Stan faktyczny
Decyzja Prezesa UODO z 23.6.2025 r., DKE.561.1.2025, dotyczyła postępowania wszczętego w wyniku skargi osoby fizycznej, byłej pracownicy przedsiębiorstwa prowadzącego działalność gastronomiczną. Skarżąca zarzuciła administratorowi, że przetwarzał jej dane biometryczne, w szczególności – co nie zostało potwierdzone – odciski palców, bez odpowiedniej podstawy prawnej oraz bez spełnienia obowiązku informacyjnego.
Zgodnie z informacjami przekazanymi przez UODO, skarga została zarejestrowana i poddana wstępnej analizie, po której Organ nadzorczy kilkukrotnie zwracał się do Administratora z żądaniami przedstawienia informacji dotyczących celów, zakresu i podstawy prawnej przetwarzania danych biometrycznych. W wezwaniach tych wskazano również na konieczność przedstawienia kopii dokumentacji wewnętrznej, w tym klauzul informacyjnych oraz opisów zabezpieczeń technicznych i organizacyjnych.
Pomimo ponawianych prób kontaktu, Przedsiębiorca nie udzielił żadnej odpowiedzi na wezwania Organu nadzorczego. W konsekwencji Prezes UODO stwierdził, że podmiot naruszył obowiązki wynikające z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), niezależnie od okoliczności dotyczących legalności samego przetwarzania danych biometrycznych. Kluczowe znaczenie miało nieprzestrzeganie obowiązku współpracy z Organem nadzorczym, który uniemożliwił rzetelne zbadanie sprawy.
Stan prawny
Zgodnie z art. 58 ust. 1 lit. a) i e) RODO, organ nadzorczy ma prawo nakazać administratorowi lub podmiotowi przetwarzającemu udostępnienie wszelkich informacji niezbędnych do realizacji jego zadań oraz zażądać dostępu do danych osobowych i wszelkich informacji potrzebnych do celów kontroli.
W analizowanej sprawie Prezes UODO uznał, że ignorowanie jego wezwań stanowi samodzielne naruszenie RODO, bez względu na to, czy przetwarzanie danych biometrycznych było zgodne z prawem. Brak odpowiedzi pozbawił Organ możliwości przeprowadzenia skutecznego postępowania wyjaśniającego. Tym samym doszło do naruszenia przepisów, które mają kluczowe znaczenie dla funkcjonowania systemu ochrony danych osobowych w Unii Europejskiej.
Organ wskazał, że nałożenie administracyjnej kary pieniężnej jest nie tylko uzasadnione wagą naruszenia, lecz także konieczne z uwagi na prewencyjny charakter sankcji. Podkreślono, że nieudzielenie odpowiedzi było całkowite i uporczywe – Administrator miał realną możliwość ustosunkowania się do żądań Organu, lecz tego nie uczynił.
Wysokość kary ustalono na poziomie 18 941 zł, uwzględniając m.in. skalę działalności Przedsiębiorcy (mikroprzedsiębiorstwo z branży gastronomicznej) oraz charakter naruszenia, które uniemożliwiło ocenę legalności przetwarzania danych szczególnych kategorii, takich jak dane biometryczne. Kara ta mieści się w granicach określonych w art. 83 ust. 5 lit. e) RODO, który przewiduje maksymalny wymiar sankcji za naruszenie obowiązku współpracy z organem nadzorczym.
Wnioski końcowe
Decyzja DKE.561.1.2025 potwierdza, że współpraca z organem nadzorczym jest jednym z kluczowych filarów systemu ochrony danych osobowych. Administratorzy nie mogą pozostawać bierni wobec kierowanych do nich żądań – nawet jeśli uważają, że dane są przetwarzane prawidłowo.
Ukarany Przedsiębiorca z branży gastronomicznej, pomimo niewielkiej skali działalności, został obciążony karą administracyjną za brak reakcji – nie za samo przetwarzanie danych. To istotna lekcja dla wszystkich podmiotów przetwarzających dane osobowe, pokazująca, że milczenie wobec UODO może być kosztowne.
Komentarz
Decyzja DKE.561.1.2025 stanowi czytelny sygnał dla administratorów danych, że nawet milczenie wobec organu nadzorczego może skutkować istotnymi konsekwencjami prawnymi. Brak odpowiedzi na wezwania UODO – nawet jeśli administrator uważa, że przetwarza dane zgodnie z prawem – jest samodzielnym naruszeniem przepisów RODO i może zostać ukarany w oderwaniu od oceny legalności samego przetwarzania.
W praktyce wielu administratorów bagatelizuje znaczenie korespondencji kierowanej przez organ nadzorczy, traktując ją jako wstępne zapytanie o niskim priorytecie. Tymczasem zignorowanie obowiązku informacyjnego może prowadzić nie tylko do nałożenia kary, lecz także do utraty możliwości obrony własnego stanowiska. Jeżeli administrator nie dostarczy informacji, UODO nie jest w stanie ocenić legalności działań, a to oznacza, że automatycznie przyjmuje się naruszenie obowiązków wynikających z art. 58 RODO.
Co więcej, w przypadku danych biometrycznych – jako danych szczególnych kategorii w rozumieniu art. 9 RODO – obowiązki administratora są podwyższone. Wymagana jest nie tylko szczególna ostrożność przy ich przetwarzaniu, lecz także przejrzystość działań i gotowość do ich udokumentowania. Brak odpowiedzi może więc być oceniany jako przejaw świadomego unikania kontroli, co wpływa na zaostrzenie wymiaru kary.
Dla praktyków prawa ochrony danych osobowych decyzja ta stanowi również przykład skutecznego działania UODO w sprawach „drobnych” lub lokalnych – pokazuje, że nawet jednoosobowe firmy z sektora MŚP nie są poza zasięgiem mechanizmów egzekucji przepisów RODO. Organ nie ogranicza swojej aktywności wyłącznie do dużych podmiotów czy instytucji publicznych – każde zgłoszenie traktowane jest poważnie, a współpraca z organem nadzorczym stanowi obowiązek każdego administratora, niezależnie od wielkości działalności.
Na tle dotychczasowej praktyki orzeczniczej UODO decyzja wpisuje się w tendencję do sankcjonowania nie tyle samych uchybień w ochronie danych, co braku transparentności i nieprzestrzegania obowiązków proceduralnych. W poprzednich latach podobne podejście widoczne było np. w decyzjach dotyczących braku odpowiedzi na żądania osób, których dane dotyczą, czy też braku reakcji na skargi pracowników – zwłaszcza w sektorze prywatnym.
Decyzja Prezesa UODO z 23.6.2025 r., DKE.561.1.2025
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
