Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/11

Kraj:

Polska

Data wydania decyzji:

08.12.2025 r.

Podmiot kontrolowany:

Spółka

Wysokość kary (EUR):

3.520

Podstawa prawna naruszenia

Art. 58 ust. 1 lit. a) i lit. e) RODO.

Niewystarczająca współpraca z organem nadzorczym.

 

Przyczyna naruszenia

Spółka dopuściła się naruszenia przepisów RODO poprzez brak realizacji obowiązku współpracy z organem nadzorczym. Administrator ignorował kierowaną do niego korespondencję Prezesa Urzędu Ochrony Danych Osobowych, nie odbierał prawidłowo doręczanych wezwań oraz nie przekazał żądanych informacji i dokumentów. Zaniechania te wynikały z braku należytej organizacji obiegu korespondencji i braku wyznaczenia osób odpowiedzialnych za obsługę spraw administracyjnych. Organ nadzorczy uznał takie zachowanie za poważne zaniedbanie, które uniemożliwiło dostęp do informacji niezbędnych do przeprowadzenia postępowania i znacząco je przedłużyło. UODO wskazał, że naruszenie nie miało charakteru umyślnego, jednak wielomiesięczna pasywność oraz całkowity brak reakcji stanowiły naruszenie art. 58 ust. 1 RODO, podlegające sankcji administracyjnej.

 

Opis wydarzeń

  1. Wpłynięcie skargi do organu nadzorczego: Postępowanie zostało zainicjowane skargą osoby fizycznej, która zakwestionowała zgodność z prawem przetwarzania jej danych osobowych przez Spółkę. Skarga ta uruchomiła ustawowe kompetencje kontrolne Prezesa Urzędu Ochrony Danych Osobowych w zakresie zbadania legalności działań administratora.
  2. Wszczęcie postępowania wyjaśniającego: W ramach realizacji ustawowych obowiązków Prezes UODO skierował do Spółki wezwania do złożenia wyjaśnień. Organ nadzorczy żądał przedstawienia informacji dotyczących podstawy prawnej przetwarzania danych, zakresu operacji przetwarzania, ewentualnego udostępniania danych podmiotom trzecim oraz realizacji obowiązków informacyjnych wobec osoby, której dane dotyczą.
  3. Brak reakcji administratora: Spółka nie udzieliła odpowiedzi na kierowane pisma. Korespondencja wysyłana na adres ujawniony w rejestrach publicznych była dwukrotnie awizowana, jednak nie została podjęta. Zgodnie z przepisami Kodeksu postępowania administracyjnego uznano ją za skutecznie doręczoną, co oznaczało, że brak faktycznego odbioru nie zwalniał Spółki z obowiązku udzielenia odpowiedzi.
  4. Eskalacja działań organu nadzorczego: Wobec braku odpowiedzi Prezes UODO ponowił wezwania, a następnie wszczął odrębne postępowanie administracyjne dotyczące naruszenia obowiązku współpracy z organem nadzorczym. Spółka została formalnie poinformowana o możliwości nałożenia administracyjnej kary pieniężnej.
  5. Brak przekazania danych finansowych: W toku postępowania organ nadzorczy zwrócił się do Spółki o przedstawienie informacji finansowych niezbędnych do ustalenia maksymalnego wymiaru kary, w szczególności danych o obrocie. Także w tym zakresie administrator nie podjął współpracy, co dodatkowo utrudniło organowi nadzorczemu ocenę sytuacji.
  6. Decyzja o nałożeniu kary: Wobec utrzymującego się braku kontaktu i braku realizacji obowiązków ustawowych Prezes UODO wydał decyzję administracyjną, nakładając na Spółkę karę pieniężną w wysokości 14 816 zł. Organ nadzorczy podkreślił, że obowiązek współpracy ma charakter bezwzględny i stanowi fundament skutecznego systemu nadzorczego przewidzianego w RODO, a jego naruszenie może być sankcjonowane niezależnie od meritum pierwotnej skargi.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zapewnienie skutecznej współpracy z organem nadzorczym: Należy wdrożyć procedury odbioru i obsługi korespondencji urzędowej, w tym monitorowania awizacji, oraz wyznaczyć w organizacji stały punkt kontaktu odpowiedzialny za prowadzenie postępowań administracyjnych i komunikację z Prezesem UODO.
  2. Terminowe udzielanie informacji i danych wymaganych przez organ nadzorczy: W organizacji powinien funkcjonować jasny proces reagowania na wezwania organu nadzorczego, obejmujący określone terminy, odpowiedzialności oraz obowiązek dokumentowania całej korespondencji i udzielanych odpowiedzi.
  3. Uporządkowanie i aktualizacja danych kontaktowych: Należy zapewnić aktualność danych adresowych i kontaktowych ujawnionych w KRS oraz niezwłocznie zgłaszać wszelkie zmiany, aby uniknąć skutecznych doręczeń zastępczych bez faktycznej wiedzy administratora.
  4. Przygotowanie zasobów do odpowiedzi na żądania informacyjne: Administrator powinien utrzymywać aktualną i uporządkowaną dokumentację procesów przetwarzania danych, tak aby możliwe było szybkie i kompletne udzielenie informacji wymaganych przez organ nadzorczy.
  5. Regularne szkolenia i audyty zgodności: Zalecane jest prowadzenie cyklicznych szkoleń dla kadry zarządzającej i pracowników oraz okresowych audytów procedur związanych z obsługą postępowań i kontroli w obszarze ochrony danych.
  6. Zastosowanie zarządzania ryzykiem i dokumentacji zgodności: Ryzyko braku współpracy z organem nadzorczym powinno zostać uwzględnione w systemie zarządzania ryzykiem, wraz z odpowiednią dokumentacją zgodności i oceną skutków dla ochrony danych (DPIA).

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO