Kary za brak realizacji obowiązku informacyjnego

Prezes Urzędu Ochrony Danych Osobowych wydał dotychczas tylko jedną decyzję nakładającą karę pieniężną w związku z niedopełnieniem przez administratora danych osobowych obowiązku informacyjnego. Była to jednocześnie pierwsza kara pieniężna w Polsce nałożona na przedsiębiorcę za naruszenie przepisów RODO. Spotkała się ona z bardzo szerokim odzewem, gdyż – poza oczywistym zainteresowaniem, jakie wzbudziła – okazała się być bardzo surowa (wyniosła prawie milion złotych). Co prawda, wskutek złożenia przez ukaraną spółkę skargi na decyzję PUODO kara została następnie uchylona przez sąd, jednak argumentację zastosowaną przez PUODO powinien poznać każdy administrator. Więcej o tym w dzisiejszym artykule. 

Co to jest obowiązek informacyjny?

Od kiedy pojawiło się RODO, każdy z nas spotkał się z pewnością z pojęciem „obowiązek informacyjny”. Każdy z nas otrzymał też zapewne, załatwiając swoją sprawę np. w urzędzie czy u operatora telefonii komórkowej, „nadprogramową” kartkę papieru, zatytułowaną dumnie „informacja RODO”. Czy jednak wszyscy rozumiemy, czym właściwie jest obowiązek informacyjny? 

Otóż RODO, mając na uwadze zapewnienie nam możliwości realizacji naszych uprawnień, nakłada na administratorów obowiązek przekazania nam pewnych informacji istotnych z punktu widzenia procedury zbierania danych i ich dalszego przetwarzania. Zakres obowiązku informacyjnego różni się w zależności od tego, czy dane zbierane są bezpośrednio od osób, których dotyczą, czy też z innych źródeł (np. od innych podmiotów niż podmiot danych, z jawnych ewidencji lub rejestrów publicznych, stron internetowych, itp.). Pierwszą sytuację reguluje art. 13, a drugą art. 14 RODO. Jednocześnie pewna grupa informacji, które należy podać, jest wspólna w obydwu przypadkach. Dotyczy to w szczególności:

  • informacji ujawniających tożsamość i dane kontaktowe administratora danych osobowych,
  • informacji o celach przetwarzania danych osobowych i podstawie prawnej przetwarzania, w tym informacji o prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią,
  • informacji o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, 
  • opisu praw osoby, której dane dotyczą – tak, by osoba ta była w stanie zrozumieć, jakie konsekwencje pociągnie za sobą dla niej przetwarzanie jej danych osobowych.

W przypadku, gdy dane nie pochodzą bezpośrednio od osoby, której dotyczą, RODO nakazuje administratorowi poinformować tę osobę dodatkowo o źródle pochodzenia danych osobowych (tzn. skąd administrator ma dane), a gdy ma to zastosowanie – podania informacji, czy dane pochodzą ze źródeł publicznie dostępnych. 

Informowanie podmiotu danych o ich przetwarzaniu jest szczególnie istotne zwłaszcza w przypadku, gdy administrator pozyskuje dane osobowe w inny sposób niż bezpośrednio od osoby, której one dotyczą. Osoba ta nie wie bowiem w ogóle o tym, że administrator przetwarza jej dane, a co za tym idzie, nie może skorzystać z przysługujących jej uprawnień dotyczących kontroli przetwarzania danych. Dopiero w momencie gdy dowiaduje się o fakcie przetwarzania, może  żądać wglądu do danych, skorygowania danych nieprawidłowych, a nawet ich usunięcia. Jednocześnie prawodawca umożliwia administratorowi zwolnienie się z obowiązku podania informacji względem osób, których dane pozyskał z innych źródeł w sytuacji, kiedy udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.      

Kiedy i w jaki sposób należy zrealizować obowiązek informacyjny?

Informacje na temat przetwarzania danych osobowych powinny zostać przekazane podczas ich pozyskiwania, a w przypadku gromadzenia danych z innych źródeł – w rozsądnym terminie po pozyskaniu danych osobowych. W tym drugim przypadku termin realizacji obowiązku został zatem pozostawiony uznaniu administratora danych, który powinien ocenić swoje faktyczne możliwości w tym zakresie. Prawodawca ograniczył jednak swobodę decyzji administratora, ustanawiając termin maksymalny – przekazanie informacji powinno nastąpić najpóźniej w ciągu miesiąca od pozyskania danych.

Przepisy RODO nie wskazują konkretnych wytycznych co do formy realizacji obowiązku informacyjnego. Oznacza to, że obowiązek ten może być wykonany przez administratora w różny, dostosowany do specyfiki działalności administratora sposób (np. z wykorzystaniem strony internetowej, poprzez wiadomość email, przekazanie pocztą tradycyjną, a nawet w kontaktach osobistych lub rozmowie telefonicznej).   

Co na to PUODO?

Wspomniana jedyna jak dotąd w Polsce kara pieniężna nałożona przez PUODO za brak realizacji obowiązku informacyjnego dotyczyła spółki Bisnode D&B Polska sp. z o.o. i zapadła w marcu 2019 r. (decyzja). 

Ukarana spółka jest tzw. wywiadownią gospodarczą – w celach zarobkowych dostarcza swoim klientom informacji o kontrahentach. Dane pozyskuje ze źródeł ogólnie dostępnych, w tym z rejestrów publicznych, zaś wartością jej usługi jest porządkowanie pozyskanych informacji w określony, żądany przez klienta sposób. 

W ramach swojej działalności spółka pozyskiwała i przetwarzała dane osób fizycznych prowadzących działalność gospodarczą, pochodzące m. in. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, z bazy REGON Głównego Urzędu Statystycznego oraz z Monitora Sądowego i Gospodarczego. W momencie kontroli PUODO spółka posiadała w swojej bazie 7.594.636 rekordów danych dotyczących osób fizycznych, z czego obowiązek informacyjny spełniła jedynie wobec 682 439 osób, w przypadku których posiadała adresy mailowe. W odniesieniu do pozostałych osób, pomimo posiadania ich numerów telefonów i adresów do korespondencji, spółka ograniczyła się do zamieszczenia treści klauzuli informacyjnej na swojej stronie internetowej. Wskutek powyższego bardzo wiele osób, których dane przetwarzała spółka, nie miało o tym pojęcia. Za niedopełnienie obowiązku informacyjnego wobec prawie 7 mln osób Prezes UODO ukarała spółkę karą pieniężną w wysokości 943.470,00 złotych. Nakazała także spółce dopełnienie obowiązku podania informacji określonych w art. 14 ust. 1 i 2 RODO osobom fizycznym, których dane przetwarza, prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalności, którym informacje te nie zostały podane – w terminie trzech miesięcy od dnia doręczenia decyzji.   

Decyzja wzbudziła duże kontrowersje – z powodu wysokości kary pieniężnej, ale także dlatego, że dotyczyła danych pozyskanych z jawnych rejestrów, a ponadto – jak podnosiła ukarana spółka – spełnienie obowiązku informacyjnego kosztowałoby ją miliony złotych. Jednak zdaniem PUODO stwierdzone naruszenie miało poważny charakter, gdyż odnosiło się do podstawowych praw i wolności osób, których dane przetwarza spółka, a ponadto dotyczyło jednej z podstawowych kwestii, jaką jest informacja o tym, że dane są przetwarzane. W ocenie Prezes UODO samo zamieszczenie na stronie internetowej treści klauzuli informacyjnej skierowanej do osób, w przypadku których spółka posiadała adresy korespondencyjne bądź numery telefonu, było niewystarczające –, tym bardziej że nie wiązało się dla spółki z kosztami ustalania danych kontaktowych tych osób. 

Spółka Bisnode nie zgodziła się z nałożoną na nią karą i zaskarżyła decyzję PUODO do WSA w Warszawie, który wyrokiem zapadłym w grudniu 2019 r. (wyrok) uchylił nakaz dopełnienia przez spółkę obowiązku informacyjnego wobec osób, które zawiesiły lub zakończyły działalność gospodarczą oraz uchylił w całości nałożoną na spółkę karę pieniężną. WSA zgodził się z UODO, że samo umieszczenie informacji wymaganych przez art. 14 RODO na stronie internetowej w okolicznościach sprawy nie może zostać uznane za wystarczające spełnienie obowiązku informacyjnego. Jednocześnie jednak przyznał rację spółce Bisnode wskazując, że określone w RODO kryteria nakładania administracyjnych kar pieniężnych w postaci skuteczności, proporcjonalności i odstraszającego charakteru, odnoszone powinny być do konkretnego podmiotu, który dopuścił się naruszenia przepisów rozporządzenia. Na wymiar tej kary nie może zaś mieć wpływu cel PUODO. w postaci zamiaru odstraszenia innych administratorów. Jednocześnie WSA podjął w wyroku próbę interpretacji określenia „niewspółmiernie dużego wysiłku” w realizacji obowiązku informacyjnego wskazując, że w pojęciu tym nie chodzi o wydatek finansowy na samą realizację możliwego do spełnienia obowiązku, ale o rzeczywistą trudność w tym, aby w ogóle mieć możliwość jego realizacji. Interes finansowy administratora nie jest bowiem i nie może być wartością przeważającą nad prawem do uzyskania przez osobę fizyczną, której dane administrator przetwarza, informacji o zasadach tego przetwarzania. W związku z zapadłą decyzją WSA zlecił UODO ponowne rozpoznanie sprawy w zakresie wysokości kary z uwzględnieniem wskazanych w wyroku wytycznych.  

A jak to jest w innych krajach?

Organy nadzorcze w innych krajach UE nie boją się wymierzać wysokich kar za niedopełnienie przez administratorów ciążących na nich obowiązków informacyjnych. Dużym echem odbiła się zwłaszcza sprawa należącej do niemieckiego giganta chemicznego Bayer spółki Monsanto, która otrzymała od CNIL (francuskiego urzędu ochrony danych osobowych) karę w wysokości 400.000,00 euro za niepoinformowanie o gromadzeniu i zasadach przetwarzania danych osobowych osób, które znalazły się na tzw. listach obserwacyjnych, sporządzonych w kontekście debaty publicznej na temat środka chwastobójczego glifosat (stanowiącego podstawowy składnik flagowego produktu korporacji Monsanto o nazwie Roundup). Wysokie kary otrzymały również m. in. szwedzki Klarna Bank AB (720.000,00 euro) czy włoska filia kontrowersyjnej spółki Clearview AI (20.000.000,00 euro), choć w tym ostatnim przypadku kara dotyczyła naruszeń o dużo szerszej skali niż samo niewypełnienie obowiązku informacyjnego. Jednocześnie praktyka organów nadzorczych w UE pokazuje, że w przypadku naruszeń mniejszej wagi kary pieniężne są niższe, ale nieuniknione.    

Jakie stąd wnioski?

Pomimo tego, że Wojewódzki Sąd Administracyjny w Warszawie uchylił karę pieniężną nałożoną przez PUODO na spółkę Bisnode, argumentacja urzędu, jeśli chodzi o podstawy i przesłanki nałożenia kary, została przez sąd podtrzymana. Oznacza to, że spełnienie obowiązku informacyjnego wobec podmiotów danych stanowi must-have, a lekceważenie tego obowiązku wiąże się z wysokim ryzykiem nałożenia kary przez PUODO. 

 

 

Kary dotyczące przetwarzania danych osobowych szczególnych kategorii

Wśród kilkudziesięciu kar finansowych, nałożonych w Polsce od wejścia RODO, zdarzały się przypadki bardzo głośne, szeroko komentowane w mediach i sieci. Jeden z nich dotyczył naruszenia przez administratora obowiązków dotyczących przetwarzania danych szczególnych kategorii – konkretnie zaś danych biometrycznych. Dziś więcej o tym zagadnieniu. 

Przedostatnim uczestnikiem naszego rankingu przepisów RODO sprawiających największe trudności przedsiębiorcom jest art. 9 RODO. Poniżej kilka uwag o tym, jak  w świetle praktyki Prezesa UODO przetwarzać dane szczególnych kategorii — przede wszystkim zaś dane biometryczne — by nie narazić się na karę i wątpliwą sławę medialną, a także o tym, co w tym zakresie może zmienić się w niedalekiej przyszłości.

Czego dotyczy art. 9 RODO?

Zgodnie z art. 9 ust. 1 RODO, zabronione jest — co do zasady — przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, biometryczne, przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. Wszystkie te dane określa się łącznie mianem danych szczególnych kategorii (przed wejściem w życie RODO dane te były określane także jako dane wrażliwe lub sensytywne).

Dodatkowo warto przypomnieć, że art. 4 pkt 14 RODO wyjaśnia, iż dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Są to więc takie informacje, jak  wizerunek twarzy lub dane daktyloskopijne (przy czym wyliczenie zawarte w przepisie ma charakter jedynie przykładowy – rodzajem danych biometrycznych są też m.in. cechy tęczówki oka, układ naczyń krwionośnych, głos, kształt małżowiny usznej, podpis uwzględniający nacisk i poziom nachylenia pisma, dynamika pisania na klawiaturze).

Przetwarzanie danych szczególnych kategorii jest możliwe wyjątkowo, jedynie jeśli zaistnieje jedna z przesłanek legalizujących, wyliczonych w art. 9 ust. 2 RODO. Wyliczenie to obejmuje aż 10 różnych sytuacji, a wśród nich tę, na którą najczęściej próbują powoływać się administratorzy, czyli zgodę podmiotu danych.

Wzmiankowany przepis stanowi, że zakaz przetwarzania danych szczególnych kategorii nie ma zastosowania, jeśli osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu (art. 9 ust. 2 lit. a RODO).

Czy w Polsce są już przykłady postępowań dotyczących przetwarzania danych osobowych szczególnych kategorii, które zakończyły się nałożeniem kary? 

Do tej pory opublikowana została jedna decyzja Prezesa UODO, w której nałożona kara dotyczyła przetwarzania danych szczególnych kategorii. Sprawa ta jest natomiast bardzo głośna, a także doniosła z prawnego punktu widzenia, bo może na długo ukształtować standard dot. przetwarzania danych biometrycznych w zgodności z RODO. Ale po kolei…

Szkoła podstawowa w G., czyli „obiad za odcisk palca” lub „szkolne Guantanamo” * (treść decyzji)

Postępowanie prezesa UODO, co ciekawe wszczęte z urzędu, dotyczyło przetwarzaniu danych osobowych uczniów szkoły podstawowej w postaci odcisków palców dzieci korzystających z usług stołówki szkolnej.

Szkoła korzystała z czytnika biometrycznego umieszczonego przy wejściu do stołówki. Służył on do identyfikacji dzieci i weryfikacji uiszczenia opłaty za posiłek w danym dniu. Szkoła pozyskiwała dane (odciski palców) na podstawie pisemnej zgody rodzica (opiekuna prawnego).

Szkoła w postępowaniu podnosiła, że istniał również alternatywny system identyfikacji (nieoparty na danych biometrycznych). Na ponad 1200 uczniów szkoły prawie 700 było objętych identyfikacją biometryczną, zaś tylko 2 uczniów systemem alternatywnym (pozostali uczniowie nie korzystali ze stołówki). Ponadto, mimo iż teoretycznie istniał alternatywny system identyfikacji  osób uprawnionych do otrzymywania  obiadów, w postępowaniu okazało się, że był on mocno dyskryminujący. Zgodnie bowiem z zasadami wydawania posiłków — uczniowie, którzy nie posiadali identyfikacji biometrycznej, musieli przepuszczać wszystkich i oczekiwać na końcu kolejki. Obiad był im podawany, gdy wszyscy uczniowie z identyfikacją biometryczną weszli do stołówki. Dopiero wtedy rozpoczynało się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej.

Szkoła w postępowaniu podnosiła także, że nie posiada żadnego zbioru, który zawierałby obrazy linii papilarnych dzieci. Po podpisaniu umowy na obiady oraz wyrażeniu przez rodzica zgody na korzystanie z czytnika biometrycznego, dziecko było rejestrowane w systemie ewidencji wpłat i posiłków (SEWiP), poprzez wprowadzenie jego imienia, nazwiska, klasy oraz danych rodzica – imienia, nazwiska, adresu e-mail, tel. kontaktowego. Następnie dochodziło do rejestracji wzorca odcisku palca dziecka w czytniku. Od tego momentu wzorzec identyfikowany był przez ww. system za pomocą liczby porządkowej w czytniku. Dane związane z odciskiem palca gromadzone były jedynie w samym czytniku w postaci zapisu ciągu bajtów. Czytnik w momencie znalezienia wzorca biometrycznego, odpowiadającego w danym momencie przyłożonemu odciskowi palca, wysyłał do systemu numer, który w systemie przypisany był danej osobie i następie odczytywał status obiadu (opłacony/nieopłacony). Zdaniem placówki, to powodowało, że przetwarzane dane nie były danymi biometrycznymi.

Po rozwiązaniu umowy o korzystanie z obiadów w stołówce dane potrzebne do identyfikacji na odcisk palca, czyli ciąg bajtów zapisany w czytniku, były usuwane.

Zbrodnia … – czyli na czym polegało naruszenie art. 9 RODO, za które ukarał Prezes UODO?

Analiza decyzji Prezesa UODO pokazuje, że kara pieniężna została nałożona za przetwarzanie danych szczególnych kategorii w postaci danych daktyloskopijnych (stanowiących dane biometryczne) bez podstawy prawnej.

Prezes UODO podkreślił, że pozyskane przez szkołę dane uczniów (odciski palców) stanowią dane biometryczne, a przetworzenie tych danych do postaci zapisu cyfrowego nie zmienia ich charakteru. W wyniku zestawienia wzorca biometrycznego zarejestrowanego na urządzeniu z palcem dziecka przyłożonym do czytnika biometrycznego, a także pozostałymi informacjami, możliwa jest bowiem identyfikacja danego dziecka.

Prezes UODO wskazał także, że szkoła nie posiadała odpowiedniej podstawy do przetwarzania takich danych. W szczególności zwrócił uwagę na to, iż:

  1. podstawą do przetwarzania danych osobowych dzieci przez szkołę w celu realizacji jej ustawowych zadań (a takim jest zapewnienie prawidłowej realizacji zadań opiekuńczych, w szczególności wspieranie prawidłowego rozwoju uczniów, dla którego to celu szkoła może zorganizować stołówkę) jest art. 6 ust. 1 lit. e RODO, zgodnie z którym przetwarzanie jest zgodne z prawem między innymi gdy jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  2. podstawą przetwarzania danych biometrycznych dzieci nie mogła być zatem zgoda (art. 9 ust. 2 lit. a RODO), gdyż ta stanowi podstawę legalizującą przetwarzanie danych osobowych szczególnych kategorii jedynie wtedy, gdy nie istnieją inne przesłanki przetwarzania;
  3.  przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu (można przeprowadzić identyfikację za pomocą innych środków, mniej ingerujących w prywatność dziecka i wykorzystujących mniejszą ilość danych osobowych);
  4. weryfikacja tego, kto zamierza skorzystać z usług stołówki i czy jest uprawniony do odbioru obiadu, poprzez pozyskane od uczniów dane biometryczne, stanowi zbyt dużą ingerencję w ich prywatność, w zestawieniu z powagą celu, w jakim mają być przetwarzane (brak jest adekwatności przetwarzania).

Prezes UODO w kontekście rozważań o zgodzie na przetwarzanie, wskazał również, że — nawet gdyby poszukiwać przesłanki legalizującej w zgodzie — nie  byłyby spełnione przesłanki uznania takiej zgody za dobrowolną (ze względu na wyraźny brak równowagi między osobą, której dane dotyczą a administratorem, a także ze względu na skrajnie dyskryminujące traktowanie uczniów korzystających z innych niż biometryczna form identyfikacji).

Reasumując, warto zauważyć, że omawiana decyzja utrzymała dotychczasową linię polskiego organu nadzorczego w zakresie przetwarzania danych biometrycznych, wykształconą jeszcze przed wejściem w życie RODO.

… i kara – czyli jaką karę nałożył Prezes UODO? 

Za naruszenie przepisów dotyczących podstawowych zasad przetwarzania danych szczególnych kategorii, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 9 RODO, Prezes UODO może nałożyć — co do zasady — karę pieniężną w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa — w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 5 lit a RODO).

W kontekście omawianej sprawy trzeba jednak pamiętać, że polska ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (na podstawie art. 83 ust. 7 RODO) zastrzega niższe kary dla jednostek sektora finansów publicznych — a taką jest szkoła publiczna. W przypadku takich podmiotów maksymalna kara to 100.000 zł (za wyjątkiem państwowych i samorządowych instytucji kultury — tu maksymalna kara jest jeszcze niższa, bo tylko 10.000 zł).

Ustalając wysokość kary, organ uwzględnia szereg czynników: charakter i  wagę stwierdzonego naruszenia, czas jego trwania, ewentualną umyślność działania, działania podjęte przez administratora w celu zminimalizowania szkody, stopień odpowiedzialności administratora,  sposób dowiedzenia się o naruszeniu, liczbę poszkodowanych, czy możliwości poniesienia kary przez dany podmiot.

W przypadku szkoły podstawowej w G. nałożona kara była dużo niższa niż maksymalny limit — wynosiła  20.000 zł.

Warto podkreślić, że taka wysokość kary została ustalona, pomimo iż — zgodnie  z motywem 38 RODO — dane  osobowe dzieci wymagają szczególnej ochrony (dzieci jako podmioty danych mogą bowiem być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych), a zatem stwierdzone naruszenie winno być oceniane szczególnie surowo.

Niespodziewany zwrot akcji (treść wyroku WSA)

Decyzja Prezesa UODO i nałożona kara zostały zakwestionowane przez ukaraną szkołę. Sprawa trafiła więc na wokandę WSA w Warszawie.

Szkoła, skarżąc decyzję, podniosła m.in. że:

  1. zgoda rodzica (opiekuna prawnego) może być przesłanką legalizującą przetwarzanie danych biometrycznych (tym bardziej, że to rodzice wystąpili z inicjatywą zastosowania czytnika biometrycznego na odcisk palca);
  2. przed wprowadzeniem czytnika na odcisk palca, stosowała czytnik na elektroniczną kartę, lecz system ten nie spełniał do końca założonego celu weryfikacji uiszczenia opłaty za posiłek w danym dniu, ponieważ dzieci zbyt często gubiły lub zapominały zabrać z domu kartę.

Prezes UODO podtrzymał natomiast swoje stanowisko wyrażone w decyzji.

WSA w swoim orzeczeniu zaskoczył, odstępując od poglądów zawartych we wcześniejszych rozstrzygnięciach sądów administracyjnych (wydanych jeszcze przed wejściem RODO), które kwestionowały przetwarzanie danych biometrycznych na podstawie zgody ze względy na naruszenie ogólnych zasad przetwarzania, tj. brak adekwatności i niezbędności takiego przetwarzania (tak np. wyrok NSA z 1 grudnia 2009 r., sygn. akt I OSK 249/09).

W wyroku z 7 sierpnia 2020 r. (sygn. akt II SA/Wa 809/20) WSA w Warszawie uznał, że szkoła mogła przetwarzać dane biometryczne uczniów korzystających ze szkolnej stołówki. Choć bowiem przetwarzanie danych szczególnych kategorii jest — co do zasady — zabronione, to zgoda na przetwarzanie podmiotu danych (tu jego opiekuna prawnego) zakaz ten uchyla.

Ponadto, w ocenie WSA organ nadzorczy dokonał błędnej wykładni art. 5 ust. 1 lit. c RODO i wyrażonej w nim zasady minimalizacji danych, gdyż w sposób nieuprawniony pominął w ramach jej oceny istotny aspekt adekwatności i stosowności przetwarzania danych. To prowadziło w konsekwencji do zbyt rygorystycznego postrzegania tej zasady. Sąd zakwestionował odczytywanie z analizowanego przepisu normy nakazującej ograniczenie danych jedynie do niezbędnego minimum i przetwarzanie tylko takich danych, bez których nie da się osiągnąć celu, uznając to za interpretacją zbyt daleko idącą.

WSA podkreślił, że wymóg niezbędności przetwarzania należy odczytywać łącznie z wymogiem adekwatności i stosowności, co powinno pozwolić na uwzględnienie okoliczności i dopuszczenie przetwarzania danych, które w istotny sposób mogą pomóc osiągnąć cele przetwarzania.

WSA zauważył, że w praktyce często zdarza się, że cel można osiągnąć łatwiej, szybciej i taniej, wykorzystując dane, bez których osiągnięcie podstawowego celu jest możliwe. Restrykcyjna wykładnia przepisu prezentowana przez Prezesa UODO uniemożliwia natomiast w praktyce przetwarzanie jakichkolwiek innych danych niż tylko te, bez których cel nie może zostać osiągnięty.

Sąd nie zgodził się z taką wykładnią i uznał, że dopuszczalne jest przetwarzanie danych w nieco szerszym zakresie niż minimum, jeśli dane te mają ścisły związek z realizacją celu. Wystarczy zatem, że  przetwarzane dane „istotnie” wspomagają osiąganie celów przetwarzania, choćby samo ich osiągnięcie mogło być teoretycznie możliwe także bez nich.

Ciąg dalszy nastąpi…

Sprawa nie jest jeszcze zamknięta, bo z wyrokiem WSA nie zgodził się Prezes UODO. Jego skarga kasacyjna złożona w marcu 2021 r., którą poparł Rzecznik Praw Dziecka, wciąż czeka na rozpoznanie.

Utrzymanie przez NSA orzeczenie sądu pierwszej instancji, będzie oznaczało dużą zmianę i uelastycznienie zasad przetwarzania danych biometrycznych. Przychylenie się natomiast do skargi Prezesa UODO oznaczać może, że w przyszłych latach kar za naruszanie art. 9 RODO będzie więcej (podobnie jak ma to miejsce w innych państwach UE, takich jak Włochy, gdzie naruszenie tego przepisu jest jedną z częstszych przyczyn nałożenia kary).

* określenia pochodzą z publikacji medialnych na temat decyzji Prezesa UODO

Kary dotyczące uwzględniania ochrony danych w fazie projektowania

KARY DOTYCZĄCE UWZGLĘDNIANIA OCHRONY DANYCH W FAZIE PROJEKTOWANIA
ORAZ DOMYŚLNA OCHRONA DANYCH OSOBOWYCH

(PRIVACY BY DESIGN I BY DEFAULT)

Zgodnie z art. 25 RODO, każdy administrator danych osobowych jest zobowiązany zapewnić domyślną ochronę danych osobowych (privacy by default) oraz ich ochronę już w fazie projektowania tj. przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania (privacy by design).

Jak wykazaliśmy w  rankingu przepisów RODO sprawiających największe trudności przedsiębiorcom, naruszenia ww. obowiązków uplasowały się na 6 miejscu. Jeżeli jesteś ciekawa/y, co w praktyce oznacza „privacy by design” i „privacy by default”, w jaki sposób można naruszyć obowiązki z tym związane oraz na co Prezes UODO zwracał uwagę, badając sprawy dot. naruszenia RODO w tym kontekście – zapraszamy do zapoznania się z artykułem.

Privacy by design i by default – ogólnie i w skrócie.

Jak czytamy w Wytycznych nr 4/2019 wydanych przez Europejską Radę Ochrony Danych Osobowych (dalej: „EROD”):

„Administratorzy powinni uwzględnić ochronę danych w fazie projektowania oraz domyślną ochronę danych odpowiednio wcześnie, na etapie planowania kolejnej operacji przetwarzania. Wdrażają oni ochronę danych w fazie projektowania oraz domyślną ochronę danych przed przetwarzaniem, a także w sposób ciągły podczas przetwarzania, dokonując regularnych przeglądów skuteczności wybranych środków
i zabezpieczeń. Ochronę danych w fazie projektowania oraz domyślną ochronę danych stosuje się również do istniejących systemów, które przetwarzają dane osobowe.”

W takim razie, co to jest privacy by designprivacy by default?

Privacy by design to nic innego jak obowiązek uwzględnienia ochrony danych osobowych już na etapie planowania, projektowania kolejnego procesu obejmującego przetwarzanie danych, a następnie ciągła weryfikacja zastosowanych środków i zabezpieczeń podczas przetwarzania.

Natomiast privacy by default w dużym skrócie polega na przyjęciu takich zasad czy ustawień dot. przetwarzania danych, które domyślnie maksymalnie chronią prywatność osoby, której dane dotyczy (bez konieczności podjęcia przez tę osobę żadnych działań).

Koncepcja wynikająca z tego przepisu opiera się na proaktywnym i prewencyjnym podejściu administratora polegającym na zapewnianiu bezpieczeństwa danym osobowym na każdym etapie ich żywotności tj. od momentu ich zgromadzenia, aż do ich usunięcia.

Privacy by design, czyli ochrona danych w fazie projektowania.

Skoro już rozszyfrowaliśmy pojęcie „privacy by design”, to co dalej? Z perspektywy RODO, najistotniejszy jest rezultat uwzględnienia ochrony danych osobowych w fazie projektowania, którym powinna być:

  • skuteczna realizacja zasad ochrony danych (szerzej o tych zasadach pisaliśmy w tym artykule ) oraz
  • nadanie przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.

Administrator ma obowiązek wdrożyć takie środki, które będą skutecznie realizować powyższe zasady, mając na uwadze szereg czynników wprost wymienionych w art. 25 RODO, a którymi są:

  • stan wiedzy technicznej;
  • koszt wdrażania;
  • charakter, zakres, kontekst i cele przetwarzania;
  • ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania.

Po rozpoczęciu procesu przetwarzania z uwzględnieniem ww. czynników administrator ma obowiązek stale i na bieżąco monitorować wdrożone środki ochrony danych osobowych. To z kolei obejmuje nie tylko dokonywanie odpowiednich przeglądów i aktualizacji, ale także podjęcie natychmiastowej reakcji w przypadku konieczności ich zmiany np. z uwagi na zmianę ryzyka, postęp technologiczny itp.

Co ważne, administrator powinien być w stanie wykazać zgodność przyjętych środków z obowiązującymi zasadami oraz fakt ich bieżącego monitorowania!

Privacy by default, czyli domyślna ochrona danych osobowych.

Administrator powinien wybrać i wdrożyć ustawienia ochrony danych w taki sposób, aby domyślnie przetwarzać tylko te dane, które są ściśle niezbędne do osiągnięcia określonego, zgodnego z prawem celu. Powyższy obowiązek odnosi się do:

  • ilości zbieranych danych osobowych,
  • zakresu ich przetwarzania,
  • okresu ich przechowywania oraz
  • dostępności do danych osobowych.

Oznacza to, że domyślnie administrator danych nie powinien: (i) gromadzić większej liczby danych niż jest to niezbędne, (ii) przetwarzać zgromadzonych danych w zakresie większym niż jest to niezbędne do realizacji celów, ani (iii) przechowywać danych dłużej niż jest to niezbędne.

Tytułem przykładu, jeżeli administrator przetwarza dane osobowe użytkowników danej aplikacji, jej domyślne ustawienia powinny zakładać najdalej posunięte zabezpieczenia prywatności tego użytkownika. Ewentualne ograniczenie tych zabezpieczeń powinno wymagać jego wyraźnego działania.

Jakie środki ochrony danych należy wdrożyć? 

Wg EROD – co do zasady dowolne. Przepisy RODO nie zawierają katalogu dopuszczalnych środków technicznych i organizacyjnych oraz zabezpieczeń, z których może skorzystać administrator.

Ważne, aby były one odpowiednie tj. dostosowane do osiągnięcia zamierzonego celu = muszą one skutecznie realizować zasady ochrony danych (co administrator powinien być w stanie wykazać).

Wytycznych nr 4/2019 EROD podano następujące przykłady środków technicznych i organizacyjnych oraz zabezpieczeń służących ochronie danych osobowych:

  • pseudonimizację danych osobowych;
  • przechowywanie danych osobowych dostępnych w ustrukturyzowanym formacie, powszechnie nadającym się do odczytu maszynowego;
  • umożliwienie osobom, których dane dotyczą ingerencji w przetwarzanie;
  • dostarczanie informacji na temat przechowywania danych osobowych;
  • dysponowanie systemami wykrywania złośliwego oprogramowania;
  • szkolenie pracowników w zakresie podstawowej higieny pracy w cyberprzestrzeni;
  • wdrażanie systemów zarządzania prywatnością i bezpieczeństwem informacji, zobowiązujących umownie podmioty przetwarzające do wdrożenia określonych praktyk w zakresie minimalizacji danych itp.

A co jeżeli korzystam z podmiotu przetwarzającego?

Jak podkreśla Prezes UODO, adresatami ww. obowiązków są wyłącznie administratorzy.

Jeżeli administrator powierzył przetwarzanie danych osobowych innemu podmiotowi na podstawie art. 28 RODO, jest on odpowiedzialny za realizację obowiązków w zakresie ochrony danych w fazie projektowania oraz domyślnej ochrony danych z tytułu przetwarzania danych przez jego podmioty przetwarzające i podmioty podprzetwarzające, chyba że co innego wprost zastrzeżono w umowie z tymi podmiotami.

Decyzje UODO dot. naruszenia art. 25 RODO.

  • Krajowa Szkoła Sądownictwa i Prokuratury (decyzja)

KSSIP nie zastosowała odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej KSSIP, a tym samym niewłaściwe uwzględniła ryzyko związane ze zmianami w procesie przetwarzania.Naruszenie art. 25 RODO w zw. z naruszeniem art. 5 ust. 1 lit. f) oraz art. 32 ust. 1 i 2 RODO, sprowadzało się w tym przypadku do niepodjęcia wystarczających działań mających na celu zweryfikowanie bezpieczeństwa środowiska przetwarzania przed rozpoczęciem działań migracyjnych, jak i po ich zakończeniu, w szczególności zaniechanie weryfikacji, czy we wskazanej przez KSSIP lokalizacji nadal znajduje się kopia bazy danych platformy szkoleniowej KSSIP.W konsekwencji PUODO nałożył na KSSIP karę pieniężną wysokości 100 tys. zł.

Spółka akcyjna dobrała nieskuteczne zabezpieczenia systemu informatycznego oraz nie dokonywała odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w swoich systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia.Skutkiem ww. naruszenia było przełamanie zabezpieczeń systemu informatycznego spółki wykorzystywanego przez nią do przetwarzania danych osobowych, a następnie zaszyfrowaniu przetwarzanych w nim danych. W konsekwencji spółka została pozbawiona dostępu do ww. systemu oraz znajdujących się w nim danych osobowych.Naruszenie art. 25 RODO uwidoczniło się w powyższej sprawie na etapie weryfikacji przez PUODO realizacji obowiązku stałego monitorowania stosowanych zabezpieczeń. Spółka korzystała bowiem z oprogramowania, dla którego nie były wydawane aktualizacje. Wobec braku zastosowania przez administratora danych innych środków technicznych i organizacyjnych PUODO stwierdził, że spółka nie zapewniła odpowiedniego zabezpieczenia danych przetwarzanych przy użyciu ww. oprogramowania.Prezes UODO uznał, że w ustalonych okolicznościach wystarczającym środkiem jest udzielenie spółce upomnienia.

  • ID Finance Poland Sp. z o.o. w likwidacji (decyzja)

ID Finance Poland dopuściło się naruszenia RODO poprzez niewdrożenie, zarówno w fazie projektowania procesu przetwarzania jak i w czasie samego przetwarzania, odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych, a także zapewniających zdolność skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniających regularną ocenę skuteczności tych środków.Skutkiem powyższego naruszenia było uzyskanie przez osoby trzecie nieuprawnionego dostępu do przetwarzanych danych osobowych.Naruszenie art. 25 RODO przez ID Finance Poland polegało m.in. na braku jakiejkolwiek weryfikacji dot. stosowanych zabezpieczeń ochrony danych osobowych w postaci haseł użytkowników serwisu moneyman.pl (serwis, z którego administrator pozyskiwał dane klientów). Hasła użytkowników były przechowywane otwartym tekstem i z uwagi na roboczy charakter tej funkcjonalności oraz dostęp ograniczonej liczby osób, baza ta nie została „zaszyfrowana”.PUODO wymierzył spółce łączną karę pieniężną w wysokości 1.069.850, 00 zł.

PUODO wymierzyło spółce Morele.net karę pieniężną w wysokości 2.830.410 zł m.in. za naruszenie art. 25 RODO, które polegało na zaniechaniu podjęcia działań mających na celu ocenę doboru środków technicznych i organizacyjnych służących ochronie danych przez pryzmat adekwatności do ryzyk.Spółka, będąc w trakcie dostosowywania wewnętrznych procesów i procedur do RODO, przeprowadziła analizę ryzyka w sposób niesformalizowany, tj. nie posiadała wystarczających dowodów na jej przeprowadzenie. Dodatkowo wywiązywała  się z tego obowiązku jedynie częściowo, weryfikując wyłącznie poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu — na  co wskazują audyty bezpieczeństwa funkcjonujących już systemów informatycznych służących do przetwarzania danych klientów spółki. Natomiast dokonywanie przeglądów i aktualizacja wdrożonych rozwiązań są wymogiem wynikającym m.in. z art. 25 RODO.

Jak wysokiej kary należy się spodziewać?

Naruszenie powyższych obowiązków stanowi przesłankę do nałożenia niższej administracyjnej kary pieniężnej tj. w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Jaki z tego wniosek?

Planując jakiekolwiek przedsięwzięcie lub nowy proces, który może objąć przetwarzanie danych osobowych, dokładnie przeanalizuj i udokumentuj, w jaki sposób je zabezpieczysz oraz jakie środki techniczne i organizacyjne zastosujesz.

Możesz również rozważyć przeprowadzenie oceny skutków dla ochrony danych (data protection impact assessement).

Pamiętaj, aby nie gromadzić danych w nadmiarze (na zapas) i nie przetwarzać ich dłużej niż naprawdę tego potrzebujesz oraz co istotne – na bieżąco weryfikuj stosowane zabezpieczenia, środki techniczne i organizacyjne pod kątem tego, czy są one nadal aktualne i adekwatne.

Dziękujemy, że jesteś z nami i przeczytałeś do końca!

Możliwe, że zainteresują Cię również pozostałe nasze wpisy z serii praktycznych wskazówek dla uniknięcia kar.

Obiecujemy, że to nie koniec serii. Stay tuned!

Jak nie dostać kary od PUODO?

Czyli ciąg dalszy o tym czego uczą nas dotychczasowe decyzje organu. W tym wpisie opowiemy o art. 5 RODO i praktyce PUODO na jego podstawie. Przepis ten zajmuje bardzo wysokie miejsce w naszym rankingu kar, będąc w czołówce najczęściej naruszanych artykułów RODO.

Art. 5, czyli zasady RODO

Każdy, kto miał styczność z RODO – czy to zawodowo, czy hobbystycznie (tak, wiemy, że tam jesteście miłośnicy RODO, żaden wstyd, my też całkiem lubimy ten akt prawny 😊) – wie, że fundamentem, na którym zbudowana jest ochrona danych osobowych, jest art. 5, który zawiera katalog podstawowych zasad przetwarzania. Są to konkretnie: 

  • zasada legalności („dane osobowe muszą być przetwarzane zgodnie z prawem”);
  • zasada rzetelności („dane osobowe muszą być przetwarzane rzetelnie”);
  • zasada przejrzystości („dane osobowe muszą być przetwarzane w sposób przejrzysty dla osoby, której dane dotyczą”);
  • zasada ograniczenia celu („dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach”);
  • zasada minimalizacji („dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”);
  • zasada prawidłowości („dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane”)
  • zasada ograniczenia przechowywania („dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane”);
  • zasada integralności i poufności („dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo”);
  • zasada rozliczalności („administrator musi być w stanie wykazać przestrzeganie zasad”).

Powstaje pytanie:

Czy tak ogólne przepisy mogą być aż tak istotne?

„Zasady” kojarzą nam się z czymś generalnym, z natury nieprecyzyjnym. Zdawałoby się więc, że nie musimy się nimi przejmować w kontekście kar, prawda? W końcu sporo z nas intuicyjnie ma z tyłu głowy prawnokarną regułę nullum crimen sine lege certa, która nakazuje, aby przepisy przewidujące sankcje były na tyle precyzyjne, by zarówno dla organu, jak i adresata normy nie budziło wątpliwości czy określone zachowanie narusza prawo, czy nie. Innymi słowy — jeśli ustawodawca wprowadza sankcje, powinniśmy móc bez cienia wątpliwości wskazać: kto, kiedy i co ma albo czego nie ma czynić.  

Czytając art. 5 RODO, na pierwszy rzut oka przywołane zasady wydają się stanowić raczej zbiór luźnych postulatów, bardzo różniących się od innych przepisów posiadających jasny nakaz albo zakaz konkretnego działania. Nic bardziej mylnego.

Chcemy z całą mocą podkreślić, że zasady ogólne mają taki sam normatywny charakter, jak każdy inny przepis RODO i obowiązkiem administratora jest ich stosowanie – na każdym etapie przetwarzania danych osobowych.

A za naruszenie – kara?

Tak, i to ta wyższa, do 20 mln euro, a w przypadku przedsiębiorstwa – do 4 % całkowitego rocznego światowego obrotu.

„Żeby uniknąć kary, potrzeba trzech rzeczy: Informacji, informacji i informacji”.

Jeśli przepis jest tak ogólny, a przy tym zagrożony surową karą, bardzo ważna jest znajomość praktyki organu w jego stosowaniu. I tę wiedzę chcemy Wam dzisiaj przybliżyć. 

Brak procedur i umów powierzenia 

Jednym z powodów nałożenia kary w wysokości 40 tys. zł na burmistrza Aleksandrowa Kujawskiego było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane. W konsekwencji braku takiej umowy, burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył zasadę legalności (art. 5 ust. 1 lit. a RODO) oraz zasadę poufności (art. 5 ust. 1 lit. f RODO).

To jednak niejedyne naruszenia. W toku postępowania kontrolnego stwierdzono brak procedur wewnętrznych dotyczących przeglądu danych pod kątem ustalenia okresu ich przetwarzania. To spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat. W ocenie PUODO administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO.

W czasie postępowania ustalono również, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczony e link do dedykowanego kanału na YouTube. Nie było kopii zapasowych tych nagrań. Przez to, w przypadku utraty danych zapisanych w serwisie YouTube, administrator nie dysponowałby tymi materiałami.  Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f RODO) oraz zasady rozliczalności (art. 5 ust. 2 RODO).

Zasada rozliczalności również została naruszona –  w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Treść decyzji.

Niewystarczające zabezpieczenia 

PUODO nałożył na spółkę Morele.net karę w wysokości ponad 2,8 mln zł, uznając, że zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Organ uznał m.in., że miało miejsce zastosowanie nieskutecznego środka uwierzytelniania dostępu do danych oraz zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci.

W decyzji nakładającej karę Prezes UODO uznał, że spółka – nie stosując wystarczających środków ochrony danych – naruszyła określoną w art. 5 ust. 1 lit f RODO zasadę poufności. Postępowanie wykazało także inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (dotyczących monitorowania potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kary.

Treść decyzji.

Nie można utrudniać wycofania zgody 

PUODO nałożył karę na ClickQuickNow w wysokości ponad 201 tys. zł m.in. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych, a tym samym za naruszenie zasady legalności oraz zasady rzetelności (art. 5 ust 1 lit. a RODO).

Postępowanie PUODO wykazało, że stosowany przez spółkę mechanizm wycofania zgody, polegający na użyciu linku zamieszczonego w treści informacji handlowej, nie skutkował szybkim wycofaniem przyzwolenia. Po uruchomieniu linku komunikaty kierowane do osoby zainteresowanej wycofaniem zgody wprowadzały ją w błąd. Ponadto spółka wymuszała podanie przyczyny wycofania zgody, a brak jej wskazania skutkował przerwaniem całego procesu.

Treść decyzji.

Nie tylko PUODO jest surowy

Jedną z ciekawszych decyzji wydanych za naruszenie art. 5 RODO jest decyzja francuskiego organu (CNIL) wydana w sprawie Google LLC, m.in. za naruszenie zasady przejrzystości. W ocenie CNIL informacje dostarczane przez Google nie były łatwo dostępne dla użytkowników, a w części również nieprecyzyjnie sformułowane, przez co użytkownicy nie byli w stanie w pełni zrozumieć zakresu operacji przetwarzania przeprowadzanych przez Google. Google zaniechał również przekazania informacji o okresie przechowywania niektórych danych. Konsekwencja? Jedna z najwyższych kar dotychczas wymierzonych na podstawie RODO – w wysokości 50 mln euro.

Dziękujemy, że jesteś z nami i przeczytałeś do końca. Możliwe, że zainteresują Cię również pozostałe nasze wpisy z serii praktycznych wskazówek dla uniknięcia kar

Kary za brak zawiadomienia osoby, której dane dotyczą – o naruszeniu ochrony danych osobowych

Naruszenia ochrony danych są jedną z okoliczności, które często wiążą się z nałożeniem na przedsiębiorcę kary pieniężnej. Oczywiście każdy z przedsiębiorców powinien podjąć odpowiednie działania, aby uniknąć tzw. incydentu (np. wdrażając odpowiednie środki techniczne i organizacyjne) – warto jednak wiedzieć, jak zachować się jeśli do incydentu już doszło (szczególnie że RODO przewiduje krótkie terminy na reakcję).

Co zrobić w przypadku incydentu? 

Jeśli dojdzie do naruszenia, w pierwszej kolejności należy oczywiście podjąć działania w celu ustalenia jego przyczyn i możliwych konsekwencji oraz zaradzenia naruszeniu, zabezpieczenia danych i zminimalizowania ew. negatywnych skutków incydentu. Obowiązkiem administratora jest też dokumentowanie wszystkich naruszeń – co w praktyce oznacza prowadzenie tzw. rejestru incydentów.

Czasem zdarza się jednak, że ww. działania nie są wystarczające – w niektórych sytuacjach RODO wprowadza obowiązek zgłoszenia incydentu do PUODO oraz zawiadomienia o nim osób, których dane dotyczą (art. 34 RODO).

Kiedy zawiadomić o incydencie osoby, których dane dotyczą?

Zgodnie z art. 34 RODO, zawiadomienie jest konieczne w przypadku, gdy naruszenie ochrony danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

W praktyce w razie zaistnienia incydentu administrator powinien każdorazowo dokonać kompleksowej oceny wpływu zdarzenia na prawa i wolności osób, których dane dotyczą, przeanalizować, czy istnieje ryzyko naruszenia tych wartości oraz czy ryzyko to jest wysokie.

Warto, aby przebieg i wyniki oceny właściwie udokumentować, szczególnie jeśli incydent podlega zgłoszeniu do PUODO, a administrator nie decyduje się na zawiadomienie o nim osób, których dane dotyczą. W praktyce zdarza się, że po zgłoszeniu do PUODO, organ zwraca się do przedsiębiorcy o wyjaśnienie przyczyn braku takiego zawiadomienia.

Jak szybko należy dokonać zawiadomienia? 

O ile w przypadku obowiązku zgłoszenia incydentu do organu RODO określa, że zgłoszenie to powinno nastąpić w ciągu 72 godzin, o tyle w przypadku zawiadomienia osób, których dane dotyczą RODO stanowi jedynie, że obowiązek ten należy zrealizować „bez zbędnej zwłoki”.

Pojęcie to jest bardzo ogólne, a faktyczny czas wymaganej reakcji uzależniony jest np. od takich czynników jak skala naruszenia i liczba osób, które należy zawiadomić. Nie ulega jednak wątpliwości, że przedsiębiorca powinien działać możliwie szybko, aby nie narazić się na zarzut nienależytej realizacji spoczywającego na nim obowiązku.

Czy brak zawiadomienia wiąże się z realnym ryzykiem nałożenia kary?

Tak — organ nałożył już na przedsiębiorców szereg kar za brak zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. Przykładowo:

Naruszenie polegało na nieuprawnionym skopiowaniu danych stu pacjentów z systemu przez byłego pracownika celem wykorzystania ich do marketingu własnych usług i obejmowało takie dane, jak numery PESEL, imiona i nazwiska, imiona rodziców, daty urodzenia, adresy, numery telefonów.

Pomimo uznania ryzyka naruszenia praw i wolności osób dotkniętych incydentem za wysokie, przedsiębiorca nie zawiadomił o naruszeniu ww. osób w sposób należyty – za co PUODO nałożył na niego karę w wysokości 85 588 zł. 

W uzasadnieniu decyzji PUODO stwierdził m.in. że naruszenie poufności wskazanych wyżej danych powoduje wysokie ryzyko dla praw i wolności osób, których te dane dotyczą i wymaga zawiadomienia tych osób o naruszeniu celem poinformowania ich o możliwych negatywnych skutkach naruszenia oraz działaniach, jakie mogą one podjąć w celu zabezpieczenia się przed tymi skutkami.

  • Śląski Uniwersytet Medyczny (decyzja)

PUDO nałożył 25 tys. zł kary na Śląski Uniwersytet Medyczny w związku naruszeniem ochrony danych oraz brakiem zawiadomienia o nim organu i osób, których dotyczyło naruszenie.

Do naruszenia doszło w toku egzaminów prowadzonych online na dedykowanej platformie e-learningowej – po zakończonych egzaminach nagrania z nich były dostępne nie tylko dla osób egzaminowanych, ale i innych osób mających dostęp do systemu i osób z zewnątrz posiadających bezpośredni link.

Ponieważ przed przystąpieniem do egzaminu studenci byli identyfikowani – na nagraniach (poza informacjami o zdawanym przedmiocie i udzielonych odpowiedziach) zarejestrowane mogły być m.in. takie dane jak wizerunek, PESEL, numer dokumentu tożsamości czy albumu, imię i nazwisko, adres zamieszkania, rok studiów, grupa, kierunek studiów.

W ocenie organu ww. naruszenie generowało wysokie ryzyko dla praw lub wolności dotkniętych nim osób (np. niebezpieczeństwo zaciągnięcia na czyjeś dane różnych zobowiązań), przy czym Uniwersytet niewłaściwie ocenił to ryzyko i nie wywiązał się z obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą.

  • Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A (decyzja)

PUODO stwierdził, że spółka naruszyła przepisy RODO poprzez brak zgłoszenia organowi naruszenia oraz brak zawiadomienia o nim osób, których dane dotyczyły – w konsekwencji nakładając na spółkę karę w wysokości 85 588 zł.

Incydent polegał na wysłaniu e-mailem przez agenta ubezpieczeniowego (procesora spółki) polisy ubezpieczeniowej do nieuprawnionego adresata. Załączony dokument zawierał m.in. takie dane jak imiona, nazwiska, adresy zamieszkania, numery PESEL i informacje o przedmiocie ubezpieczenia — doszło więc do naruszenia poufności ww. danych.

Spółka dokonała oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych i na jej podstawie uznała, że incydent nie wymaga zawiadomienia UODO ani osób dotkniętych naruszeniem. Spółka ustaliła też, że naruszenie powstało w wyniku wysłania polisy na błędny adres e-mail, który podał jej sam klient. TUiR Warta S.A. zwróciła się też do nieuprawnionego odbiorcy o trwałe usunięcie otrzymanej wiadomości.

PUODO stwierdził jednak, że:

  • fakt, że do naruszenia doszło w wyniku błędu klienta nie może mieć wpływu na niezakwalifikowanie zdarzenia jako incydentu — administrator, dopuszczając możliwość wykorzystania do komunikacji z klientem poczty elektronicznej, powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu e-mail,
  • zwrócenie się do nieuprawnionego odbiorcy o trwałe usunięcie wiadomości nie może stanowić o tym, że ryzyko dla praw i wolności osób, których dane dotyczą, nie jest wysokie — administrator nie ma pewności, że adresat nie wykonał np. kserokopii dokumentów lub też ich nie utrwalił.

Jak wysokiej kary należy się spodziewać?

W teorii naruszenie wspomnianych przepisów podlega karze pieniężnej w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

Oczywiście wysokość nakładanych kar może być w praktyce zróżnicowana, i uzależniona jest od wielu czynników, m.in. od  skali naruszenia, jego wagi i skutków, współpracy administratora z organem czy szybkości usunięcia naruszenia po jego wykryciu.

Jaki z tego wniosek? 

Jeśli zdarzy się, że dojdzie do naruszenia ochrony danych – pamiętajmy o możliwe szybkiej i przemyślanej reakcji. Ważne, aby przedsiębiorcy przykładali odpowiednią wagę do oceny ryzyka wynikającego z incydentu i przestrzegali terminów wynikających z RODO – tak, aby w razie ewentualnej kontroli mieć możliwość wykazania należytej staranności po zaistnieniu naruszenia.

Kontakt

Masz pytania?zobacz telefon+48 570 913 713
zobacz e-mail

Biuro w Warszawie

03-737 Warszawa

(Centrum Praskie Koneser – Spaces)

pl. Konesera 12 lok. 119

google maps

Biuro we Wrocławiu

53-659 Wrocław

(Quorum D)

Gen. Władysława Sikorskiego 26

google maps

Hej, Userze
czy jesteś już w newsletterze?

    Zobacz jak przetwarzamy Twoje dane osobowe tutaj