Jak nie dostać kary od PUODO?
10 maja 2022 / Jacek Cieśliński / Artykuły
Czyli ciąg dalszy o tym czego uczą nas dotychczasowe decyzje organu. W tym wpisie opowiemy o art. 5 RODO i praktyce PUODO na jego podstawie. Przepis ten zajmuje bardzo wysokie miejsce w naszym rankingu kar, będąc w czołówce najczęściej naruszanych artykułów RODO.
Art. 5, czyli zasady RODO
Każdy, kto miał styczność z RODO – czy to zawodowo, czy hobbystycznie (tak, wiemy, że tam jesteście miłośnicy RODO, żaden wstyd, my też całkiem lubimy ten akt prawny 😊) – wie, że fundamentem, na którym zbudowana jest ochrona danych osobowych, jest art. 5, który zawiera katalog podstawowych zasad przetwarzania. Są to konkretnie:
- zasada legalności („dane osobowe muszą być przetwarzane zgodnie z prawem”);
- zasada rzetelności („dane osobowe muszą być przetwarzane rzetelnie”);
- zasada przejrzystości („dane osobowe muszą być przetwarzane w sposób przejrzysty dla osoby, której dane dotyczą”);
- zasada ograniczenia celu („dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach”);
- zasada minimalizacji („dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”);
- zasada prawidłowości („dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane”)
- zasada ograniczenia przechowywania („dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane”);
- zasada integralności i poufności („dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo”);
- zasada rozliczalności („administrator musi być w stanie wykazać przestrzeganie zasad”).
Powstaje pytanie:
Czy tak ogólne przepisy mogą być aż tak istotne?
„Zasady” kojarzą nam się z czymś generalnym, z natury nieprecyzyjnym. Zdawałoby się więc, że nie musimy się nimi przejmować w kontekście kar, prawda? W końcu sporo z nas intuicyjnie ma z tyłu głowy prawnokarną regułę nullum crimen sine lege certa, która nakazuje, aby przepisy przewidujące sankcje były na tyle precyzyjne, by zarówno dla organu, jak i adresata normy nie budziło wątpliwości czy określone zachowanie narusza prawo, czy nie. Innymi słowy — jeśli ustawodawca wprowadza sankcje, powinniśmy móc bez cienia wątpliwości wskazać: kto, kiedy i co ma albo czego nie ma czynić.
Czytając art. 5 RODO, na pierwszy rzut oka przywołane zasady wydają się stanowić raczej zbiór luźnych postulatów, bardzo różniących się od innych przepisów posiadających jasny nakaz albo zakaz konkretnego działania. Nic bardziej mylnego.
Chcemy z całą mocą podkreślić, że zasady ogólne mają taki sam normatywny charakter, jak każdy inny przepis RODO i obowiązkiem administratora jest ich stosowanie – na każdym etapie przetwarzania danych osobowych.
A za naruszenie – kara?
Tak, i to ta wyższa, do 20 mln euro, a w przypadku przedsiębiorstwa – do 4 % całkowitego rocznego światowego obrotu.
„Żeby uniknąć kary, potrzeba trzech rzeczy: Informacji, informacji i informacji”.
Jeśli przepis jest tak ogólny, a przy tym zagrożony surową karą, bardzo ważna jest znajomość praktyki organu w jego stosowaniu. I tę wiedzę chcemy Wam dzisiaj przybliżyć.
Brak procedur i umów powierzenia
Jednym z powodów nałożenia kary w wysokości 40 tys. zł na burmistrza Aleksandrowa Kujawskiego było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane. W konsekwencji braku takiej umowy, burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył zasadę legalności (art. 5 ust. 1 lit. a RODO) oraz zasadę poufności (art. 5 ust. 1 lit. f RODO).
To jednak niejedyne naruszenia. W toku postępowania kontrolnego stwierdzono brak procedur wewnętrznych dotyczących przeglądu danych pod kątem ustalenia okresu ich przetwarzania. To spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat. W ocenie PUODO administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO.
W czasie postępowania ustalono również, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczony e link do dedykowanego kanału na YouTube. Nie było kopii zapasowych tych nagrań. Przez to, w przypadku utraty danych zapisanych w serwisie YouTube, administrator nie dysponowałby tymi materiałami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f RODO) oraz zasady rozliczalności (art. 5 ust. 2 RODO).
Zasada rozliczalności również została naruszona – w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.
Niewystarczające zabezpieczenia
PUODO nałożył na spółkę Morele.net karę w wysokości ponad 2,8 mln zł, uznając, że zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Organ uznał m.in., że miało miejsce zastosowanie nieskutecznego środka uwierzytelniania dostępu do danych oraz zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci.
W decyzji nakładającej karę Prezes UODO uznał, że spółka – nie stosując wystarczających środków ochrony danych – naruszyła określoną w art. 5 ust. 1 lit f RODO zasadę poufności. Postępowanie wykazało także inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (dotyczących monitorowania potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kary.
Nie można utrudniać wycofania zgody
PUODO nałożył karę na ClickQuickNow w wysokości ponad 201 tys. zł m.in. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych, a tym samym za naruszenie zasady legalności oraz zasady rzetelności (art. 5 ust 1 lit. a RODO).
Postępowanie PUODO wykazało, że stosowany przez spółkę mechanizm wycofania zgody, polegający na użyciu linku zamieszczonego w treści informacji handlowej, nie skutkował szybkim wycofaniem przyzwolenia. Po uruchomieniu linku komunikaty kierowane do osoby zainteresowanej wycofaniem zgody wprowadzały ją w błąd. Ponadto spółka wymuszała podanie przyczyny wycofania zgody, a brak jej wskazania skutkował przerwaniem całego procesu.
Nie tylko PUODO jest surowy
Jedną z ciekawszych decyzji wydanych za naruszenie art. 5 RODO jest decyzja francuskiego organu (CNIL) wydana w sprawie Google LLC, m.in. za naruszenie zasady przejrzystości. W ocenie CNIL informacje dostarczane przez Google nie były łatwo dostępne dla użytkowników, a w części również nieprecyzyjnie sformułowane, przez co użytkownicy nie byli w stanie w pełni zrozumieć zakresu operacji przetwarzania przeprowadzanych przez Google. Google zaniechał również przekazania informacji o okresie przechowywania niektórych danych. Konsekwencja? Jedna z najwyższych kar dotychczas wymierzonych na podstawie RODO – w wysokości 50 mln euro.
Dziękujemy, że jesteś z nami i przeczytałeś do końca. Możliwe, że zainteresują Cię również pozostałe nasze wpisy z serii praktycznych wskazówek dla uniknięcia kar.
Potrzebujesz pomocy w tym temacie?
Napisz do naszego eksperta
Artykuły z tej kategorii
DORA na horyzoncie: kluczowe zmiany dla sektora finansowego 🏦
DORA na horyzoncie: kluczowe zmiany dla sektora finansowego 🏦O czym musi pamiętać pracodawca zatrudniając niepełnoletnie osoby?
O czym musi pamiętać pracodawca zatrudniając niepełnoletnie osoby?Co powinna zawierać Polityka wykorzystywania systemów AI?
Co powinna zawierać Polityka wykorzystywania systemów AI?