Niedopełnienie obowiązku przez administratora nie zawsze musi skończyć się karą finansową. Urząd będzie brał pod uwagę m.in. okoliczności naruszenia przepisów oraz działania podejmowane przez administratora- mówi w wywiadzie dla DGP Agnieszka Świątek-Druś, rzecznik prasowy Urzędu Ochrony Danych Osobowych
Dziś ostatni dzień na zgłoszenie inspektorów ochrony danych (IOD) powołanych w tych przedsiębiorstwach, które mają obowiązek ich ustanowienia nałożony przez RODO, a które dotychczas nie miały w swoich strukturach administratora bezpieczeństwa informacji. Zgłoszeń można dokonywać wyłącznie przez formularz elektroniczny.
Tymczasem dla wielu firm to przeszkoda nie do przeskoczenia. Prawnicy reprezentujący przedsiębiorców oraz instytucje publiczne sygnalizują nam, że system informatyczny jest tak kulawy, iż przesłanie formularza nierzadko trwa kilka godzin albo jest wręcz niemożliwe. To poważny kłopot, bo zgłoszenie IOD do organu nadzorczego jest jednym z obowiązków administratora nałożonym przez art. 37 RODO i w przypadku niewykonania tego obowiązku rozporządzenie przewiduje karę nawet do 10 mln euro lub 2 proc. obrotu światowego przedsiębiorcy w roku poprzedzającym naruszenie.
Agnieszka Świątek-Druś, rzecznik prasowy Urzędu Ochrony Danych Osobowych, mówi nam, że organ nadzorczy jest świadomy problemów technicznych. Przyznaje, że największy kłopot ze zgłoszeniem mają osoby chcące poświadczyć formularz kwalifikowanym podpisem elektronicznym. Rekomenduje zatem, aby użyć do tego celu bezpłatnego i łatwego do założenia (nawet bez wychodzenia z domu) Profilu Zaufanego. Przedstawicielka UODO podkreśla, że wysyłanie zgłoszeń w formie papierowej nie będzie uznawane. To ważne, bo jak sama podkreśla, niektórzy tak robią.
Rzeczniczka UODO wypowiada się też uspokajająco w kwestii kar.
– Samo stwierdzenie naruszeń przepisów RODO, stanowiących podstawę do nałożenia administracyjnej kary pieniężnej, nie obliguje organu do sięgnięcia po ten rodzaj sankcji. Może on bowiem skorzystać z szerokiego wachlarza przyznanych mu instrumentów, np. ostrzeżenia, upomnienia czy nakazu – wskazuje. Dodaje, że organ nadzorczy będzie badał ewentualne okoliczności naruszenia przepisów oraz to, jakie działania administrator podejmował w celu wywiązania się z ciążących na nim obowiązków.
Czy organ nadzorczy dostrzega problemy ze zgłaszaniem IOD poprzez formularz elektroniczny?
Od dłuższego czasu Urzędowi Ochrony Danych Osobowych sygnalizowane były problemy techniczne pojawiające się przy przesyłaniu zawiadomień o wyznaczeniu IOD. Urząd reagował na nie w miarę swoich możliwości, m.in. zamieszczając na swojej stronie internetowej pomocne wyjaśnienia (dostępne w materiale zamieszczonym pod linkiem https://uodo.gov.pl/pl/121/193 w części Pytania i odpowiedzi).
Przeważająca większość zgłaszanych nam problemów dotyczy nieskuteczności złożenia kwalifikowanego podpisu elektronicznego. Mogą one wynikać przede wszystkim z nieprawidłowej konfiguracji programu do składania podpisu. Przykładowo składany podpis musi być wewnętrznym (otaczanym) typem podpisu. Na platformie Biznes.gov.pl znajduje się wiele cennych wskazówek i informacji, jak należy prawidłowo skonfigurować popularne programy dedykowane podpisom elektronicznym (np. https://www.biznes.gov.pl/pl/firma/sprawy-urzedowe/chce-zalatwic-sprawe-w-urzedzie/dlaczego-warto-zalatwiac-sprawy-urzedowe-przez-biznes-gov-pl-i-jak-to-zrobic/okresl-ustawienia-programu-sigilium-sign-4).
Zaznaczyć przy tym należy, że UODO nie zarządza platformą Biznes.gov.pl od strony technicznej, a robi to Ministerstwo Przedsiębiorczości i Technologii. W sytuacji, kiedy wskazane wyżej instrukcje są nieskuteczne, należy kontaktować się z pomocą techniczną platformy.
Należy również wskazać, że dziennie tą drogą prezesowi UODO zgłaszanych jest nawet kilkuset inspektorów. Można zatem uznać, że przeważająca liczba administratorów nie ma problemów ze złożeniem zawiadomienia. Zawiadomienia, które skutecznie są dostarczone do UODO, są potwierdzane Urzędowym Poświadczeniem Przedłożenia (generowanym przez Biznes.gov.pl w postaci pliku UPP.xml) oraz informacją potwierdzającą wysyłaną automatycznie na adres e-mail podany przy zakładaniu konta.
Czy istnieje zatem jakaś alternatywa dla złożenia formularza przy użyciu kwalifikowanego podpisu elektronicznego?
Tak, można w tym celu wykorzystać podpis zaufany składany przez Profil Zaufany. Część administratorów argumentuje, że osoby upoważnione do reprezentacji nie mają profilu zaufanego. Należy jednak podkreślić, że założenie profilu zaufanego jest bezpłatne i proste, możliwe nawet bez wychodzenia z domu (za pomocą kwalifikowanego podpisu elektronicznego bądź konta bankowego).
Jednocześnie wiele osób mających problem ze złożeniem zawiadomienia o wyznaczeniu IOD przez platformę Biznes.gov.pl zwracało się z pytaniem, czy może wysłać zgłoszenie przez ePUAP. UODO potwierdził dopuszczalność takiego rozwiązania, zamieszczając jednocześnie na swojej stronie internetowej (pod wskazanym już linkiem) instrukcję, jak wysłać zawiadomienie o wyznaczeniu IOD przez ePUAP.
Czy można gdzieś zgłaszać nieprawidłowe działanie systemu?
W przypadku problemów ze składaniem wniosku przez platformę ePUAP wszelkie problemy techniczne (komunikaty o błędach systemowych bądź nieprawidłowe przekierowania) należy zgłaszać centrum pomocy użytkowników ePUAP w Centralnym Ośrodku Informatyki (podległym Ministerstwu Cyfryzacji), który odpowiada za działanie tej platformy.
Co powinni zrobić przedsiębiorcy, którym z powodów technicznych nie uda się złożyć wniosku w terminie? Czy grożą im kary?
Przepisy RODO nakładają na organ nadzorczy obowiązek ich egzekwowania. Niemniej jednak należy podkreślić, że samo stwierdzenie naruszeń przepisów RODO, stanowiących podstawę do nałożenia administracyjnej kary pieniężnej, nie obliguje organu do sięgnięcia po ten rodzaj sankcji. Może on bowiem skorzystać z szerokiego wachlarza przyznanych mu instrumentów i zastosować środki naprawcze o charakterze niepieniężnym, takie jak np. ostrzeżenie, upomnienie czy nakaz. Oceniając każdą sytuację indywidualnie, prezes UODO musi brać pod uwagę m.in. okoliczności naruszenia przepisów oraz to, jakie działania administrator podejmował w celu wywiązania się z ciążących na nim obowiązków.
Czy istnieje awaryjnie możliwość przesłania zgłoszenia w formie papierowej?
Jedynym prawidłowym i skutecznym sposobem zawiadomienia o wyznaczeniu IOD jest zawiadomienie w postaci elektronicznej, opatrzone kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP (o czym przesądził ustawodawca w art. 10 ust. 6 ustawy z 10 maja 2018 r. o ochronie danych osobowych). Mimo jednoznacznych wymogów co do formy zgłoszenia część administratorów, w tym z administracji publicznej, przesyła do urzędu zawiadomienia papierowe. W takich przypadkach nie może być mowy o skutecznym wywiązaniu się z obowiązku określonego w art. 37 ust. 7 RODO i art. 10 ustawy o ochronie danych osobowych.