Jeśli właśnie napisał do Ciebie Prezes Urzędu Ochrony Danych Osobowych, koniecznie przeczytaj poniższy tekst. Korespondencja z UODO może iść gładko i zakończyć się na jednym piśmie. Może też ciągnąć się miesiącami i w końcu sprowokować odwiedziny inspektorów UODO. Oczywiście nie każdą sprawę rozwiążemy dobrze przygotowaną i przemyślaną odpowiedzią. Niemniej jednak, warto dołożyć najwyższej staranności i nie popełniać prostych błędów. Zapraszam na krótki kurs: Korespondencja z UODO – 7 najczęstszych błędów.
Pismo od UODO to nie koniec świata
Otrzymanie wiadomości pisemnej od instytucji publicznej, może budzić pewien niepokój. Zwłaszcza, jeśli jest to instytucja z którą nie korespondujemy na co dzień. Mam dla Ciebie dobrą i złą wiadomość związaną z wymianą pism z UODO. Zacznę od tej gorszej. Nieodpowiednia wymiana korespondencji z UODO, może skutkować wszczęciem kontroli, a nawet nałożeniem kary na Twoją organizację. Karę możesz otrzymać np. w efekcie niestosowania się do pism organu. Dobra wiadomość jest taka, że nałożenie kary lub sprowokowanie kontroli, to sytuacje bardzo rzadkie. Żeby do nich doszło, musisz naprawdę mocno zdenerwować UODO lub posiadać bardzo duże braki we wdrożeniu RODO.
Wymieniając pisma z UODO, pamiętaj, że po drugiej stronie znajdują się profesjonaliści, którzy chcą tylko ustalić stan faktyczny i podjąć dobrą decyzję. Jeśli już na starcie założysz złe intencje UODO, to nie pomoże Ci to w niczym. Nasze doświadczenie jest takie, że w zdecydowanej większości przypadków, argumenty i logika pracowników UODO, nie budziły naszych wątpliwości. Mam dla Ciebie jeszcze jedną dobrą wiadomość. Nawet jeśli Twoja organizacja bezsprzecznie naruszyła przepisy RODO, to odpowiednia współpraca z organem nadzorczym będzie miała wpływ na mniejszy wymiar kary. Przy nakładaniu kary finansowej, UODO musi wziąć pod uwagę stopień współpracy z organem nadzorczym. Wynika to wprost z:
„Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na: (…) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.”
Kilka słów o perspektywie UODO
Każdy ma swoją perspektywę. Administratorzy danych mają swoją, Urząd Ochrony Danych Osobowych ma swoją. Układanie relacji z organem nadzorczym jest jednym z 5 filarów RODO. Pisaliśmy już o tym na naszym blogu. Ponieważ relacja z UODO jest fundamentem, to warto poznać sposób myślenia pracowników UODO.
Perspektywa organu nadzorczego jest kształtowana również przez doświadczenia poprzednika UODO – Generalnego Inspektora Ochrony Danych Osobowych. GIODO przez wiele lat spotykał się z, delikatnie mówiąc, lekceważącym podejściem wielu administratorów danych osobowych. Poprzednik UODO nie dysponował, ani odpowiednimi zasobami finansowymi, ani przede wszystkim możliwościami prawnymi, które mogłyby dyscyplinować niepokornych administratorów.
Teraz sytuacja się zmieniła. UODO został dofinansowany, rozbudowano kadry. Przede wszystkim jednak, RODO wyposażyło go w możliwość nakładania kar finansowych. Z tej możliwości UODO zaczyna korzystać coraz częściej. Zwłaszcza w sytuacjach ignorowania jego pism i zaleceń. Obecnie nie ma już żartów z UODO. Dobrym przykładem może być najnowsza decyzja wydana w sprawie przedsiębiorcy prowadzącego działalność gospodarczą z 5 stycznia 2021 roku. Przedsiębiorca nie wykonał zaleceń UODO i został ukarany kwotą 85 tys. zł. Szczegóły decyzji znajdziesz w naszym rejestrze kar UODO. Lekceważona wcześniej przez wiele podmiotów instytucja, zaczyna budować swój autorytet.
Kiedy Prezes UODO napisze do Ciebie list?
W większości przypadków, korespondencja z UODO rozpoczyna się w związku z dwoma sytuacjami:
- skargami osób, których dane dotyczą,
- incydentami RODO.
Przypominam, że obu tym sytuacjom należy przede wszystkim zapobiegać. O zapobieganiu incydentom RODO pisaliśmy już na naszym blogu. Jeśli chodzi o skargi osób, to przejrzyste obowiązki informacyjne i dobrze przeszkolony personel mogą zapobiec większości skarg osób, których dane dotyczą.
Skargi osób, których dane dotyczą
Zacznijmy od krótkiego rozwinięcia tematu skarg osób. Wszczynały one proces wymiany korespondencji z regulatorem, również przed wejściem w życie RODO. W większości przypadków, sytuacja rozgrywa się według tego samego schematu. Osoba fizyczna czuje, że jej prawo zostało naruszone. Opisuje sytuacje UODO w formie skargi. UODO z urzędu musi przeanalizować sprawę. Jeśli uzna skargę za zasadną, wszczyna postępowanie wyjaśniające. Postępowanie wyjaśniające najczęściej toczy się drogą pisemną.
Incydenty RODO
Druga sytuacja, kiedy UODO nawiąże z nami korespondencję, to incydenty. Oczywiście nie w każdej sytuacji związanej z incydentem, odezwie się do nas organ nadzorczy. Jeśli zgłoszenie incydentu nie budzi żadnych pytań i wątpliwości, korespondencja z UODO nie będzie potrzebna. O prawidłowej notyfikacji incydentów RODO, napisaliśmy cały cykl artykułów na naszym blogu. Jeśli jednak Twoje zgłoszenie naruszenia wzbudzi niepokój UODO, albo jeśli incydent nie został do UODO w ogóle zgłoszony, a UODO dowie się o nim od osoby poszkodowanej, przygotuj się na wymianę pism z organem.
Kiedy jeszcze UODO może do nas napisać?
To jeszcze nie wszystkie sytuacje, kiedy może napisać do nas UODO. Do incydentów i skarg, dochodzą jeszcze:
- zawiadomienie o wszczęciu kontroli,
- uprzednie konsultacje z organem nadzorczym w trybie art. 36 RODO,
- zawiadomienie o przekazaniu danych osobowych do państwa trzeciego w trybie art. 49 ust. 1 akapit drugi RODO, proces zatwierdzania wiążących reguł korporacyjnych (art. 47 RODO),
- proces zatwierdzania kodeksów postępowania (art. 40 RODO),
- proces certyfikacji (art. 42 RODO),
- zapytania o interpretację przepisów.
Powyższa lista, to rzadziej spotykane sytuacje, w których większości, to my inicjujemy kontakt z organem a nie na odwrót.
Przechodzimy zatem do sedna. Poniżej prezentuję Ci 7 popularnych błędów, na które nie możesz sobie pozwolić pisząc z UODO.
# 1 Odpowiadanie po terminie lub wcale
W każdym piśmie, UODO zakreśla czas, który mamy na udzielenie odpowiedzi. W prawie wyróżniamy dwa rodzaje terminów: zawite i instrukcyjne. Termin zawity, możemy porównać do godziny odjazdu pociągu. Jeśli nie znajdziesz się na peronie w odpowiedniej godzinie, pociąg odjeżdża bez Ciebie. Terminy zawite to np. terminy na wniesienie apelacji w sądzie czy odwołania od decyzji UODO. Jeśli nie wykonasz akcji w terminie zawitym, to nie wykonasz jej już nigdy.
Drugi rodzaj terminu, to termin instrukcyjny. Uchybienie terminowi instrukcyjnemu, nie sprawia, że coś Ci bezpowrotnie przepadnie. Tutaj lepiej pasuje analogia do zalecanej częstotliwości wymiany rozrządu w Twoim aucie. Jeśli przekroczysz termin nieznacznie – być może nic się nie stanie. Jeśli jednak przekroczysz go znacząco, to ryzykujesz bardzo poważne uszkodzenie silnika.
Termin, który daje Ci UODO na udzielenie odpowiedzi to właśnie termin instrukcyjny. Tylko tutaj ważne zastrzeżenie. W kontekście tego o czym pisałem o perspektywie UODO, kategorycznie zalecam mieszczenie się w terminie wyznaczonym przez UODO. Do tej pory nigdy jeszcze nie przekroczyliśmy terminu zakreślanego na odpowiedź. Z reguły jest to 7 lub 14 dni od otrzymania pisma. Zdarzyły nam się jednak sytuacje, gdzie termin na przesłanie odpowiedzi był krótszy (5 dni) albo dłuższy (nawet 30 dni!).
Jak jest liczony termin na odpowiedź?
Uwaga, bieg terminu liczymy od dnia doręczenia nam pisma UODO. Jednak samego dnia otrzymania pisma nie doliczamy do biegu terminu. Obrazując to przykładem, jeśli data doręczenia pisma to 22 lutego 2021 roku (poniedziałek), to 7 dniowy termin udzielenia odpowiedzi upływa 1 marca 2021 roku (poniedziałek). Oznacza to, że odpowiedź musi zostać nadana najpóźniej o godzinie 23:59, 2 marca 2021 roku. Decyduje data stempla pocztowego.
Co w przypadkach, kiedy termin na odpowiedź wypada nam w dzień wolny od pracy, np. niedzielę? „Przeskakujemy” wówczas do pierwszego dnia roboczego. Przykład? Pismo otrzymaliśmy 23 lutego 2021 roku (wtorek). Organ wyznaczył nam 5 dni na odpowiedź. Termin powinien upłynąć więc 28 lutego 2021 roku. Jako, że ten dzień to niedziela, w praktyce zyskujemy jeszcze jeden dzień, gdyż czas na odpowiedź wydłuża nam się do 1 marca 2021 r. (poniedziałek).
Do sposobu liczenia biegu terminu w przypadku korespondencji z UODO, stosujemy przepisy KPA.
Wskazówka
Przykład:
Co się wydarzy, jeśli nie zmieścisz się w terminie? To zależy. Jeśli termin przekroczysz nieznacznie, prawdopodobnie nic się nie stanie. Warto jednak wytłumaczyć UODO z czego wynika przekroczenie terminu. Jeśli przekroczenie terminu będzie znaczące (np. miesiąc i więcej), to możemy się już liczyć z nałożeniem kary. Całkowity brak odpowiedzi to oczywiście sytuacja skrajna. Nie liczmy na to, że UODO zapomni o wysłanym do nas piśmie.
Nikt nie lubi czuć się lekceważony. A już szczególnie organ nadzorczy, który był lekceważony wiele lat, a teraz zyskał możliwość prostego i szybkiego nakładania kar finansowych. Nie drażnijmy lwa!
Sankcje za brak współpracy z UODO
Brak współpracy z organem nadzorczym to nie tylko jedna z przesłanek do nałożenia kary, przewidziana przez RODO. To również przestępstwo według naszej Ustawy o ochronie danych osobowych:
„1. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Tej samej karze podlega kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.”
Jeśli się bardzo uprzeć, to powyższy paragraf można podciągnąć pod każdy z siedmiu najczęstszych błędów, o których piszę w swoim tekście. Oczywiście w praktyce UODO informuje prokuraturę o podejrzeniu popełnia przestępstwa jedynie w skrajnych sytuacjach. Tak wydarzyło się na przykład w przypadku spółki Vis Consulting Sp. z o.o. w likwidacji. Po przyjściu na kontrolę, inspektorzy UODO dowiedzieli się, że… nikogo nie ma w domu. Powyższą karę opisaliśmy oczywiście w naszym rejestrze kar UODO.
# 2 Nieodpowiadanie na pytania UODO
Kolejny często popełniany błąd, to nie udzielanie odpowiedzi na pytania UODO. Stopień nieodpowiedzenia na pytania UODO może być różny. Począwszy od udzielenia niepełnej odpowiedzi, aż po całkowity brak odniesienia się do pytania UODO. Nikt z nas nie lubi sytuacji, kiedy nie otrzymujemy odpowiedzi na zadane przez nas pytanie. Szczególnie takiej sytuacji nie lubią pracownicy UODO, wykonujący swoje obowiązki.
We wszystkich pismach UODO, które do tej pory otrzymaliśmy, pytania były konkretne, wylistowane i postawione wprost. Zadbajmy o komfort własny oraz komfort pracowników UODO. Przygotujmy prostą i konkretną odpowiedź na zadane pytania. Wylistujmy zadane pytania razem z odpowiedziami.
Wskazówka
Przykład:
Przykład:
Tu pojawia się jeszcze jeden ważny temat. Nieodpowiadanie wprost na pytania UODO może mieć dwie przyczyny. Pierwsza z nich to nieuwaga i przeoczenie. Przestrzegam przed tego typu sytuacjami. Lepiej napisać dobrą odpowiedź (nawet dzień po terminie), niż przygotować odpowiedź niepełną.
Samopogrążające się pytania
Co jednak zrobić w sytuacji, kiedy wiemy, że odpowiedź na pytanie, może nas pogrążyć? Na przykład UODO zadaje szereg pytań technicznych, w tym np. o termin ostatniej realizacji szkoleń dla pracowników. My odpowiadamy na wszystkie pytania, poza tym jednym. Wiemy bowiem, że szkoleń po prostu nie było.
Nie polecam takiej taktyki! UODO tego nie kupi. Wy też nie kupilibyście takich wyjaśnień od Waszego dostawcy bądź bliskiej osoby. Jeśli wiesz, że odpowiedź na pytanie UODO Cię pogrąży, to lepiej od razu zacznij działać, aby naprawić swój błąd. Napisz UODO wprost, że szkoleń nie było ale np. masz już termin szkolenia dla zespołu i zobowiązujesz się je przeprowadzić. To zdecydowanie lepsza strategia, niż pomijanie pytań UODO!
# 3 Brak dowodów na potwierdzenie naszych tez
Dowody to słowo klucz dla większości korespondencji, którą obecnie prowadzimy z UODO w imieniu naszych klientów. Na przestrzeni ostatnich miesięcy, obserwujemy bardzo dużą zmianę w praktyce UODO, w stosunku do lat poprzednich. Oświadczenie o tym, że np. przeszkoliliśmy zespół albo zrealizowaliśmy audyt, już nie wystarcza. Musimy załączyć dowody, potwierdzające nasze twierdzenia. Jeśli chcemy udowodnić, że zrealizowaliśmy szkolenie, to możemy załączyć np. wydruk z systemu szkoleniowego, listę obecności czy jeszcze inny dokument, który uprawdopodobni to, że szkolenie faktycznie zostało przeprowadzone.
Chcesz udowodnić, że prowadzisz cykliczne audyty? Załączamy raport z takiego audytu, a przynajmniej jego fragmenty. Jeśli raport wykazuje uchybienia, to nie masz przecież obowiązku załączać go w całości. UODO nie pytał nas do tej pory o całe raporty, chciał jedynie dowodów na to, że takie audyty mają w ogóle miejsce.
Nie czekajmy zatem, aż UODO poprosi nas o dowody. Załączmy je pierwsi. W ten sposób skrócimy czas wymiany korespondencji i oszczędzimy czas sobie i pracownikom UODO.
# 4 Błędy formalne
Błędy mogą być mieć również naturę formalną. W szczególności chodzi o błędy, które sprawią, że nasze pismo będzie w świetle prawa nieważne. Może się tak zdarzyć na przykład, jeśli zostanie podpisane przez nieuprawnioną do reprezentacji administratora danych osobę. Albo, jeśli podpis w ogóle na piśmie się nie znajdzie lub będzie podpisem pseudo elektronicznym (będzie wyglądał tak jak mój podpis tutaj: Przemysław Zegarek).
Pamiętajmy o tym, że podpis elektroniczny to znak graficzny i bez tego znaku, rygor pisemności postępowania nie jest spełniony. Wyjątkiem jest tzw. e-podpis. Złożenie pisma do UODO w formie elektronicznej jest możliwe za pośrednictwem tzn. Elektronicznej Skrzynki Podawczej. Aby wysłać pismo w taki sposób należy skorzystać z platformy ePUAP2 lub biznes.gov.pl.
Innym błędem formalnym może być np. brak podania w piśmie nazwy administratora lub jego adresu.
Wsparcie przy przygotowaniu pisma do UODO
Otrzymałeś/aś pismo od UODO i nie wiesz jak na nie odpowiedzieć? Obawiasz się konsekwencji związanych z błędnym opisem stanu faktycznego i prawnego? Daj sobie pomóc i skorzystaj z pomocy ekspertów, którzy brali udział w kontrolach GIODO/UODO oraz udzielali odpowiedzi na kilkadziesiąt pism od polskiego regulatora.
Koszt konsultacji: 220 zł netto / h lub 300 zł netto / h tryb ekspresowy
Wypełnij poniższy formularz i zgłoś potrzebę konsultacji przy przygotowaniu pisma do UODO (dyżurujemy również w weekendy, odpowiemy w ciągu maksymalnie 2 godzin).
# 5 Korespondencja z UODO vs walka z UODO
Zdecydowanie nie jestem fanem wytykania błędów i wchodzenia w polemikę z UODO! Z każdym innym organem publicznym zresztą również. Tego typu pisma i wymiany, to nie jest dobry moment na prezentowanie swojej wiedzy i szukanie zaczepki. Taka walka jest z góry skazana jest na porażkę.
Oczywiście, jeśli UODO ewidentnie działa niezgodnie z własnymi stanowiskami czy orzecznictwem, to powinniśmy o tym przypomnieć.
Niemniej jednak, tonacja korespondencji powinna zostać utrzymana w neutralnej stylistyce. Pisaliśmy i opowiadaliśmy o tym dużo, przy okazji kontroli UODO.
Może ta rada większości z Was wyda się oczywista. Jednak odłożenie emocji na bok w podobnych sytuacjach naprawdę pomaga. Audytorzy finansowi z wielkiej czwórki, mają na taką okoliczność swoje powiedzenie, „on (w tym przypadku UODO) mówi tylko do mojego garnituru”.
# 6 Poświadczenie nieprawdy
U niektórych, podczas wymiany korespondencji, może pojawić się pokusa ubarwienia rzeczywistości. Napisania, że zrobiliśmy coś, czego tak naprawdę nie zrobiliśmy. Na przykład, że dopełniliśmy obowiązku informacyjnego albo przeszkoliliśmy pracowników. Abstrahując od kwestii moralno-etycznych, również logika takiego rozwiązania pozostawia wiele do życzenia.
Poświadczając UODO nieprawdę, ryzykujemy podwójnie. Po pierwsze, bardzo wysoką karę ze strony organu nadzorczego. Do tej pory nie słyszeliśmy o przypadku wprowadzania UODO w błąd. Gdyby tak się jednak stało, to zapewne kara nałożona na takiego administratora danych, miałaby bardzo wysoki wymiar.
Konsekwencje finansowe to jednak nie wszystko. Wprowadzając w błąd funkcjonariusza publicznego, popełniamy przestępstwo z art. 233 Kodeksu karnego (składanie fałszywych zeznań). Jeśli załączymy nieprawdziwy dokument, zbieramy jeszcze naruszenie art. 270 Kodeksu karnego (fałszowanie dokumentów) do kolekcji.
Pamiętajmy też o tym, co napisałem w poprzednim akapicie. UODO w większości przypadków prosi nas o dowody. A co jeśli sfabrykowany dowód nie będzie wystarczająco przekonujący? Przygotujemy kolejny? A jeśli UODO zainteresuje się tematem na tyle mocno, że będzie chciał przeprowadzić kontrolę w naszej organizacji? Naruszamy kolejne paragrafy i zaczynamy staczać się po równi pochyłej w dół.
Nie idźmy tą drogą i nawet nie próbujmy rozważać przejścia na ciemną stronę mocy!
W tym wszystkim jest jednak ważna okoliczność, o której warto w tym miejscu wspomnieć. Poświadczanie nieprawdy to jedno, a dostarczanie dowodów przeciwko samemu sobie to co innego. Co do zasady, każdy administrator danych ma obowiązek udzielenie informacji, o które pyta go organ nadzorczy. Jednakże, w niektórych sytuacjach, administratorzy będący osobami fizycznymi (przedsiębiorcy prowadzący jednoosobową działalność gospodarczą) mogą próbować odmówić udzielenia informacji, jeśli wiązałoby się to dla nich z ryzykiem nałożenia kary pieniężnej. Taka możliwość nie wynika jednak wprost z przepisów prawa, ale z orzecznictwa europejskiego (TSUE). Przyjęcie takiej „linii obrony” jest więc dużo trudniejsze, wymaga dobrego przygotowania merytorycznego, a w dodatku nie daje gwarancji, że organ, a następnie sąd podzielą taką argumentację.
# 7 Odpowiadanie na pytania, których UODO nie zadał
W naszej praktyce spotkaliśmy się również z przypadkami pisania UODO… zbyt dużo. Klient odpowiadał na pytanie UODO, które wcale nie zostało przez UODO wyartykułowane. Co więcej, odpowiedź administratora danych była na tyle niepokojąca dla UODO, że pojawiły się kolejne pytania i kolejne pisma.
Jeśli więc myślisz, że długie i wylewne pismo sprawi, że UODO uzna Cię za świetnego fachowca i zamknie korespondencję to jesteś w błędzie.
Przede wszystkim, należy czytać pytania, które zadaje nam organ i odpowiadać tylko na te, które zostały zadane. Tylko tyle i aż tyle.
Pobierz artykuł w PDF4 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Dobre wskazówki, natomiast we wstępie wkradło się chyba przypadkowo parę skrótów myślowych, które warto sprostować. Jeżeli osoba fizyczna złoży skargę i nie zawiera ona braków formalnych to UODO prowadzi postępowanie (i nie działa wtedy z urzędu, a na wniosek), niezależnie od tego czy skarga jest zasadna czy też nie (bo na tym etapie zbyt wcześnie na taką ocenę).
Pojawiła się co prawda instytucja określona w art. 57 ust. 4 RODO, jednak jest to wyjątek od zasady, a nie zasada (i to wyjątek stosowany w szczególnych przypadkach)
Oznacza to, że sam fakt kierowania korespondencji do przedsiębiorcy nie oznacza zasadności lub nie skargi. Organ jest zobowiązany prowadzić postępowanie administracyjne ponieważ wpływ skargi powoduje jego wszczęcie i trzeba je zakończyć co do zasady decyzją, do czego należy zgromadzić materiał dowodowy.
dziękujemy za uzupełnienie naszego artykułu 🙂
Dzień dobry, dobre wskazówki, jednak proponowany przez Państwa sposób określania terminów wydaje się błędny. Wydaje się, że w Państwa przykładzie odpowiedź musi zostać nadana najpóźniej o godzinie 23:59, 1 marca 2021 roku, a nie jak podano 2 marca. Stempel pocztowy z datą 2 marca będzie oznaczał niedotrzymanie terminu. Pozdrawiam,
Tadeusz
Dzień dobry, dziękujemy za czujność. Już nanosimy poprawkę 🙂 Pozdrawiamy!