Wiemy o problemach, próbujemy pomagać

Czy organ nadzorczy dostrzega problemy ze zgłaszaniem IOD poprzez formularz elektroniczny?

Od dłuższego czasu Urzędowi Ochrony Danych Osobowych sygnalizowane były problemy techniczne pojawiające się przy przesyłaniu zawiadomień o wyznaczeniu IOD. Urząd reagował na nie w miarę swoich możliwości, m.in. zamieszczając na swojej stronie internetowej pomocne wyjaśnienia (dostępne w materiale zamieszczonym pod linkiem https://uodo.gov.pl/pl/121/193 w części Pytania i odpowiedzi).

Przeważająca większość zgłaszanych nam problemów dotyczy nieskuteczności złożenia kwalifikowanego podpisu elektronicznego. Mogą one wynikać przede wszystkim z nieprawidłowej konfiguracji programu do składania podpisu. Przykładowo składany podpis musi być wewnętrznym (otaczanym) typem podpisu. Na platformie Biznes.gov.pl znajduje się wiele cennych wskazówek i informacji, jak należy prawidłowo skonfigurować popularne programy dedykowane podpisom elektronicznym (np. https://www.biznes.gov.pl/pl/firma/sprawy-urzedowe/chce-zalatwic-sprawe-w-urzedzie/dlaczego-warto-zalatwiac-sprawy-urzedowe-przez-biznes-gov-pl-i-jak-to-zrobic/okresl-ustawienia-programu-sigilium-sign-4).

Zaznaczyć przy tym należy, że UODO nie zarządza platformą Biznes.gov.pl od strony technicznej, a robi to Ministerstwo Przedsiębiorczości i Technologii. W sytuacji, kiedy wskazane wyżej instrukcje są nieskuteczne, należy kontaktować się z pomocą techniczną platformy.

Należy również wskazać, że dziennie tą drogą prezesowi UODO zgłaszanych jest nawet kilkuset inspektorów. Można zatem uznać, że przeważająca liczba administratorów nie ma problemów ze złożeniem zawiadomienia. Zawiadomienia, które skutecznie są dostarczone do UODO, są potwierdzane Urzędowym Poświadczeniem Przedłożenia (generowanym przez Biznes.gov.pl w postaci pliku UPP.xml) oraz informacją potwierdzającą wysyłaną automatycznie na adres e-mail podany przy zakładaniu konta.

Czy istnieje zatem jakaś alternatywa dla złożenia formularza przy użyciu kwalifikowanego podpisu elektronicznego?

Tak, można w tym celu wykorzystać podpis zaufany składany przez Profil Zaufany. Część administratorów argumentuje, że osoby upoważnione do reprezentacji nie mają profilu zaufanego. Należy jednak podkreślić, że założenie profilu zaufanego jest bezpłatne i proste, możliwe nawet bez wychodzenia z domu (za pomocą kwalifikowanego podpisu elektronicznego bądź konta bankowego).

Jednocześnie wiele osób mających problem ze złożeniem zawiadomienia o wyznaczeniu IOD przez platformę Biznes.gov.pl zwracało się z pytaniem, czy może wysłać zgłoszenie przez ePUAP. UODO potwierdził dopuszczalność takiego rozwiązania, zamieszczając jednocześnie na swojej stronie internetowej (pod wskazanym już linkiem) instrukcję, jak wysłać zawiadomienie o wyznaczeniu IOD przez ePUAP.

Czy można gdzieś zgłaszać nieprawidłowe działanie systemu?

W przypadku problemów ze składaniem wniosku przez platformę ePUAP wszelkie problemy techniczne (komunikaty o błędach systemowych bądź nieprawidłowe przekierowania) należy zgłaszać centrum pomocy użytkowników ePUAP w Centralnym Ośrodku Informatyki (podległym Ministerstwu Cyfryzacji), który odpowiada za działanie tej platformy.

Co powinni zrobić przedsiębiorcy, którym z powodów technicznych nie uda się złożyć wniosku w terminie? Czy grożą im kary?

Przepisy RODO nakładają na organ nadzorczy obowiązek ich egzekwowania. Niemniej jednak należy podkreślić, że samo stwierdzenie naruszeń przepisów RODO, stanowiących podstawę do nałożenia administracyjnej kary pieniężnej, nie obliguje organu do sięgnięcia po ten rodzaj sankcji. Może on bowiem skorzystać z szerokiego wachlarza przyznanych mu instrumentów i zastosować środki naprawcze o charakterze niepieniężnym, takie jak np. ostrzeżenie, upomnienie czy nakaz. Oceniając każdą sytuację indywidualnie, prezes UODO musi brać pod uwagę m.in. okoliczności naruszenia przepisów oraz to, jakie działania administrator podejmował w celu wywiązania się z ciążących na nim obowiązków.

Czy istnieje awaryjnie możliwość przesłania zgłoszenia w formie papierowej?

Jedynym prawidłowym i skutecznym sposobem zawiadomienia o wyznaczeniu IOD jest zawiadomienie w postaci elektronicznej, opatrzone kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP (o czym przesądził ustawodawca w art. 10 ust. 6 ustawy z 10 maja 2018 r. o ochronie danych osobowych). Mimo jednoznacznych wymogów co do formy zgłoszenia część administratorów, w tym z administracji publicznej, przesyła do urzędu zawiadomienia papierowe. W takich przypadkach nie może być mowy o skutecznym wywiązaniu się z obowiązku określonego w art. 37 ust. 7 RODO i art. 10 ustawy o ochronie danych osobowych. ©℗

fot. Materiały prasowe

Agnieszka Świątek-Druś rzecznik prasowy Urzędu Ochrony Danych Osobowych