Kolejna kara PUODO – utrudnianie wycofania zgody na przetwarzanie danych osobowych

Ostatnio na blogu LB&P Legal pisaliśmy o pierwszej karze dla podmiotu publicznego za naruszenie RODO. Kary nakładane przez PUODO, jak i jego odpowiedników z innych państw UE, będą częstymi tematami naszego kancelaryjnego bloga. W końcu nic bardziej nie kształtuje praktyki stosowania przepisów niż… nauka na cudzych błędach. Tym razem więc o tym, co jest utrudnianiem wycofania zgody na przetwarzanie danych osobowych.

Trochę teorii

Zgodnie z RODO, jeżeli przetwarzanie odbywa się na podstawie zgody, osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Dlatego administrator musi zapewnić odpowiednie mechanizmy.

Wycofanie zgody niesie za sobą istotne konsekwencje. Jeżeli nie ma innej podstawy prawnej przetwarzania, administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe osoby, której dane dotyczą. Nie wpływa to jednak na działania administratora w przeszłości, sprzed wycofania zgody.

Decyzja Prezesa UODO

Jak to często bywa w tego typu sytuacjach, teoria znów rozminęła się z praktyką. Z lektury kolejnej decyzji Prezesa UODO o nałożeniu kary  na pewną spółkę- wynika, że u jej podstaw leżały następujące powody:

  1. niewdrożenie odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą, łatwe i skuteczne wycofanie zgody na przetwarzanie swoich danych osobowych oraz realizację prawa do żądania niezwłocznego usunięcia swoich danych osobowych (prawa do bycia zapomnianym),
  2. przetwarzanie bez podstawy prawnej danych osób, które nie są klientami spółki, a od których spółka, otrzymała żądania zaprzestania przetwarzania danych osobowych.

PUODO ocenił, że stosowany przez ukaraną spółkę mechanizm wycofywania zgody, polegający na użyciu linku zamieszczonego w treści informacji handlowej, nie skutkował szybkim wycofaniem zgody:

  1. uruchomienie linku generowało komunikat kierowany do osoby zainteresowanej wycofaniem zgody wprowadzał ją w błąd,
  2. spółka wymuszała podanie przyczyny wycofania zgody, choć z przepisów o ochronie danych osobowych takie prawo nie wynika,
  3. brak wskazania przyczyny skutkował przerwaniem procesu wycofania zgody.

Prezes UODO nie podzielił przy tym argumentacji spółki, że „proste” odwołanie zgody – poprzez jednorazowe kliknięcie w link wiadomości e-mail (zawierającej link „odwołanie zgody”) – rodzi pewne komplikacje i zagrożenia. Spółka broniła się twierdzeniem, że taki mechanizm powodowałby, iż żądanie mogłoby być składane nieświadomie (omyłkowo przez przypadkowe kliknięcie) albo przez osobę nieuprawnioną (lub przez tzw. „boty”).

Ponadto, w decyzji Prezes Urzędu wskazał również, że spółka przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych. Naruszyła więc także tzw. prawo do bycia zapomnianym.

Wymiar kary

W wyniku stwierdzonych naruszeń, Prezes UODO wymierzył karę pieniężną w kwocie 201 559,50 PLN (równowartość 47. 000 EUR). Bardzo istotny dla praktyki jest przy tym fakt, że ustalając wysokość administracyjnej kary pieniężnej, organ nie uwzględnił żadnej okoliczności łagodzącej mającej wpływ na ostateczny wymiar kary. Wśród okoliczności, na które próbowała powoływać się spółka były między innymi:

  • brak dowodów wskazujących na uzyskanie przez spółkę korzyści finansowych, jak i uniknięcie strat w związku z naruszeniem,
  • brak dowodów, że osoby, których dane dotyczą doznały szkody majątkowej,
  • dobra współpraca ze strony spółki, w toku przeprowadzonej kontroli.

Spółka nie dopuściła się również naruszenia przepisów rozporządzenia 2016/679, które miałoby istotne znaczenie dla prowadzonego postepowania.

Organ uznał jednak, że działanie spółki było umyślne, ponieważ przekazywanie osobie zainteresowanej wycofaniem zgody sprzecznych ze sobą komunikatów powodowało brak skuteczności wycofania zgody. Według PUODO w ten sposób spółka utrudniała, czy wręcz uniemożliwiała realizację praw osób, których dane dotyczą.

Mając jednak na względzie wagę oraz charakter zarzucanych spółce naruszeń, organ uznał nałożenie administracyjnej kary pieniężnej na spółkę za konieczne i uzasadnione. Pokazuje to jasno, że na wojnie o ochronę danych osobowych, PUODO nie będzie brał jeńców.

Ponadto, Prezes UODO nakazał spółce, w terminie 14 dni od dnia doręczenia decyzji, dostosowanie procesu obsługi wniosków o wycofanie zgody na przetwarzanie danych do przepisów RODO. Spółka została również zobowiązana do usunięcia danych osób, które nie są jej klientami i żądały zaprzestania przetwarzania ich danych osobowych.

Wnioski

Analiza omawianej decyzji PUODO skłania więc do następujących wniosków:

  1. wycofania zgody nie można obwarować koniecznością spełnienia dodatkowych warunków czy przesłanek;
  2. mechanizm wycofywania zgody musi być prosty i przejrzysty, aby umożliwić szybkie wycofanie zgody (nie oznacza to, że udzielenie i cofnięcie zgody musi odbywać się w ten sam sposób. Ale osoba, której dane dotyczą, musi być w stanie wycofać zgodę poprzez ten sam interfejs elektroniczny).

Warto przy tym pamiętać, że osoba, której dane dotyczą, powinna być w stanie wycofać zgodę bez ponoszenia niekorzystnych konsekwencji. Administrator musi zapewnić, by wycofanie zgody było bezpłatne lub nie pociągało za sobą obniżenia poziomu usług (por. „Wytyczne dotyczące zgody na mocy rozporządzenia 2016/679”, Grupa Robocza Art. 29).

 

Autor:
radca prawny Tomasz Miś

Pierwsza kara dla podmiotu publicznego za naruszenie RODO

Prezes UODO nałożył pierwszą karę za naruszenie RODO na podmiot publiczny – Burmistrza Aleksandrowa Kujawskiego. Burmistrz musi zapłacić 40 tys. zł kary pieniężnej oraz usunąć stwierdzone naruszenia w ciągu 60 dni. Podstawą do wydania takiej decyzji był przede wszystkim brak umów powierzenia danych do przetwarzania oraz przechowywanie m.in. oświadczeń majątkowych przez okres dłuższy niż dozwolony przepisami prawa.

Brak umów powierzenia

Burmistrz nie dopełnił obowiązku zawarcia umów powierzenia z firmą, która przechowywała na swoich serwerach zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego. Takiej umowy nie zawarto także z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Tym samym PUODO uznał, że Burmistrz udostępnił dane osobowe bez podstawy prawnej, czym naruszył zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a RODO) oraz zasadę poufności (art. 5 ust. 1 lit. f RODO).

Przekroczenie dopuszczalnego okresu przechowywania

Ponadto podczas kontroli stwierdzono, że na stronie BIP dostępne były m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co zdaniem PUODO wynika z przepisów sektorowych. Burmistrz miał naruszyć w ten sposób zasadę ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO).

Inne naruszenia

Postępowanie ujawniło również nieprawidłowości w zabezpieczeniu materiałów z posiedzeń rady miejskiej. Urząd przechowywał je wyłącznie na dedykowanym kanale na YouTube, nie wykonując żadnej kopii zapasowej tych nagrań, co zwiększyło ryzyko ich trwałej utraty. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

Zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Wymiar kary

Jak wskazuje PUODO, na wymiar kary miał wpływ m.in. brak współpracy z organem w toku kontroli, a także niepodjęcie działań w celu usunięcia stwierdzonych nieprawidłowości. Przez to PUODO uznał, że nie zachodziły podstawy do złagodzenia kary, którą ustalił na stosunkowo wysokim poziomie tj. 40% maksymalnej stawki dla sektora publicznego.

Kara dla Burmistrza Aleksandrowa Kujawskiego jest czwartą z kolei karą nałożoną przez Prezesa UODO za naruszenie przepisów RODO, lecz pierwszą dla podmiotu publicznego. Przypadek ten dobitnie wskazuje, że instytucje publiczne nie są zwolnione z obowiązku ochrony danych osobowych, a ich działalność będzie podlegała takiej samej ocenie jak działalność podmiotów prywatnych. Jednak bez względu na sektor, w którym funkcjonuje ukarany podmiot, wnioski płynące z uzasadnienia decyzji są uniwersalne dla wszystkich administratorów – przetwarzanie danych bez podstawy prawnej (w tym bez zawartej umowy powierzenia) jest wg PUODO jednym z najcięższych naruszeń, tak samo jak ich przechowywanie przez nieuzasadniony okres, a wszelkie braki w tym zakresie mogą wiązać się z poważnymi konsekwencjami.

Pełną treść komunikatu PUODO znajdziesz pod tym linkiem: https://uodo.gov.pl/pl/138/1240, a treść decyzji: https://uodo.gov.pl/decyzje/ZSPU.421.3.2019.

 

Autor:
radca prawny Natalia Wojciechowska

Odpowiedzialność karna za ksero lub skan dokumentu?

Nowa ustawa o dokumentach publicznych przewiduje odpowiedzialność karną (nawet 2 lata pozbawienia wolności) za wytwarzanie, oferowanie, zbywanie i przechowywanie w celu zbycia replik dokumentów publicznych (np. dowodu osobistego, prawa jazdy, tytułu wykonawczego). Czy dotyczy to też ksera dowodu osobistego?

Czy można kserować dowód osobisty?

Zdążyliśmy już przywyknąć w codziennym życiu do sytuacji, w których ktoś prosi nas o ksero lub skan dowodu osobistego. Firmy telekomunikacyjne, pośrednicy płatności, banki, ubezpieczyciele czy nawet wypożyczalnie sprzętu sportowego robią ksero naszego dowodu osobistego. Czy w każdym wypadku jest to uzasadnione?

12 lipca 2019 r., weszła w życie ustawa o dokumentach publicznych, która określa zasady funkcjonowania systemu bezpieczeństwa, czyli ich projektowania, wytwarzania, przechowywania i weryfikacji autentyczności, a także zmiany zabezpieczeń tych dokumentów, podnoszenie świadomości na ich temat i współpracę międzynarodową w zakresie bezpieczeństwa dokumentów publicznych.

Pojawia się w niej też jeden przepis karny, na który warto zwrócić uwagę – art. 58, zgodnie z którym: „Kto wytwarza, oferuje, zbywa lub przechowuje w celu zbycia replikę dokumentu publicznego, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”. W jego kontekście pojawiły się komentarze, że przepis ten pozwala karać za zrobienie ksera dowodu osobistego. Inne głosy twierdzą, że karane ma być wyłącznie wykonywanie tzw. „dowodów kolekcjonerskich”. Jak jest naprawdę i z czego to wynika, wyjaśniamy poniżej.

 

Dokument publiczny – co to?

Ustawa definiuje dokument publiczny bardzo szeroko. Będzie to każdy „dokument, który służy do identyfikacji osób, rzeczy lub potwierdza stan prawny lub prawa osób posługujących się takim dokumentem, zabezpieczony przed fałszerstwem”. Dokument taki, w uproszczeniu, jest wytwarzany według określonego w przepisach prawa wzoru lub w oparciu o blankiet /wzorzec zatwierdzony przez uprawniony do tego organ.

Przykładowo będą to nie tylko dowód osobisty czy paszport, które stanowią dowody tożsamości, ale także  m.in. prawo jazdy.

Oprócz szerokiej definicji ogólnej, ustawa przewiduje też dodatkowo katalog innych dokumentów, które uznaje za dokumenty publiczne. Będą to akty stanu cywilnego, tytuły wykonawcze, orzeczenia sądów i referendarzy, niektóre postanowienia o nadaniu klauzuli wykonalności oraz wybrane dokumenty sporządzane przez notariuszy.

Co więcej, „dokumentem publicznym jest jego odpis, wypis, duplikat i wtórnik”.

 

Replika dokumentu publicznego – co to?

Ustawa o dokumentach publicznych uzna za replikę taką kopię/odwzorowanie dokumentu publicznego, które:
– jest wielkości od 75% do 120% oryginału;
– ma cechy autentyczności dokumentu publicznego lub blankietu dokumentu publicznego”.

Czy w takim razie można kserować dowody? Oczywiście, pomijając inne ograniczenia jakie w tym kontekście mogą wynikać z przepisów o ochronie danych osobowych (rodo), za wykonanie ksera dowodu osobistego nikt do więzienia nie pójdzie.

Kiedy myślimy o replice dzieła sztuki czy broni, przychodzi nam na myśl przedmiot, który łudząco przypomina oryginał – z uwzględnieniem materiałów, z jakich jest wykonany, kształtu, wielkości, cech szczególnych czy wreszcie form zabezpieczeń. Podobnie z repliką dokumentu – musiałaby posiadać „cechy autentyczności” oryginału.

Warto jednak zauważyć, że na liście dokumentów, które będą uznawane za dokumenty publiczne, znajdują się też takie, na których nie ma równie widocznych i wymagających zabezpieczeń jak na dowodzie osobistym (np. hologramy, elementy wypukłe itd.). W takich wypadkach ksero czy wydruk komputerowy mogą być łudząco podobne do oryginału, co znaczy, że, w zależności od okoliczności, będą mogły one zostać uznane za replikę.

Taką interpretację potwierdza też Ministerstwo Spraw Wewnętrznych i Administracji  – wskazuje, że podstawowym celem nowych przepisów jest budowa systemu bezpieczeństwa dokumentów publicznych. To znaczy, że ma zabezpieczać posiadaczy dokumentów publicznych przed wykorzystywaniem wszelkich podróbek, dokumentów fałszywych, bardzo przypominających prawdziwy, oryginalny dokument, ponieważ takie fałszywki mogą służyć popełnianiu przestępstw – np. kradzieży tożsamości i zaciągnięcia kredytu przy pomocy choćby tzw. „dokumentów kolekcjonerskich”.

 

Kiedy na pewno można wykonać ksero?

Warto też pamiętać, że sama ustawa wyraźnie pozwala na wykonywanie ksera lub wydruku komputerowego dowodu osobistego.  Dotyczy to ich wykonania:

  1. do celów urzędowych, służbowych lub zawodowych określonych na podstawie odrębnych przepisów (np. na potrzeby czynności identyfikacyjnych przez banki, ubezpieczycieli i firmy telekomunikacyjne w celach określonych ustawą o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu;
  2. na użytek osoby, dla której dokument publiczny został wydany.

 

Czy powinniśmy kserować dowody osobiste?

Nawet jeśli powyższe prowadzi do wniosku, że kserowanie dowodu nie będzie powodowało odpowiedzialności karnej, musimy pamiętać, że działanie takie może stanowić naruszenie przepisów o ochronie danych osobowych. Dowód osobisty zawiera wiele informacji, z których nie wszystkie potrzebne są każdemu, kto prosi nas o ksero lub skan takiego dokumentu. Zanim więc zdecydujemy się na proszenie o jego kopię, warto zastanowić się czy działanie takie jest uzasadnione, w kontekście sytuacji, w jakiej się znajdujemy.

 

Autor:

Adwokat Joanna Szumiło

Kontrola trzeźwości pracownika a RODO

Pracodawcy nie są uprawnieni do samodzielnego przeprowadzenia kontroli trzeźwości pracowników, w tym kontroli wyrywkowych – takie stanowisko zajął Prezes Urzędu Ochrony Danych Osobowych, w odpowiedzi na nowelizację Kodeksu pracy, która weszła w życie 4 maja 2019 r. (pełna treść stanowiska dostępna TUTAJ).

 

Skąd wątpliwości?

Temat dopuszczalności kontrolowania trzeźwości pracowników nie jest nowy. Od lat obserwujemy dyskusję, czy ochrona prywatności oraz dóbr osobistych pracownika powinna przeważać nad kwestiami chociażby bezpieczeństwa. Wątpliwości te ponownie dały o sobie znać po dodaniu do Kodeksu pracy art. 221b, zgodnie z którym podstawą przetwarzania szczególnej kategorii danych m.in. dotyczących zdrowia może być zgoda pracownika, ale tylko wówczas, gdy przekazanie tych danych następuje z jego inicjatywy – czyli nie z inicjatywy pracodawcy, co zasadniczo miało miejsce dotychczas, w przypadku kontroli trzeźwości przez pracodawcę. Czy jednak wiedza o stanie trzeźwości pracownika jest informacją o stanie jego zdrowia? W opinii Prezesa UODO – tak.

 

Jak badać trzeźwość pracownika w kontekście opinii Prezesa UODO?

Prezes UODO uznał, że wspomniana nowelizacja nie miała istotnego wpływu na prawa i obowiązki pracodawcy określone w art. 17 ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi, ponieważ w opinii organu w tym zakresie regulacje ww. ustawy są wyczerpujące i niezmienne – badanie trzeźwości pracownika może być przeprowadzone pod warunkiem spełnienia łącznie dwóch przesłanek:

  1. zachodzi uzasadnione podejrzenie, że pracownik stawił się do pracy w stanie po użyciu alkoholu lub spożywał alkohol w czasie pracy,
  2. badanie stanu trzeźwości pracownika przeprowadza uprawniony organ powołany do ochrony porządku publicznego (np. policja), zaś zabiegu pobrania krwi – osoba posiadająca odpowiednie kwalifikacje zawodowe.

Niezależnie od treści i interpretacji przepisów dot. ochrony danych, takie brzmienie ww. przepisu, zdaniem UODO, wyklucza możliwość wyrywkowego, prewencyjnego oraz samodzielnego przeprowadzenia przez pracodawcę kontroli trzeźwości pracowników. Zdaniem Prezesa UODO „nie można traktować badania stanu trzeźwości pracowników m.in. jako:

  • formy monitorowania pracy pracowników, o której mowa w art. 22 (3) § 4 Kodeksu pracy,
  • działania niezbędnego dla zapewnienia ogółowi pracowników bezpiecznych lub higienicznych warunków pracy,
  • usprawiedliwionego ze względu na uzasadniony interes pracodawcy.”

 

Czy można badać pracownika za jego zgodą?

W kontekście przedstawionej opinii Prezesa UODO, ale także wcześniejszego orzecznictwa sądowego, do badania pracownika za jego zgodą i z jego inicjatywy (kiedy np. chce nam „udowodnić” swoją trzeźwość) trzeba podchodzić bardzo ostrożnie, zwłaszcza jeśli wynik miałby stanowić podstawę działania względem pracownika. Chociażby w niedawnym wyroku Sądu Najwyższego z dnia 4 grudnia 2018 r. sygn. akt: I PK 194/17, Sąd Najwyższy podkreślił, że „w każdej sytuacji podmiotem uprawnionym do przeprowadzenia badania trzeźwości jest organ powołany do ochrony porządku publicznego. Wykonanie badania stanu trzeźwości przez pracodawcę lub osobę przez niego upoważnioną może być potraktowane nawet jako obejście art. 17 ust. 3 ustawy o wychowaniu w trzeźwości, choćby pracownik wyraził na to zgodę”.

Biorąc powyższe pod uwagę, przy okazji tworzenia procedur badania trzeźwości pracowników, do czasu ew. zmian w przepisach, należy uwzględniać stanowisko Prezesa UODO.

 

Autor:

r. pr. Natalia Wojciechowska

Brexit a rodo

Mimo odroczenia Brexitu, nadal jest on najbardziej prawdopodobnym scenariuszem – zwłaszcza biorąc pod uwagę wyniki wyborów do Parlamentu Europejskiego. Wielką niewiadomą pozostaje natomiast, czy uda się zawrzeć umowę określającą zasady wyjścia Zjednoczonego Królestwa z UE, czy nie.

W przypadku braku umowy, z chwilą wystąpienia z UE, Zjednoczone Królestwo stanie się tzw. „państwem trzecim”. Oznacza to, że przekazywanie do niego danych osobowych będzie wymagało zastosowania:

  • standardowych lub doraźnych klauzulach ochrony danych w istniejących umowach powierzenia danych osobowych do przetwarzania;
  • wiążących reguł korporacyjnych, jeśli przekazanie następuje w ramach grupy powiązanych ze sobą spółek;
  • kodeksów postępowania (objętych mechanizmem certyfikacji);
  • innych, szczególnych instrumentów, dostępnych dla organów publicznych.

Oczywiście w większości wypadków najłatwiejszym rozwiązaniem wydaje się aneksowanie istniejących umów powierzenia zawartych z firmami ze Zjednoczonego Królestwa (jako procesorami) i zamieszczenie w nich odpowiednich, dodatkowych klauzul ochrony danych.

Natomiast jeżeli chodzi o przekazywanie danych w przeciwnym kierunku, tj. ze Zjednoczonego Królestwa do EOG, to bazując na komunikacie Europejskiej Rady Ochrony Danych, według rządu Zjednoczonego Królestwa, ich swobodny przepływ pozostanie możliwy.

Autor:
adw. Grzegorz Leśniewski

Kontakt

Masz pytania?zobacz telefon+48 570 913 713
zobacz e-mail

Biuro w Warszawie

03-737 Warszawa

(Centrum Praskie Koneser – Spaces)

pl. Konesera 12 lok. 119

google maps

Biuro we Wrocławiu

53-659 Wrocław

(Quorum D)

Gen. Władysława Sikorskiego 26

google maps

Hej, Userze
czy jesteś już w newsletterze?

    Zobacz jak przetwarzamy Twoje dane osobowe tutaj