TL;DR: Brak odpowiedzi na pismo od Prezesa Urzędu Ochrony Danych Osobowych (UODO) inicjuje kaskadę poważnych ryzyk, których nie możesz lekceważyć. Administrator danych naraża się nie tylko na dotkliwą, administracyjną karę pieniężną za sam brak współpracy, sięgającą 10 milionów euro lub 2% rocznego obrotu, ale również na odrębną sankcję za ewentualne naruszenie merytoryczne RODO, a to już nawet 20 milionów euro lub 4% całkowitego rocznego obrotu. Co więcej, świadome utrudnianie kontroli jest w polskim porządku prawnym kwalifikowane jako przestępstwo, a proceduralna fikcja doręczenia sprawia, że nieodebranie korespondencji jest prawnie nieskuteczną próbą ucieczki od odpowiedzialności.
Pismo z UODO – dlaczego absolutnie nie wolno go ignorować?
Otrzymanie korespondencji od organu nadzorczego jest formalnym sygnałem, że znalazłeś się w orbicie jego zainteresowań. Prezes UODO, działając na podstawie art. 58 ust. 1 RODO, posiada szerokie uprawnienia dochodzeniowe, w tym prawo do żądania wszelkich informacji niezbędnych do wyjaśnienia sprawy. Nie zawsze musi być to równoznaczne z tym, że masz wielkie kłopoty albo, że sprawa zakończy się dla Ciebie dotkliwymi sankcjami.
Jednak zignorowanie takiego wezwania jest traktowane nie jako pasywna postawa, lecz jako aktywne naruszenie obowiązku współpracy. W konsekwencji, nawet jeśli pierwotne podejrzenia urzędu okażą się bezpodstawne, samo milczenie staje się odrębnym, w pełni karalnym deliktem administracyjnym.
Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?
Dwa rodzaje kar od UODO
Fundamentalne dla zrozumienia skali ryzyka jest rozróżnienie dwóch niezależnych kar administracyjnych, które urząd może nałożyć w ramach jednego postępowania.
Pierwsza, o której mowa w art. 83 ust. 5 lit. e RODO, ma charakter proceduralny i sankcjonuje brak kooperacji, utrudnianie kontroli lub nieudzielenie odpowiedzi. Jej górny limit to 10 milionów euro lub 2% rocznego obrotu.
Druga kara, znacznie surowsza, wynika z samego naruszenia przepisów rozporządzenia RODO – na przykład niezabezpieczenia danych czy ich przetwarzania bez podstawy prawnej. Tutaj sankcja może sięgnąć 20 milionów euro lub 4% obrotu.
Obie kary mogą zostać nałożone razem, co oznacza, że finalna kwota do zapłaty może być sumą obu tych wartości.
Jaka jest wysokość kary za brak współpracy z UODO?
Ostateczna kwota sankcji nie jest arbitralna. Prezes UODO, miarkując karę, zobligowany jest do analizy szeregu czynników wskazanych w art. 83 ust. 2 RODO.
Urząd ocenia charakter i wagę naruszenia, jego czas trwania oraz to, czy działanie miało charakter umyślny. Istotne są również wszelkie działania podjęte przez administratora w celu zminimalizowania szkody, stopień jego późniejszej współpracy z organem oraz historia ewentualnych wcześniejszych naruszeń.
Oczywiście, pod uwagę brana jest także sytuacja finansowa podmiotu, co zapewnia proporcjonalność kary.
To nie wszystko: ryzyko odpowiedzialności karnej za utrudnianie kontroli
Poza sankcjami administracyjnymi, polski ustawodawca przewidział również odpowiedzialność karną. Art. 108 Ustawy o ochronie danych osobowych stanowi jasno, że umyślne udaremnianie lub istotne utrudnianie kontroli jest przestępstwem. Czyn ten zagrożony jest grzywną, karą ograniczenia wolności, a nawet pozbawienia wolności do lat dwóch. To przenosi ryzyko z płaszczyzny czysto finansowej na osobistą odpowiedzialność osób zarządzających firmą.
Otrzymałeś pismo z UODO?
Prawidłowa reakcja na pismo z urzędu wymaga proceduralnego spokoju i metodyczności.
Proces rozpoczyna się od niezwłocznego zabezpieczenia dowodu odbioru korespondencji i precyzyjnej analizy jej treści, ze szczególnym uwzględnieniem zakreślonego terminu.
Następnie należy bezzwłocznie zidentyfikować wewnątrz organizacji osoby posiadające niezbędną wiedzę i dokumentację. Kluczowym i niepomijalnym krokiem jest jednak natychmiastowa konsultacja z wyspecjalizowanym w RODO radcą prawnym lub adwokatem.
To profesjonalny pełnomocnik, jakim jest radca prawny, jest w stanie ocenić ryzyko, pomóc w sformułowaniu bezpiecznej merytorycznie odpowiedzi i zapewnić jej terminowe złożenie w sposób gwarantujący dowód nadania.
Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?
Przykład z praktyki: 18 279 zł kary za zignorowanie dwóch pism z UODO
Przypadek spółki S. sp. z o.o. z Rybnika pokazuje, jak kosztowne może być lekceważenie korespondencji od Prezesa UODO (decyzja DKE.561.35.2022).
W lipcu 2022 roku do UODO wpłynęła skarga pracownika spółki S., który zarzucał firmie udostępnienie jego danych osobowych (w tym wynagrodzenia i numeru konta) osobom nieuprawnionym. Dane te znajdowały się we wzorze umowy o pracę.
Prezes UODO rozpoczął standardowe postępowanie wyjaśniające. 10 sierpnia 2022 – wysłał pierwsze pismo z prośbą o wyjaśnienia (odebrane 16 sierpnia). 3 października 2022 – wysłał drugie, ponaglające pismo z ostrzeżeniem o możliwej karze do 20 mln EUR (odebrane 6 października).
Spółka zignorowała oba pisma.
7 listopada 2022 roku Prezes UODO wszczął odrębne postępowanie w sprawie nałożenia kary pieniężnej. Spółka ponownie nie zareagowała – nie przedstawiła ani wyjaśnień, ani dokumentów finansowych.
Rezultat – decyzją z grudnia 2022 roku nałożono karę 18 279 zł (równowartość 4 000 EUR).
Dlaczego akurat taka kwota? Prezes UODO wziął pod uwagę okoliczności obciążające:
- Długotrwałość naruszenia: trwało od sierpnia do grudnia 2022 roku;
- Umyślność: spółka świadomie ignorowała pisma mimo ostrzeżeń;
- Brak jakiejkolwiek współpracy: nawet po wszczęciu postępowania.
Kara została wyliczona szacunkowo (spółka nie przedstawiła danych finansowych), uwzględniając wielkość firmy i rodzaj prowadzonej działalności (marketing ubezpieczeń, działalność holdingowa).
Kluczowe wnioski z tej sprawy:
- Kara była tylko za sam brak odpowiedzi: UODO nie rozstrzygnął nawet, czy faktycznie doszło do wycieku danych pracownika
- Ostrzeżenia były ignorowane: w drugim piśmie UODO wyraźnie wskazał na ryzyko kary do 20 mln EUR
- Spółka miała wiele szans na naprawę: mogła odpowiedzieć nawet po wszczęciu postępowania karowego, co zostałoby uznane za okoliczność łagodzącą
- Relatywnie niska kara (4 000 EUR) i tak jest dotkliwa: dla małej spółki to i tak znaczący wydatek
Ten przypadek doskonale ilustruje, że UODO nie stosuje kar maksymalnych, ale nawet „symboliczne” 4 000 EUR to koszt, którego można było łatwo uniknąć, odpowiadając na pisma w terminie.
Najczęściej zadawane pytania (FAQ)
Przegapiłem termin na odpowiedź do UODO – co teraz zrobić?
Po upływie terminu bierność jest najgorszym rozwiązaniem. Należy niezwłocznie podjąć proaktywne działania naprawcze: przygotować kompletną odpowiedź i złożyć ją w urzędzie wraz z pismem wyjaśniającym przyczyny opóźnienia. Taki krok nie gwarantuje uniknięcia kary, ale może być potraktowany jako istotna okoliczność łagodząca. Ważne jest to, że PUODO często ponawia prośbę o udzielenie informacji. Przegapienie terminu nie jest równoznaczne z brakiem możliwości działania.
Co jeśli moja odpowiedź na pismo UODO była niepełna?
Udzielenie odpowiedzi wymijającej lub niekompletnej może być traktowane na równi z brakiem odpowiedzi jednak wtedy PUODO zazwyczaj prosi o dodatkowe wyjaśnienia. Obowiązek współpracy, wynikający z art. 31 RODO, ma charakter realny. Organ nadzorczy oczekuje konkretnych i wyczerpujących informacji, a ich brak skutkować będzie ponownym wezwaniem i eskalacją problemu.
Jestem małą firmą, czy dla mnie kary też są tak wysokie?
Zasady RODO stosuje się do wszystkich administratorów, jednak zasada proporcjonalności jest kluczowa przy wymierzaniu kar. Sytuacja finansowa i skala działalności to jedne z kryteriów oceny, dlatego sankcja dla mikroprzedsiębiorcy będzie adekwatnie niższa niż dla korporacji. Nie zmienia to faktu, że pozostanie ona dotkliwa w relacji do jego możliwości.
Kto odpowiada za kontakt z UODO – zarząd czy IODO?
Pełna odpowiedzialność za przestrzeganie RODO, w tym za współpracę z urzędem, zawsze spoczywa na administratorze danych – czyli na firmie. Inspektor Ochrony Danych pełni funkcję doradczą i kontaktową, lecz nie przejmuje odpowiedzialności administratora. Kara finansowa obciąży więc bezpośrednio budżet przedsiębiorstwa.
Jak odwołać się od decyzji UODO?
Od decyzji Prezesa UODO przysługuje skarga do Wojewódzkiego Sądu Administracyjnego w Warszawie, którą należy wnieść w terminie 30 dni od jej doręczenia. Postępowanie toczy się na podstawie przepisów Ustawy – Prawo o postępowaniu przed sądami administracyjnymi i jest skomplikowanym procesem sądowym, który wymaga zaangażowania profesjonalnego pełnomocnika.
Podsumowanie
Grożą Ci dwie niezależne kary. Pierwsza, za sam brak współpracy z urzędem ochrony danych osobowych, może wynieść do 10 milionów euro lub 2% rocznego światowego obrotu. Druga, za naruszenie merytoryczne przepisów RODO (np. za sam wyciek danych), sięga nawet 20 milionów euro lub 4% obrotu. Obie kary mogą zostać nałożone w tej samej sprawie.
Ryzykujesz odpowiedzialnością karną. Świadome udaremnianie lub utrudnianie kontroli to przestępstwo zagrożone grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat dwóch, co precyzuje art. 108 Ustawy o ochronie danych osobowych.
„Jakakolwiek” odpowiedź nie wystarczy. Karze podlega nie tylko całkowite milczenie, ale również udzielanie odpowiedzi wymijających, niepełnych lub wprowadzających w błąd. Kluczowy jest obowiązek realnej współpracy.
Nieodebranie pisma nic nie zmienia. Prawo stosuje tzw. fikcję doręczenia. Oznacza to, że pismo dwukrotnie awizowane (nawet jeśli go fizycznie nie odbierzesz) uznaje się za prawnie doręczone, a terminy na odpowiedź zaczynają biec.
Postępowanie przed Prezesem UODO jest testem dojrzałości organizacyjnej i prawnej każdego przedsiębiorcy. Unikanie dialogu z regulatorem jest strategią krótkowzroczną i prowadzącą wprost do poważnych konsekwencji finansowych i prawnych. Jedyną skuteczną metodą zarządzania ryzykiem jest transparentna, terminowa i profesjonalnie przygotowana komunikacja. Jeśli otrzymałeś pismo z UODO, skontaktuj się z naszą kancelarią, aby uzyskać specjalistyczne wsparcie prawne.
Ochrona danych osobowych – Kancelaria After Legal
Kancelaria After Legal specjalizuje się w prawie nowych technologii i ochronie danych osobowych. Dla naszych klientów przeprowadzamy audyty zgodności z RODO i AI Act, opracowujemy niezbędną dokumentację i wdrażamy zmiany organizacyjne oraz prawne. Zapewniamy wsparcie doświadczonych profesjonalistów, którzy nie tylko doskonale znają obowiązujące przepisy, ale także rekomendacje organów nadzorczych i dobre praktyki. Zabezpieczymy Twój biznes!