W ostatnim czasie w sieci pojawiła się informacja, że jedna z łódzkich przychodni otrzymała wysoką karę za nieprzestrzeganie przepisów RODO. Urząd Ochrony Danych Osobowych zaprzecza, a my pytamy, czy były inne kary.
W tekście zatytułowanym "Lepiej zapobiegać niż leczyć", opublikowanym w serwisie LinkedIn, jedna z użytkowniczek zamieściła "relację o kontroli i nałożonej karze", która miała pochodzić "od osoby, do której (autorzy wpisu - red.) mają duże zaufanie". W treści można przeczytać o kontrolerce Urzędu Ochrony Danych Osobowych (UODO), która podając się za pacjentkę w łódzkiej przychodni i udając zły stan zdrowia, dostała się do jednego z pustych gabinetów i sfotografowała niezabezpieczoną dokumentację medyczną. Następnie ujawniła, że pracuje dla UODO i w związku ze złamaniem przepisów ustawy o ochronie danych osobowych, nałożyła na placówkę karę. W artykule podano kwotę 30 tysięcy złotych.
Informacje, które pojawiły się w tekście na stronie LinkedIn, były opatrzone komentarzem o braku twardych dowodów na przytoczoną sytuację. Autorka dodała, że "pojawiające się wątpliwości (w tym nasze własne) do złudzenia przypominają nam wątpliwości wszystkich osób informowanych przez nas w 2016 roku o uchwaleniu nowych przepisów o ochronie danych osobowych. Również było dużo poważnych wątpliwości i powątpiewania".
Mimo podkreślenia w tekście, że ta relacja opiera się tylko na informacjach jednej osoby, a autorka wciąż czeka na ich oficjalne potwierdzenie, niecałe dwa tygodnie później jeden z użytkowników Twittera, informując o pierwszej karze za nieprzestrzeganie przepisów ustawy, powołał się właśnie na informacje z tego tekstu. "To duża kwota, niezależnie od wielkości szpitala" – komentował wysokość kary przytoczoną w tekście. W odpowiedzi jednak inny internauta poprosił o "źródło tego, w jakim trybie inspektorka w trakcie kontroli wymierzyła karę 30000 PLN bo na razie to brzmi jak zmyślona opowieść".
Podawanie źródła nie było jednak potrzebne, ponieważ jeszcze tego samego dnia do tych doniesień odniósł się przez swoje oficjalne konto na Twitterze Urząd Ochrony Danych Osobowych i zaprzeczył informacji o karze finansowej.
Jeden z instrumentów oddziaływania
W związku z tą informacją zwróciliśmy się do Urzędu z zapytaniem czy od 25 maja 2018, a więc od wejścia w życie ustawy o ochronie danych osobowych, wydano jakiekolwiek kary finansowe za naruszenie jej przepisów. Rzecznik UODO poinformowała w odpowiedzi, że
Dotychczas Prezes Urzędu Ochrony Danych Osobowych nie nałożył na żaden podmiot administracyjnej kary pieniężnej za naruszenie przepisów o ochronie danych osobowych. Agnieszka Świątek-Druś
Rzecznik podkreśliła przy tym, że "przewidziane w ogólnym rozporządzeniu o ochronie danych (RODO) kary finansowe to tylko jeden z instrumentów oddziaływania, jakimi dysponuje Prezes UODO, by zapewnić przestrzeganie nowego prawa". – W przypadku stwierdzenia naruszenia przepisów może być bowiem między innymi wydane ostrzeżenie, udzielone upomnienie czy wydany nakaz dostosowania określonych działań do obowiązujących przepisów" – dodała.
Odstraszające i proporcjonalne
W rozdziale 11 Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych zapisano, że "Prezes Urzędu może nałożyć na podmiot obowiązany do przestrzegania przepisów rozporządzenia 2016/679 w drodze decyzji, administracyjną karę pieniężną na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679".
Wspomniane rozporządzenie 2016/679 to dokument wydany przez Parlament Europejski i Radę Unii Europejskiej, tzw. ogólne rozporządzenie o ochronie danych, który zmusił Polskę do zmiany swoich przepisów dotyczących ochrony danych osobowych, a w rezultacie uchwaleniu wspomnianej ustawy. To także od nazwy tego rozporządzenia wziął się popularny skrót RODO.
W artykule 83 unijnego dokumentu zapisano górne granice potencjalnych kar. To właśnie one najbardziej straszyły przedsiębiorców jeszcze przed wejściem w życiu nowych przepisów. Za naruszenie artykułów: 25, 29, 30, 31 oraz 32 przewidziano karę do 10 mln euro (lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa), a za naruszenie artykułów 5, 7, 15 i 16 dwukrotność poprzedniej stawki – nawet do 20 mln euro (lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa). W polskiej ustawie ustalono granice kar dla jednostek sektora finansów publicznych, instytutów badawczych i NBP na niższych poziomach – są to odpowiednio 10 oraz 100 tys. złotych.
"Kary pieniężne mają być nie tylko skuteczne i odstraszające, ale i proporcjonalne" – przekazała w swojej odpowiedzi rzecznik UODO. "Dlatego przy ich wymierzaniu Prezes UODO musi brać pod uwagę aż 11 różnych czynników, o których mowa w art. 83 RODO. Istotne będą więc m.in.: charakter, waga i czas trwania naruszenia, to czy miało ono charakter umyślny, czy też nie" – doprecyzowywała.
Nie będę się wahała
W odpowiedzi przesłanej naszej redakcji znalazł się także komentarz dr Edyty Bielak-Jomaa, Prezes UODO, która odniosła się do dotychczasowego braku kar finansowych związanych z RODO. "To, że żadna kara finansowa nie została jeszcze nałożona, to nie znaczy, że boimy się je nakładać. Jednak do stosowania tego instrumentu podchodzę w sposób bardzo odpowiedzialny, tym bardziej że zdaję sobie sprawę, jak wielkie emocje wywołuje ich dopuszczalna wysokość", informuje prezes. "Na pewno przed wymierzeniem kary bardzo dokładnie przeanalizujemy wszystkie okoliczności danego przypadku. Jeśli jednak okaże się to konieczne, nie będę się wahała, by ją nałożyć" dodała w komentarzu.
W ustawie o ochronie danych osobowych zapisano także, że karę administracyjną Prezes UODO nakłada w drodze decyzji administracyjnej po przeprowadzeniu postępowania administracyjnego w sprawie. Ewentualne środki wpłacone w ramach kary trafią do budżetu państwa.
W wywiadzie opublikowanym 5 grudnia w "Pulsie Biznesu" Prezes Bielak-Jomaa mówiła: "Myślę, że chwila, w której będziemy musieli — niestety — podjąć taką decyzję [o nałożeniu kary – red.], zbliża się dużymi krokami".
Autor: Michał Istel / Źródło: Konkret24, zdjęcie tytułowe: Arkadiusz Ziołek/East News