Od początku obowiązywania RODO (25 maja 2018 r.) do 13 sierpnia 2019 r. zostało przeprowadzonych 113 kontroli w zakresie przestrzegania przepisów o ochronie danych osobowych – wynika z danych udostępnionych nam w trybie dostępu do informacji publicznej przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
Kontrole PUODO w sektorze prywatnym a kontrole ogółem / DGP
W ramach sektora prywatnego PUODO skontrolował w sumie 28 podmiotów – 19 spółek, trzy jednoosobowe działalności gospodarcze, dwa stowarzyszenia, jedną spółdzielnię, jedną spółdzielnię mieszkaniową, jedną wspólnotę mieszkaniową oraz jeden serwis internetowy, którego forma prawna nie została podana. Jak widać, kontroli nie uniknęły nawet jednoosobowe działalności gospodarcze. Jedna z nich zajmowała się zarządzaniem nieruchomościami, przedmiot działalności dwóch pozostałych nie został nam ujawniony.
Na dzień 13 sierpnia br. wszczęto siedem postępowań administracyjnych w sprawie naruszenia przepisów o ochronie danych osobowych, co stanowi tylko 25 proc. ogólnej liczby kontroli w sektorze prywatnym. Przeczy to zatem przeświadczeniu przedsiębiorców, że każda kontrola kończy się wszczęciem przez PUODO postępowania oraz nałożeniem kary pieniężnej. Tylko dwa z siedmiu postępowań zakończyły się wydaniem decyzji administracyjnej.
W pierwszym PUODO wydał decyzję na podstawie uprawnień naprawczych (art. 58 ust. 2 lit. d i lit. i oraz art. 83 ust. 5 lit. b RODO). Przedsiębiorcy nakazano dostosowanie operacji przetwarzania do przepisów RODO wraz ze wskazaniem sposobu i terminu, w jakim ma do tego dojść. Nałożono też na niego karę pieniężną w wysokości 943 470 zł za naruszenie przepisów dotyczących realizacji praw osób, których dotyczą dane osobowe. W drugim przypadku została wydana decyzja administracyjna w postaci upomnienia podmiotu kontrolowanego (jak przypuszczamy, ponieważ w treści otrzymanej informacji powołano się na błędny przepis).
Uwagę zwraca nadreprezentacja podmiotów z województwa mazowieckiego. Według PUODO postępowania zostały bowiem wszczęte wobec trzech spółek z województwa mazowieckiego i małopolskiego oraz spółdzielni mieszkaniowej, spółdzielni, serwisu internetowego i osoby fizycznej prowadzącej działalność gospodarczą – wszystkich z województwa mazowieckiego.
W przypadku sektora publicznego rozumianego m.in. jako organy administracji rządowej oraz jednostki samorządu terytorialnego w wyniku przeprowadzonych przez PUODO kontroli zostało wszczętych 13 postępowań, z czego na dzień 13 sierpnia br. zostało wydanych sześć decyzji administracyjnych, z tego cztery, w których PUODO skorzystał z uprawnienia, o który mowa w art. 58 ust. 2 lit. d RODO. Oznacza to, że kontrolowanym podmiotom nakazano dostosowanie operacji przetwarzania danych osobowych do przepisów RODO bez nałożenia kary pieniężnej.
Skargi nie są powszechną przyczyną kontroli
Co ciekawe, na ogólną liczbę 113 kontroli tylko trzy zostały przeprowadzone na skutek wniesionej skargi przez osobę, której dane dotyczą. Jedna dotyczyła sektora prywatnego, a dwie sektora publicznego. Przeczy to zatem przekonaniu, że to właśnie skargi składane w trybie art. 77 ust. 1 RODO będą inicjowały większość postępowań kontrolnych PUODO.
Pięć kontroli zostało wszczętych po otrzymaniu przez PUODO zgłoszenia naruszenia ochrony danych osobowych, o którym mowa w art. 33 ust. 1 RODO, od administratorów danych osobowych. Mają oni obowiązek powiadomienia PUODO o takim naruszeniu bez zbędnej zwłoki oraz w miarę możliwości, nie później jednak niż w terminie 72 godzin po jego stwierdzeniu. Jedna z takich kontroli zakończyła się nałożeniem kary pieniężnej w wysokości 55 750,50 zł, co wynika z publikacji decyzji PUODO na stronie urzędu (Decyzja Prezesa Urzędu Ochrony Danych Osobowych z 25 kwietnia 2019 r., sygn. ZSPR.440.43.2019).