Uzasadnienia decyzji wiele mówią o podejściu stosowanym przez organ nadzorczy do ochrony danych. Przykłada on dużą uwagę do podstawowych zasad ich przetwarzania, m.in. do: zgodności z prawem, rzetelności i przejrzystości oraz integralności i poufności.
Rozpoczęcie stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) („rozporządzenie” lub „RODO”) od 25 maja 2018 r. niosło ze sobą wiele wątpliwości i obaw. Te pierwsze wynikały z niejasnych, „miękkich” przepisów, którym znaczenie niejednokrotnie miała nadać dopiero praktyka, te drugie – z możliwości nałożenia wysokich kar administracyjnych przez Urząd Ochrony Danych Osobowych („UODO” lub „organ nadzorczy”).
Po prawie 3 latach można pokusić się o pewien bilans: niektóre kwestie zostały rozstrzygnięte i wyjaśnione (co jest efektem zarówno rozwijającej się praktyki stosowania przepisów rozporządzenia, jak i wytycznych oraz decyzji UODO) a także zaimplementowane przez większość uczestników rynku, niektóre – nadal najczęściej pozostają poza obszarem zainteresowania administratorów danych lub są traktowane jako zbędny obowiązek, a przez to – świadomie ignorowane. Można także z pewnością stwierdzić, że organ nadzorczy nie próżnował – uzasadnienia wydawanych decyzji wiele mówią o podejściu stosowanym przez UODO do ochrony danych, nie obyło się także bez kar pieniężnych.
Przede wszystkim zasady
Na stronie UODO aktualnie dostępnych jest 225 decyzji wydanych przez organ nadzorczy od 25 maja 2018 r. O ile początkowo sporo z nich dotyczyło (często bezpodstawnych) wniosków podmiotów danych np. o usunięcie lub udostępnienie danych, o tyle nowsze decyzje są cennym źródłem informacji dla podmiotów zaangażowanych w przetwarzanie danych osobowych, co do tego w jaki sposób stosować przepisy rozporządzenia.
Lektura decyzji UODO prowadzi do wniosku, że organ nadzorczy przykłada dużą uwagę do podstawowych zasad przetwarzania danych osobowych (art. 5 RODO), tj. zgodności z prawem, rzetelności i przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości danych, ograniczenia przechowywania, integralności i poufności, rozliczalności.
Chociaż wydawać by się mogło, że są to „jedynie” ogólne zasady, to jednak mają one bezpośrednie, praktyczne przełożenie na przetwarzanie danych osobowych. Jednocześnie, w przypadku ich naruszenia, organ nadzorczy traktuje tę okoliczność jako zaostrzającą ewentualną odpowiedzialność administratora danych.
Podobne, rygorystyczne podejście UODO prezentuje w stosunku do podstawowych obowiązków nałożonych przez przepisy rozporządzenia.
Gromadzenie numerów PESEL często sprzeczne z zasadą minimalizacji danych
Mimo, iż numer PESEL należy do danych zwykłych, organ nadzorczy przykłada do niego dużą wagę. Wynika to z faktu, iż zestawienie numeru PESEL z innymi danymi osobowymi, takimi jak imię, nazwisko, adres zamieszkania, pozwala na jednoznaczne zidentyfikowanie osoby fizycznej oraz – niestety – na niezgodne z prawem użycie tych danych.
W swoich decyzjach UODO wskazuje m.in. na możliwość uzyskania kredytów w instytucjach pozabankowych, uzyskanie informacji na temat stanu zdrowia czy naruszenie praw obywatelskich (wyborczych) osoby, której dane pozyskano. W konsekwencji, wyciek zestawów danych zawierających numery PESEL, UODO traktuje jako powodujący wysokie ryzyko naruszenia praw i wolności osoby fizycznej.
Praktyczna wskazówka dla administratorów danych jest zatem taka, aby nie gromadzić tych danych – najczęściej bowiem nie są one niezbędne dla procesu przetwarzania (np. jako naganne należy ocenić zbieranie numerów PESEL na listach, formularzach).
Z kolei w tych przypadkach, w których numer PESEL jest niezbędny, administrator danych powinien zastosować odpowiednie środki zapewniające ochronę danych. Mowa tutaj o całkiem prozaicznych sytuacjach, jak np. przesyłanie za pomocą wiadomości e-mail umowy zawartej z osobą fizyczną, w której podano m.in. jej numer PESEL. Biorąc pod uwagę możliwość uzyskania dostępu do tych danych przez osobę nieuprawnioną (nawet poprzez omyłkowe wysłanie do błędnego adresata), pliki zawierające zestawy danych osobowych powinny być hasłowane.
Brak podstawy prawnej przetwarzania jako rażące naruszenie przepisów
Niewątpliwie, jedną z podstawowych przesłanek dopuszczalności przetwarzania danych osobowych, jest zgodność z prawem. Zasada ta sprowadza się do legitymowania się przez administratora danych co najmniej jedną podstawą prawną do przetwarzania danych osobowych (tzw. „zwykłych”), spośród tych określonych w art. 6 RODO.
W tym zakresie, organ nadzorczy przede wszystkim zajmował się zgodą, która może być jedną z podstaw przetwarzania. Niemniej jednak, istotne jest, aby spełniała ona kryteria swobody i dobrowolności wyrażenia. Z tego względu, UODO w niektórych sytuacjach wyklucza możliwość przetwarzania danych w oparciu o zgodę podmiotu danych. Dzieje się tak w sytuacji np. nierównowagi stron, kiedy to pomimo formalnej dobrowolności można spodziewać się, że ze względu na np. podporządkowanie drugiej stronie, osoba fizyczna będzie nijako „zmuszona” do wyrażenia zgody.
Zagadnienie to jest szczególnie istotne w stosunku do danych szczególnych kategorii, określonych w art. 9 RODO, których przetwarzanie jest co do zasady zakazane, a katalog przesłanek legalizujących – ściśle określony. W przypadku takich danych, pozyskanie zgody wydaje się być łatwym sposobem na zapewnienie zgodności z prawem.
Niemniej jednak, jak wynika z wytycznych i decyzji UODO, organ nadzorczy wykluczył możliwość przetwarzania danych osobowych szczególnych kategorii, takich jak dane biometryczne (linie papilarne dzieci) czy dane dotyczące stanu zdrowia (mierzenie temperatury pracownikom podczas pandemii) w oparciu o zgodę podmiotów danych (lub opiekuna prawnego). W pierwszym przypadku, takie rozwiązanie zostało uznane nie tylko za dokonywane bez podstawy prawnej, ale i sprzeczne z zasadą ograniczenia celu (identyfikacja dzieci mogła być z powodzeniem prowadzona z wykorzystaniem innych, mniej inwazyjnych dla prywatności, narzędzi), i skończyło się nałożeniem kary pieniężnej.
Kara pieniężna za brak umowy o powierzenie przetwarzania
Jako brak podstawy prawnej przetwarzania, organ nadzorczy uznał także przekazywanie danych innemu podmiotowi bez zawarcia umowy o powierzenie przetwarzania. Obowiązek ten wynika z art. 28 ust. 3 RODO i wydaje się być jednym z „łatwiejszych” do spełnienia. Praktyka pokazuje, że w większości przypadków administratorzy danych zdają sobie sprawę z konieczności zawarcia umów z podmiotami, którym powierzają przetwarzanie danych.
Nadal jednak w mogą pojawiać się wątpliwości, co do ról w jakich występują oba podmioty (czy mamy do czynienia z współadministrowaniem czy powierzeniem). Coraz rzadziej na szczęście można spotkać nieprawidłową praktykę zawierania umów o powierzenie praktycznie z każdym kontrahentem, przyjętą przez niektóre podmioty w początkowym okresie stosowania rozporządzenia. Zdarzają się także sytuacje, kiedy do zawarcia umowy nie dochodzi – czy to z niewiedzy, czy nieuwagi administratora danych. Niestety, braki w tym zakresie mogą spotkać się z surową oceną UODO i konsekwencjami finansowymi.
_____________
Pierwszym, podstawowym obszarem, na jaki administratorzy danych powinni zwrócić uwagę podczas projektowania procesu przetwarzania danych, a później – podczas samego przetwarzania, jest upewnienie się, że spełnia on zasady określone w art. 5 RODO.
Przede wszystkim, zanim zaczniemy przetwarzać dane, należy zdefiniować ich zakres i cel przetwarzania. Powyższe zasady dotyczą także już istniejących procesów przetwarzania – pułapką może okazać się bowiem powielenie dotychczasowych schematów (np. stosowanie starych formularzy, za pomocą których gromadzone są dane nadmiarowe lub co do których administrator nie legitymuje się podstawą prawną przetwarzania).
Dopiero w dalszej kolejności należy określić w jaki sposób dane będą przetwarzane, w tym zapewnić odpowiednie środki techniczne i organizacyjne, które mają być odpowiednie właśnie dla zakresu, kontekstu i celów przetwarzania. Jeżeli do przetwarzania danych konieczne jest zaangażowanie podmiotów zewnętrznych, wymagane jest zawarcie umowy o powierzenie przetwarzania, która również jest jednym z elementów niezbędnych dla prawidłowości procesu.
Konsekwencje nieuwzględniania powyższych kwestii mogą być bolesne – w przypadku naruszenia podstawowych zasad przetwarzania znajduje zastosowanie wyższy pułap administracyjnej kary pieniężnej (do 20 mln EUR lub 4% obrotu). Ponadto, jak pokazuje praktyka, organ nadzorczy nadaje takim naruszeniom większą wagę, co jest dodatkową okolicznością obciążającą.
Autorem artykułu jest jest r. pr. Katarzyna Kamińska. Tekst ukazał się na łamach Dziennika Rzeczpospolita 1 kwietnia 2021 r.