Штраф за відмову комунікувати з контролюючим органом (DPA)

24 Червня 2021

Окрім відповідальності за дотримання вимог GDPR у формі розробки та імплементації організаційних та технічних заходів, спрямованих на забезпечення максимальної безпеки персональних даних, європейське законодавство також передбачає і відповідальність за певні обов’язки, вчинення яких покладається на компанії, що здійснюють або ж залучаються до оброки персональних даних.

Польський кейс (Funeda sp. z o.o.)

Суть справи полягає в тому, що в 2020 році, Польський DPA (Urząd Ochrony Danych Osobowych) отримав скаргу від фізичної особи щодо порушення, на думку цієї особи, процесу обробки її персональних даних однією із компаній, яка оперує на території Польщі.

В рамках адміністративного провадження, розпочатого з метою розгляду скарги, контролюючий орган звернувся до компанії Funeda sp. z o.o., за-для отримання реакції на зміст скарги та за-для отримання відповіді на запитання стосовно справи. Польський DPA також спеціально просив компанію надати їй особисту інформацію скаржника, а також законні підстави, використовуючи які, компанія зібрала та оброблює оскаржувані персональні дані.

Протягом останнього року, DPA неодноразово намагався зв’язатися з компанією телефоном та електронною поштою, використовуючи контактну інформацію, розміщену на веб-сайті компанії. Незважаючи на отримання кореспонденції, компанія не відповідала на дзвінки та листи, адресовані їй. Компанія, незважаючи на те, що DPA отримала належне повідомлення про своє право на висловлення своєї думки щодо зібраних доказів та висунення власних аргументів та/або претензій, також не вжила жодних дій для уточнення своєї позиції з цього питання.

За ненадання інформації, пов’язаної зі справою, DPA розпочав провадження про накладення адміністративного штрафу на компанію. До дати прийняття цього рішення компанія не контактувала з DPA.

Обґрунтування рішення

На підставі ст. 57 General Data Protection Regulation, президент польського DPA – як наглядовий орган у розумінні ст. 51 GDPR – контролює та забезпечує застосування General Data Protection Regulation на своїй території. У рамках своїх повноважень президент польського DPA зобов’язаний перевіряти, серед іншого, скарги, подані суб’єктами даних, розслідувати ці скарги у відповідній мірі та інформувати скаржника про хід та результати цього провадження у розумний термін.

Для можливості забезпечити виконання визначених вище завдань, Президент польського DPA, на підставі статті 58 GDPR,  має ряд зазначених прав, зокрема, право вимагати від контролера та/або  обробника даних надати всю інформацію, необхідну для виконання завдань DPA, а також право на отримання доступ до всіх персональних даних та всієї інформації, необхідної для виконання його завдань, якою володіють контролер та/або обробник.

Невиконання положень Регламенту 2016/679, що полягає у ненаданні контролером або обробником доступу до даних та інформації, зазначених вище, яке може призвести до порушення прав контролюючого органу, є предметом відповідальності, передбаченої в статті 83 GDPR, у відповідності до якої передбачається накладення адміністративного штрафу в розмірі до 20 000 000 євро, а у випадку підприємства – до 4% його загального річного обороту за попередній фінансовий рік, при цьому застосовується вища сума. Слід зазначити, що контролер та обробник зобов’язані співпрацювати з контролюючим органом при виконанні його завдань, як це передбачено ст. 31 Регламенту 2016/679.

Наслідки

До моменту викладення цього матеріалу, компанія, яка порушила положення GDPR так і не вийшла на зв’язок з польським DPA, що може свідчити тільки про одне – небажання співпрацювати з контролюючими органами.

Як наслідок такого небажання співпрацювати, на компанію був накладений штраф у розмірі 5000 (п’ять тисяч) євро, у відповідності до внутрішнього законодавства Польщі, яке застосовується паралельно із положеннями GDPR.

Таким своїм рішенням, Польська влада наголосила, що штраф повинен направити чіткий сигнал як компанії, так і іншим, що  звернення контролюючого органу не слід ігнорувати. Нехтування обов’язками, пов’язаними зі співпрацею з наглядовим органом, зокрема перешкоджання доступу до інформації, необхідної для виконання його завдань, є порушенням великої тяжкості і як таке підлягає фінансовим санкціям.