Kary za przetwarzanie danych bez podstawy prawnej

Przetwarzanie danych osobowych jest dozwolone jedynie w tych przypadkach, gdy istnieje odpowiednia podstawa prawna takiego działania. Podstawy dopuszczalności przetwarzania danych osobowych określa art. 6 RODO (a także art. 9 RODO w stosunku do szczególnych kategorii danych osobowych wymienionych w tym przepisie oraz art. 10 RODO w stosunku do danych osobowych dotyczących skazań). Przepisy te uszczegóławiają podstawową zasadę przetwarzania danych osobowych sformułowaną w art. 5 RODO, którą jest zasada zgodności z prawem przetwarzania danych, stanowiąca  przedmiot naszego poprzedniego wpisu na blogu.

Jakie są przesłanki legalności przetwarzania danych osobowych?

Podstawową przesłanką legalizującą przetwarzanie danych osobowych jest uzyskanie od osoby, której dotyczą dane, zgody na ich przetwarzanie. Jednak nie jest to jedyna podstawa dopuszczalności przetwarzania – każdy, kto słyszał o RODO, w kontekście podstaw przetwarzania, słyszał zapewne również o prawnie uzasadnionym interesie administratora. Art. 6 RODO wskazuje w sumie sześć podstaw dopuszczalności przetwarzania danych. Poza zgodą podmiotu danych są to:

• wykonanie umowy,
• wypełnienie obowiązku prawnego ciążącego na administratorze,
• ochrona żywotnych interesów osoby, której dane dotyczą lub innej osoby,
• wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej,
• prawnie uzasadnione interesy administratora lub strony trzeciej (chodzi o sytuacje, w których administrator nie może powołać się na zgodę, przepis, ani realizację umowy, a mimo to powinien on mieć możliwość przetwarzania danych, ponieważ za dopuszczalnością przetwarzania przemawia właśnie „prawnie uzasadniony interes” – będzie to m.in. prowadzenie marketingu bezpośredniego własnych produktów i usług administratora oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej).

Każda z wymienionych okoliczności usprawiedliwiających przetwarzanie danych osobowych ma charakter samoistny, autonomiczny i niezależny, tzn. dla uznania przetwarzania danych za prawnie dopuszczalne wystarczy istnienie jednej z nich. Zasadniczo przesłanki te są również równoprawne, co oznacza, że dla dopuszczalności przetwarzania nie jest istotne, na podstawie której z nich  dokonywane jest przetwarzanie danych. Może również zdarzyć się tak, że określone operacje przetwarzania danych osobowych będą legalizowane przez więcej niż jedną przesłankę. W praktyce szczególne znaczenie odgrywają przesłanki zgody i wypełnienia obowiązku prawnego.

Jak często PUODO nakłada kary za naruszenie art. 6 RODO?

Choć zapewnienie zgodności z prawem przetwarzania danych osobowych jest zasadniczym obowiązkiem administratora, a w tym sensie art. 6 RODO jest centralnym przepisem tego aktu prawnego, w praktyce polski organ nadzorczy nałożył do tej pory zaledwie dwie kary dotyczące tego przepisu.

Statystycznie w Unii Europejskiej wygląda to podobnie, choć są zarówno kraje, które mogą pochwalić się zdecydowanie większą ilością kar dotyczących naruszenia przepisów o zgodności przetwarzania danych osobowych z prawem, jak np. Austria, Niemcy, Włochy czy Hiszpania (która wydaje się „rekordzistką” w tym zakresie), jak i kraje, w których w oparciu o art. 6 RODO nałożono zaledwie jedną karę, jak Dania, Słowacja czy Portugalia.

Decyzje PUODO dotyczące podstaw prawnych przetwarzania – w jakich okolicznościach zapadły?

• Główny Geodeta Kraju (decyzja)

Główny Geodeta Kraju publikował na portalu GEOPORTAL2 (https://www.geoportal.gov.pl/) informacje pozyskane z ewidencji gruntów i budynków, w tym numery ksiąg wieczystych, prowadzonych przez 90 starostów powiatowych niedysponujących infrastrukturą techniczną umożliwiającą samodzielne publikowanie tych informacji na portalu (na podstawie zawartych w oparciu o art. 5 ustawy Prawo geodezyjne i kartograficzne porozumień z tymi starostwami).

W ramach czynności kontrolnych mających na celu zbadanie prawidłowości powyższej praktyki udostępniania danych przez GGK, Prezes UODO ustalił, że Główny Geodeta Kraju nie wskazał przepisu prawa, który stanowiłby podstawę prawną jego działania. Co więcej, z art. 364 ust. 16 ustawy o księgach wieczystych i hipotece oraz art. 5a ust. 4 ustawy Prawo geodezyjne i kartograficzne wynika wręcz zakaz udostępniania danych pozyskanych ze starostw osobom trzecim. Jawność ewidencji gruntów i budynków oznacza, że informacje zawarte w ewidencji nie mają charakteru informacji niejawnych w rozumieniu prawa, ale nie oznacza to powszechnego dostępu do nich. W ocenie Prezesa UODO Główny Geodeta Kraju, zdając sobie sprawę z braku wyraźnej podstawy prawnej do przetwarzania numerów ksiąg wieczystych, naruszył więc zasadę zgodności z prawem przetwarzania danych osobowych. Organ nadzorczy uznał, że porozumienia zawarte przez GGK ze starostwami stanowiły ważną podstawę tworzenia i utrzymywania wspólnych elementów infrastruktury technicznej przeznaczonej do przechowywania i udostępniania określonych zbiorów danych, nie stanowiły one natomiast podstawy prawnej do udostępniania danych, w tym numerów ksiąg wieczystych. Podstawa taka musi wynikać bowiem z powszechnie obowiązujących przepisów prawa.

Prezes UODO podkreślił jednocześnie, że numery ksiąg wieczystych przetwarzane w serwisie GEOPORTAL2 stanowią dane osobowe. W zakresie, w jakim odnoszą się do osób fizycznych, obejmują one m.in. imiona, nazwiska, imiona rodziców, numer PESEL, adresy nieruchomości. Tym samym podane do publicznej wiadomości numery ksiąg wieczystych pozwalają na zidentyfikowanie osoby, której dane są zawarte w księdze wieczystej. Poprzez upublicznienie numerów ksiąg wieczystych dostęp do zawartych w nich danych osobowych może uzyskać każdy użytkownik internetu. To z kolei naraża bardzo dużą liczbę osób na kradzież ich tożsamości, a w konsekwencji narusza ochronę danych osobowych ustanowioną przez RODO.

Kara nałożona na GGK przez Prezesa UODO wyniosła 100 000 złotych, czyli maksymalny wymiar kary, jaka może zostać nałożona na jednostkę sektora publicznego. Nakładając karę, organ nadzorczy wziął pod uwagę nie tylko wagę naruszenia, jego charakter oraz czas trwania, ale także umyślny charakter działania i wysoki stopień odpowiedzialności GGK jako podmiotu administracji publicznej, który powinien stać na straży praworządności.

• Dolnośląski Związek Piłki Nożnej (decyzja)

Dolnośląski Związek Piłki Nożnej upublicznił w sieci dane 585 sędziów, którym w 2015 r. przyznano licencje sędziowskie. Podano nie tylko ich imiona i nazwiska, ale także dokładne adresy zamieszkania oraz numery PESEL. Tymczasem w ocenie Prezesa UODO nie ma żadnych podstaw prawnych, by w internecie dostępny był aż tak szeroki zakres danych sędziów (zwłaszcza dane adresowe oraz numery PESEL). Upubliczniając je, administrator stworzył potencjalne ryzyko bezprawnego wykorzystania tych danych, np. do podszycia się pod te osoby w celu zaciągania pożyczek czy innych zobowiązań. W konsekwencji na DZPN nałożona została kara finansowa w wysokości 55.750,50 złotych (czyli w przeliczeniu 95,30 złotych za dane jednego sędziego).

PUODO zauważył, że wprawdzie Związek sam dostrzegł swój błąd, czego dowodzi zgłoszenie Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych polegającego na niezamierzonej publikacji danych sędziów, a także powiadomienie sędziów o naruszeniu oraz zwrócenie się do wyszukiwarek internetowych za pośrednictwem firmy informatycznej  o usunięcie danych z wyników wyszukiwania, jednak fakt, że próby usunięcia naruszenia podejmowane przez Związek okazały się nieskuteczne, przesądził o nałożeniu kary. Ponadto zgłoszenie naruszenia oraz fakt, że w dacie orzekania DZPN na swojej stronie internetowej nie przetwarzał danych osobowych osób, którym przyznano licencje sędziowskie, nie mogły stanowić okoliczności łagodzącej, gdyż działania takie są wymagane przepisami prawa.

Czy mimo braku istnienia podstawy przetwarzania administrator może uchronić się przed karą?

W decyzji z 16 kwietnia 2019 r. (decyzja) Prezes UODO odmówił nałożenia kary, pomimo stwierdzenia niezgodnego z prawem udostępnienia danych osobowych, z tego powodu, że działanie administratora – choć stanowiło naruszenie RODO –  było jednorazowe i nie było następnie kontynuowane (sprawa dotyczyła burmistrza, który przekazał lokalnej gazecie dane osobowe byłej pracownicy, w tym dotyczące rozwiązania z nią umowy o pracę).

Podobnym wynikiem zakończyła się sprawa (decyzja) dotycząca nieprawidłowości w przetwarzaniu danych osobowych pracownika przez byłego pracodawcę, które miały polegać na dalszym wykorzystywaniu adresu mailowego pracownika po jego odejściu pracy, jak również głosu pracownika w zapowiedzi słownej na telefonie firmowym. Kary nie nałożono, gdyż w odniesieniu do zapowiedzi głosowej w dacie orzekania przez PUODO pracodawca zaprzestał przetwarzania tych danych, z kolei adres mailowy byłego pracownika został zdezaktywowany i był wykorzystywany jedynie do wysyłania przez pracodawcę komunikatu obejmującego informację o tym, że pracownik nie jest już zatrudniony w spółce oraz o tym, pod jakim adresem mailowym można kontaktować się z aktualnymi przedstawicielami spółki – co można potraktować jako prawnie usprawiedliwiony interes administratora danych w rozumieniu art. 6 ust. 1 lit. f RODO.

Jaki z tego wniosek?

Czy zatem fakt, że jak dotąd polski organ nadzorczy nałożył stosunkowo mało kar w oparciu o art. 6 RODO (a także – jak się wydaje – jest „wyrozumiały” w przypadku, gdy naruszenia są mniejszej wagi) może uśpić czujność administratorów, jeśli chodzi o ich dbałość o legitymowanie się zgodną z prawem i aktualną podstawą przetwarzania danych osobowych? W żadnym wypadku! Zapewnienie zgodności z prawem czynności przetwarzania jest jednym z elementarnych obowiązków administratorów danych i trudno liczyć na pobłażliwość UODO w tym zakresie. Wręcz przeciwnie, raczej należy oczekiwać, że organ będzie badał tę kwestię dość surowo, a dodatkowym argumentem na niekorzyść naruszycieli będzie z pewnością czas, jaki upłynął od wejścia w życie RODO, w którym to czasie administratorzy powinni byli podjąć odpowiednie czynności dostosowawcze.

Dziękujemy, że jesteś z nami i przeczytałeś do końca. Możliwe, że zainteresują Cię również pozostałe nasze wpisy z serii praktycznych wskazówek dla uniknięcia kar.