Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/31

Kraj:

Polska

Data wydania decyzji:

05.02.2026 r.

Podmiot kontrolowany:

Przedsiębiorca

Wysokość kary (EUR):

4.000

Podstawa prawna naruszenia

Art. 31, art. 58 ust. 1 lit. a) i lit. e) RODO.

Niewystarczająca współpraca z organem nadzorczym.

 

Przyczyna naruszenia

Przyczyną naruszenia był brak reakcji przedsiębiorcy na kierowane do niego wezwania Prezesa UODO. Administrator, mimo skutecznego doręczenia korespondencji i pouczenia o możliwych konsekwencjach, nie przedstawił wymaganych wyjaśnień dotyczących podejrzenia naruszenia ochrony danych osobowych klientów. Brak współpracy uniemożliwił organowi nadzorczemu pełne zbadanie sprawy i ocenę, czy doszło do naruszenia wymagającego zgłoszenia oraz zawiadomienia osób, których dane dotyczyły.

 

Opis wydarzeń

  1. Informacja od Straży Gminnej: Do Prezesa UODO wpłynęła informacja od Straży Gminnej dotycząca podejrzenia naruszenia ochrony danych osobowych. Z ustaleń wynikało, że do gminnego pojemnika na odpady miała zostać wyrzucona dokumentacja i korespondencja należąca do przedsiębiorcy. Dokumenty zawierały dane osobowe jego klientów, co mogło oznaczać naruszenie poufności danych oraz niewłaściwe postępowanie z dokumentacją papierową.
  2. Wszczęcie postępowania wyjaśniającego: Prezes UODO wszczął postępowanie wyjaśniające, aby ustalić okoliczności zdarzenia. Organ nadzorczy musiał ocenić m.in., czy przedsiębiorca przeprowadził analizę ryzyka naruszenia praw lub wolności osób fizycznych, czy rozważył obowiązek zgłoszenia naruszenia do Prezesa UODO oraz czy zachodziła konieczność zawiadomienia osób, których dane znajdowały się w porzuconej dokumentacji.
  3. Dwukrotne wezwania do złożenia wyjaśnień: Prezes UODO skierował do przedsiębiorcy pisma z 6 września 2023 r. oraz 3 czerwca 2024 r. W obu przypadkach organ nadzorczy wzywał do przedstawienia informacji potrzebnych do oceny sprawy. Wezwania zostały wysłane na aktualny adres stałego miejsca wykonywania działalności gospodarczej ujawniony w CEIDG i zostały skutecznie doręczone. Oznacza to, że przedsiębiorca miał formalną możliwość zapoznania się z treścią żądań organu nadzorczego oraz udzielenia odpowiedzi.
  4. Brak odpowiedzi: Przedsiębiorca nie odpowiedział na wezwania Prezesa UODO. Nie przedstawił informacji, czy dokonał analizy ryzyka, nie wyjaśnił, jakie dokumenty zostały wyrzucone, jakie dane zawierały, jakiej liczby osób mogły dotyczyć oraz czy podjął jakiekolwiek działania naprawcze. Co istotne, w korespondencji został pouczony, że brak złożenia wyjaśnień może skutkować nałożeniem administracyjnej kary pieniężnej.
  5. Wszczęcie odrębnego postępowania: W związku z brakiem współpracy Prezes UODO wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia kary pieniężnej. Przedsiębiorca został poinformowany, na czym polega zarzucane mu naruszenie, jakie sankcje mu grożą oraz że nadal może złożyć wyjaśnienia. Organ nadzorczy wskazał również, że podjęcie współpracy mogłoby wpłynąć łagodząco na wymiar kary albo nawet doprowadzić do odstąpienia od jej nałożenia.
  6. Brak reakcji: Pomimo kolejnego skutecznego doręczenia korespondencji przedsiębiorca ponownie nie podjął żadnych działań. Nie złożył wyjaśnień w sprawie pierwotnego zdarzenia, nie przedstawił dokumentów finansowych potrzebnych do ustalenia podstawy wymiaru kary i nie skorzystał z możliwości ograniczenia negatywnych konsekwencji swojego zachowania.
  7. Ocena Prezesa UODO: Prezes UODO uznał, że przedsiębiorca jako administrator danych klientów był zobowiązany do współpracy z organem nadzorczym. Brak odpowiedzi na wezwania naruszał nie tylko formalny obowiązek procesowy, ale również utrudniał realizację podstawowego zadania organu nadzorczego, czyli monitorowania i egzekwowania stosowania RODO. Organ podkreślił, że takie działanie godzi w system ochrony danych osobowych, ponieważ uniemożliwia szybkie i skuteczne wyjaśnienie potencjalnego naruszenia.
  8. Długotrwały i świadomy charakter naruszenia: Naruszenie nie miało charakteru jednorazowego. Trwało od momentu doręczenia pierwszego wezwania, czyli od 11 września 2023 r., aż do dnia wydania decyzji. Prezes UODO uznał, że przedsiębiorca świadomie i celowo nie współpracował z organem, ponieważ odbierał kierowaną do niego korespondencję, ale konsekwentnie nie udzielał odpowiedzi.
  9. Kara pieniężna: Kara w wysokości 16 804 zł została uznana za skuteczną, proporcjonalną i odstraszającą. Prezes UODO wskazał, że lekceważenie wezwań organu nadzorczego nie może być traktowane jako neutralne zachowanie administracyjne. Brak współpracy może bowiem realnie opóźniać ochronę praw osób, których dane dotyczą.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zapewnienie bieżącej obsługi korespondencji od organów nadzorczych: Należy wdrożyć procedurę odbioru, rejestracji i analizy korespondencji z Prezesa UODO oraz innych organów publicznych. Każde pismo powinno zostać niezwłocznie przekazane osobie odpowiedzialnej za ochronę danych osobowych lub obsługę prawną. Brak odpowiedzi na wezwanie organu nadzorczego może zostać potraktowany jako odrębne naruszenie RODO, niezależnie od tego, czy pierwotne zdarzenie rzeczywiście stanowiło naruszenie ochrony danych.
  2. Wyznaczenie osoby odpowiedzialnej za kontakt z UODO: W organizacji powinno być jasne, kto odpowiada za przygotowanie wyjaśnień, zebranie dokumentów i kontakt z organem nadzorczym. Dotyczy to także małych przedsiębiorców. Nawet jednoosobowa działalność gospodarcza przetwarzająca dane klientów jest administratorem danych i musi realizować obowiązki wynikające z RODO.
  3. Terminowe odpowiadanie na wezwania organu: Na każde wezwanie Prezesa UODO należy odpowiedzieć w wyznaczonym terminie. Jeżeli przygotowanie pełnej odpowiedzi wymaga więcej czasu, warto rozważyć wystąpienie z uzasadnioną prośbą o jego przedłużenie. Milczenie nie rozwiązuje problemu a może jedynie pogorszyć sytuację administratora i zostać ocenione jako brak współpracy.
  4. Dokumentowanie analizy naruszenia ochrony danych: W przypadku podejrzenia naruszenia należy przeprowadzić i udokumentować analizę ryzyka dla praw lub wolności osób fizycznych. Taka analiza powinna obejmować m.in. opis zdarzenia, zakres danych, liczbę osób, możliwe konsekwencje, podjęte działania naprawcze oraz ocenę obowiązku zgłoszenia naruszenia do Prezesa UODO i zawiadomienia osób, których dane dotyczą.
  5. Wdrożenie zasad bezpiecznego niszczenia dokumentów papierowych: Dokumentacja zawierająca dane osobowe nie może być wyrzucana do zwykłych pojemników na odpady. Należy stosować niszczarki o odpowiednim poziomie bezpieczeństwa, korzystać z usług wyspecjalizowanych firm niszczących dokumenty lub wdrożyć kontrolowany proces brakowania dokumentacji. Każde niszczenie dokumentów powinno być możliwe do wykazania, np. przez protokół zniszczenia.
  6. Prowadzenie rejestru naruszeń i incydentów: Każdy incydent dotyczący danych osobowych powinien zostać odnotowany w wewnętrznym rejestrze. Rejestr powinien obejmować zarówno zdarzenia zgłaszane do Prezesa UODO, jak i te, które po analizie nie wymagają zgłoszenia. Dzięki temu administrator może wykazać rozliczalność i udowodnić, że podjął świadome działania zgodne z RODO.
  7. Przygotowanie procedury na wypadek kontroli lub postępowania UODO: Organizacja powinna posiadać prostą instrukcję określającą, jak postępować po otrzymaniu pisma z UODO. Procedura powinna wskazywać terminy, osoby odpowiedzialne, sposób gromadzenia dokumentów oraz tryb akceptacji odpowiedzi. Takie rozwiązanie ogranicza ryzyko przeoczenia korespondencji i pozwala zachować kontrolę nad przebiegiem sprawy.
  8. Traktowanie współpracy z organem nadzorczym jako elementu zgodności: Współpraca z Prezesem UODO nie jest wyłącznie formalnością. Jest jednym z podstawowych obowiązków administratora danych. Rzetelna, terminowa i kompletna odpowiedź może ograniczyć ryzyko sankcji, pokazać dobrą wolę administratora i umożliwić sprawne wyjaśnienie zdarzenia. Brak reakcji może natomiast doprowadzić do kary nawet wtedy, gdy samo pierwotne naruszenie nie zostało jeszcze ostatecznie ocenione.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO