kontroli).
Podpunkt „f” art. 58 ust. 2 to swoista „wisienka na torcie” uprawnień naprawczych organów nadzorczych. Dlaczego? Wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania – nie trzeba chyba tłumaczyć, co to oznacza. Przy „złotym strzale” organu, zastosowanie tego środka naprawczego oznacza koniec działalności firmy. Więc jeśli ktoś obawia się kary finansowej, którą ostatecznie nawet po odrzuceniu zaskarżenia jakoś się zapłaci, firma będzie działać dalej, a poniesione koszty w przyszłości się odrobi (przy założeniu, że sytuacja finansowa nie jest w tragicznym stanie), niech lepiej przewartościuje postrzeganie konsekwencji, jakie może za sobą nieść nieprzestrzeganie, a wręcz łamanie przepisów RODO z premedytacją.
Nakazanie zastosowania się do szczególnych praw podmiotu danych wynikających z art. od 16 do 19, a mianowicie: sprostowanie danych, usunięcie danych, ograniczenie przetwarzania oraz powiadomienie osoby, której dane dotyczą o wykonaniu wymienionych czynności. Prawa osób są dość obszerne, aby je streścić w jednym artykule, należy zawsze brać pod uwagę kontekst, charakter i cel przetwarzania. Natomiast wątek, na jaki należy zwrócić w tym miejscu uwagę, to obowiązek poinformowania odbiorców danych, którym te dane udostępniono m.in. nasi partnerzy, dostawcy itp.
Zbliżając się ku końcowi, żeby nie było zbyt łatwo, organy nadzorcze mogą, „oprócz” zastosowanych uprawnień naprawczych, dołożyć w uzasadnionych przypadkach karę finansową przewidzianą na mocy art. 83. Jeśli będziemy mieli szczęście, to karę otrzymamy zamiast uprawnień naprawczych.
Ostatnim uprawnieniem, które przysługuje organom nadzorczym, jest nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej. Może to być kłopotliwe pod kątem realizacji naszych podstawowych procesów wiążących się z przetwarzaniem danych, jeśli są one uzależnione od przepływu danych, abyśmy mogli prowadzić określoną działalność zarobkową.
Podsumowanie
Myśląc o RODO jako przepisach i wymaganiach, nie ograniczajmy się jedynie do postrzegania rozporządzenia poprzez pryzmat samych kar finansowych. Co zatem mogę Wam polecić? Pamiętajcie o solidnym przeglądzie Waszych procesów oraz dodatkowo o kilku poniżej zawartych punktach:
- Ilu prawników, inspektorów czy specjalistów, tyle będzie opinii i punktów widzenia – dodatkowo to, jak wspomniana osoba podejdzie do sprawy, zależy również od Was- w jaki sposób sprawę przedstawicie, tzn. co powiecie, a czego nie.
- Zwykle obowiązują dwie zasady- po pierwsze organ nadzorczy wie wszystko najlepiej, po drugie jest autorytetem.
- Jeśli nie będziecie się zgadzać z decyzją organu nadzorczego i dojdziecie do etapu sądowego, zawsze pogodzić Was i Waszych reprezentantów z organem nadzorczym może sędzia, który może zauważyć więcej niż organ nadzorczy – tu przyda się analiza pierwszej nałożonej w Polsce kary z RODO.
- Niezależnie od szybkich i lukratywnych zysków, jakie może przynieść Wam niedozwolone przetwarzanie, przeanalizujcie dobrze własne ryzyko i oszacujcie potencjalne straty; będzie dobrze, jak w najlepszym przypadku wyjdziecie na zero.
