Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości 18 941 zł na przedsiębiorcę prowadzącego działalność gastronomiczną. Decyzja została podjęta w związku z uporczywym ignorowaniem wezwań do udzielenia informacji oraz nieprzekazaniem danych niezbędnych do prowadzenia postępowania przez organ nadzorczy. Sprawa dotyczyła skargi na nieprawidłowości w przetwarzaniu danych biometrycznych pracownika.
Skarga na pracodawcę i dane biometryczne
Postępowanie zostało zainicjowane skargą osoby prywatnej złożoną do Prezesa UODO w 2021 roku. Dotyczyła ona przetwarzania danych biometrycznych - najprawdopodobniej odcisków palców - przez pracodawcę z województwa śląskiego. W toku analizy Prezes UODO stwierdził, że przedsiębiorca działał jako administrator danych osobowych wobec skarżącej, a zatem był zobowiązany do przestrzegania przepisów RODO, w tym do wskazania podstawy prawnej przetwarzania oraz spełnienia obowiązku informacyjnego.
W związku z tym organ nadzorczy skierował do przedsiębiorcy wezwanie do złożenia wyjaśnień dotyczących m.in. celu i okresu przetwarzania danych, podstawy prawnej działań oraz sposobu realizacji obowiązków wobec osoby, której dane dotyczą. Mimo kilku prób kontaktu - w tym pisma z maja 2024 roku - przedsiębiorca nie udzielił żadnej odpowiedzi.
Uporczywe milczenie i wszczęcie postępowania
Brak jakiejkolwiek reakcji ze strony podmiotu skłonił Prezesa UODO do wszczęcia postępowania z urzędu w styczniu 2025 roku. Przedsiębiorca został wówczas ponownie wezwany do przedstawienia informacji potrzebnych do ustalenia wysokości ewentualnej kary oraz do złożenia wyjaśnień, które mogłyby wpłynąć na jej złagodzenie. Także na tym etapie nie podjęto żadnych działań po stronie przedsiębiorcy.
Zdaniem Prezesa UODO taki sposób postępowania stanowił celowe i świadome unikanie współpracy z organem nadzorczym, skutkujące nieuzasadnionym przedłużeniem postępowania oraz trwaniem stanu naruszenia prawa. Tym samym doszło do naruszenia przepisów art. 58 ust. 1 lit. a) i e) RODO, które zobowiązują administratorów danych do umożliwienia dostępu do danych oraz do przekazywania informacji niezbędnych do realizacji zadań przez organy nadzorcze.
Wnioski dla branży i znaczenie dla praktyki CX
Sprawa ta stanowi czytelny sygnał dla firm z każdej branży - w tym działów obsługi klienta oraz CX - że brak współpracy z organem nadzorczym w sprawach dotyczących danych osobowych może skutkować nie tylko sankcjami finansowymi, ale też wizerunkowymi. Nawet jeśli skarga dotyczy niewielkiej organizacji, ignorowanie obowiązków informacyjnych wobec UODO jest traktowane jako poważne naruszenie prawa.
Dla managerów odpowiedzialnych za zgodność z RODO i bezpieczeństwo danych kluczowe staje się zapewnienie pełnej gotowości do reakcji na zapytania regulatora. Uporządkowane procesy dokumentacyjne, przejrzysta polityka przetwarzania danych - zwłaszcza danych szczególnie chronionych, takich jak biometryczne - oraz gotowość do dialogu z organami nadzorczymi to dziś nie opcja, lecz obowiązek.