Edyta Bielak – Jomaa, Prezes Urzędu Ochrony Danych Osobowych nałożyła pierwszą karę finansową za niezgodność z nowym prawem o ochronie danych osobowych. Wysokość kary – prawie milion złotych – z pewnością “ma walor odstraszający” (tak o karach mówi samo RODO).

W Internecie zawrzało. Nie brak komentarzy pełnych aprobaty, jak również skrajnie krytycznych. Dyskutowana jest zarówno wysokość nałożonej kary jak i jakość czy też precyzja, z jaką Urząd sformułował swoją opinię.

Czas pokaże, kto miał rację w tej debacie nad prawdopodobnym przebiegiem odwołania do Sądu Administracyjnego. Obecnie ważniejsze wydaje się to, co niezaprzeczalnie wynika z pokontrolnych decyzji PUODO. Niniejszy tekst dotyczy tego, jak uniknąć błędów, które mogą doprowadzić do ukarania.

Za co ta kara?

Niezgodność z RODO dotyczyła niedopełnienia obowiązku poinformowania ludzi, których dane były zbierane. Mówiąc językiem samego przepisu, chodziło o niewypełnienie zasady przejrzystości. Tematyce tej poświęciłem osobny artykuł, który dosłownie parę dni temu ukazał się na naszym blogu. Jasne i skuteczne komunikowanie się z osobami, o których zbieramy informacje, jest jedną z naczelnych i najważniejszych zasad RODO. Polski przypadek nie jest jedynym, który ilustruje powagę sytuacji. Należy pamiętać, że również Google został ukarany właśnie za nieudolność w zakresie powiadamiania o przetwarzaniu (więcej o wcześniejszych karach nałożonych na gruncie RODO przeczytasz na naszym blogu).

Tym razem kara nie dotyczyła natomiast jakości komunikatów, a faktu zaniechania ich wysłania. Administrator, który operuje bazą około 6 mln rekordów, dokonał skutecznego powiadomienia o przetwarzaniu względem wszystkich osób, z którymi mógł skontaktować się za pomocą poczty elektronicznej (około 90 tys. ludzi). Zaniechał natomiast wysyłki drukowanych komunikatów do pozostałych. Decyzję tę uzasadniał poprzez powołanie się na postanowienia art. 14 ust. 5 lit. b RODO. Przepis mówi, że obowiązku zawiadamiania wolno nie wykonywać, jeżeli jest to technicznie niemożliwe lub wiązałoby się z koniecznością poniesienia niewspółmiernie dużego kosztu (RODO mówi o nim jako o wysiłku – “a disproportionate effort” w oryginalnym tekście anglojęzycznym). Urząd Ochrony Danych Osobowych odrzuca jednak tę argumentację. Prawdopodobne przyczyny zajęcia takiego stanowiska omawiam poniżej. Zacznijmy jednak od tego, co najważniejsze.

Audyt audytowi nierówny

Od pewnego czasu, w rozmowach między przedsiębiorcami, pada raz po raz stwierdzenie, że “mamy RODO” lub “jeszcze tego RODO nie mamy”. Choć dla osób, które zawodowo zajmują się tą tematyką, samo sformułowanie jawi się jako niefortunne lub żartobliwe, z perspektywy administratorów ważne jest zupełnie coś innego. Panuje obecnie przekonanie, że skoro jakieś działania zostały w tym obszarze wykonane, to już z pewnością “jest dobrze” i “jesteśmy bezpieczni”. Praktyka pokazuje niestety, że przeświadczenie to jest dalekie od prawdy.

W środowiskach specjalistów od ochrony danych osobowych od dawna toczono rozmowy o tym, kto będzie pierwszym ukaranym w Polsce. Większość z nas obstawiała, że będzie to podmiot, który totalnie pokpił sprawę i nie wykonał jakichkolwiek kroków w celu zapewnienia danym wymaganego poziomu ochrony. Mniemam, że podobnie zgadywała większość z przedsiębiorców i może Ty również. Raptem okazuje się jednak, że pierwszemu oberwało się komuś, kto bez wątpienia wdrożył RODO. Opracowano powiadomienia, opublikowano je na stronie internetowej. Przesłano tym, z którymi można było się tanio skomunikować. Uzasadniono fakt zaniechania zawiadomienia pozostałych. Włożono więc zauważalny wysiłek w zapewnienie zgodności z ogólnym rozporządzeniem. Z jakiej racji regulator nałożył więc karę?

Ano z takiej, że ochrona, którą wprowadził ten podmiot była fasadowa – była fikcją. Albo audyt był przeprowadzony zbyt pobieżnie, albo przyjęto złe mechanizmy oceny zagrożeń albo też (i to obstawiam osobiście), od początku prowadzono działania nie po to, aby chronić osoby fizyczne, ale po to, aby zabezpieczyć przedsiębiorcę i jego model biznesowy. Nie chcę przesądzać, czy przyczyną była zbytnia pobłażliwość IOD lub outsourcingu, czy też fakt, że administrator, pomimo otrzymania wyraźnych wytycznych, nie zastosował się do przepisów. Oba scenariusze wydają się w pełni prawdopodobne. Teza, którą chcę tutaj postawić, jest taka oto, że nie wystarczy mieć byle czego, aby uniknąć odpowiedzialności.

Około rok temu, w czasie branżowego spotkania “danoosobowców” wybrzmiał dowcip, mówiący, że UODO (skrót od ustawy o ochronie danych osobowych) oznacza “udawaną ochronę danych osobowych” podczas gdy RODO (potoczna nazwa ogólnego rozporządzenia) znaczyć ma “realną ochronę danych osobowych”. Branżowy żart okazał się całkiem trafny, biorąc pod uwagę kontekst nałożenia pierwszej kary finansowej w Polsce.

Jak prowadzić audyt RODO, aby móc faktycznie chronić dane?

Pobożnym życzeniem wielu administratorów jest, aby “było jak dawniej, tylko że zgodnie z RODO”. Podejście takie zakłada, że wymogi prawne są pewnym dodatkiem do praktyki wykorzystywania informacji o ludziach – są czymś bardzo konkretnym, co należy zrobić ponad to, co realizowało się wcześniej. Oczywiście, ochrona danych osobowych wymaga podjęcia takich dodatkowych kroków. Są działania, których bez RODO nie wykonywalibyśmy wcale. Szkopuł jest natomiast taki, że poza dołożeniem tego i owego, ogólne rozporządzenie wymaga również zmiany praktyk w zakresie wykonywania czynności, które już realizujemy i realizowalibyśmy, nawet gdyby RODO nie było. Nie może więc być tak jak dawniej, ale zgodnie z prawem. Pierwszy człon wyklucza bowiem drugi.

Dlatego dobry audyt pociągnie za sobą istotne, odczuwalne zmiany w całej organizacji. Oko audytora nie poszukuje bowiem zagrożeń dla Twojego biznesu, ale dla osób, których dane posiadasz. Trybunał Sprawiedliwości Unii Europejskiej patrzy na problem ochrony danych osobowych wyłącznie przez pryzmat potrzeb, oczekiwań i praw ludzi. Pierwsza polska kara wybrzmiewa w ten sam dokładnie sposób. Aby więc móc przystąpić do skutecznego budowania systemu, który faktycznie chroni dane oraz Ciebie przed negatywnymi konsekwencjami kontroli, musisz przyjrzeć się drugiej stronie medalu. Audyt musi skupiać się na tym, jak sprawy wyglądają dla osób, których dane posiadasz, co te osoby wiedzą, co im wolno i jakie zagrożenia dla nich generujesz.

Jeżeli będziesz przebierał w firmach outsourcingowych w poszukiwaniu kogoś, kto powie Ci wyłącznie to, co chcesz usłyszeć, to ostatecznie wyrzucisz pieniądze w błoto. Ukarany podmiot miał specjalistów od ochrony danych osobowych. Włożono realną i widoczną pracę w budowę systemu. Problem polega na tym, że był to system służący przedsiębiorcy, a nie realizacji obowiązku ochrony prywatności ludzi. Chcesz więc aby audyt był rzetelny, wiarygodny, czytelny i przeprowadzony z wyobraźnią. Konsekwentnie więc, chcesz, aby był realizowany z zaangażowaniem, dogłębny i wyczerpujący.

A co to konkretnie oznacza?

Oceniając, czy realizacja planowanych działań na danych osobowych jest legalna, mamy brać pod uwagę charakter, kontekst i cele tego przetwarzania. Przypatrzmy się więc temu, co wybrzmiało w wypowiedziach pracowników Urzędu, cytowanych przez Business Insider.

Na pierwszy rzut oka, działania ukaranego podmiotu wydają się poprawne. Prowadzi on bowiem zbieranie informacji z publicznych rejestrów. Każdy, kto decyduje się funkcjonować w obrocie gospodarczym przez prowadzenie działalności, musi się liczyć z tym, że część informacji na jego temat będzie jawna. Dlatego też podstawą nałożenia kary nie była niezgodność z zasadą legalności (czyli, przykładowo, brak podstawy prawnej, a więc uzasadnienia dla zbierania danych lub konflikt z wymogami innych przepisów prawa).

Bardziej szczegółowa analiza ukazuje jednak, że realny cel realizacji procesów może odbiegać od tego, który podmiot deklarował. Z osób, które zostały skutecznie zawiadomione o tym, że dochodzi do zbierania ich danych osobowych (około 90 tysięcy), aż 12 tysięcy zgłosiło sprzeciw wobec wykorzystywania informacji na ich temat do celów marketingowych. Wychodzi więc na to, że administrator budował bazy marketingowe na sprzedaż.

Zasada, o której mówi art. 14 ust. 5 lit. b, którą ukarany podmiot wskazał jako uzasadnienie niedopełnienia obowiązku zawiadamiania o przetwarzaniu, uzupełniona jest przykładami. Wzmiankuje się tam, że służy ona ułatwieniu stosowania danych osobowych w celach naukowych, historycznych, archiwalnych lub w związku z realizacją działań w interesie publicznym. Jak widać z przytoczonych wyżej wypowiedzi, faktyczny cel przetwarzania nie mieścił się jednak w tych kategoriach. Miał on bowiem czysto merkantylny, biznesowy charakter. Prawdopodobnie dlatego Urząd uznał, że zastosowanie tzw. wyłączenia (czyli zwolnienia z obowiązku pod pewnymi warunkami) było tutaj nieuzasadnione.
Dobry audyt RODO nie kończy się więc na ustaleniu, jakie dane się zbiera oraz co się twierdzi, że się z nimi robi. Dobry audyt docieka faktycznych przyczyn. Analiza procesów, w których stosuje się informacje o ludziach, musi również uwzględniać dalsze prawdopodobne losy tych danych. Mamy obowiązek przeciwdziałać zagrożeniom dla prywatności, a nie je generować i przerzucać odpowiedzialność na innych.

Dobry audyt nie zaklina rzeczywistości – nie polega na udawaniu, że jest tak czy owak, ale na badaniu i opisywaniu, jak jest faktycznie. Jako ten, kto prowadzi biznes, możesz nie dysponować wiedzą i doświadczeniem pozwalającym Ci miarodajnie ocenić, co konkretnie generuje zagrożenie i jak ono jest poważne. Ocena, która realizowana jest w pierwszej fazie budowania zgodności z RODO służy uzmysłowieniu Ci tych niebezpieczeństw – podkreśleniu ich. Dopiero mając wiedzę możesz przecież świadomie podjąć decyzję i adekwatnie ocenić ryzyko, w tym ryzyko biznesowe dla Ciebie i dla Twojej firmy.

W ostatnich miesiącach pojawiło się sporo osób podających się za specjalistów od RODO, które realizują fasadowe usługi idąc zawsze po linii najmniejszego oporu. Przeważnie takie działanie wynika z sumy niewiedzy i ignorancji oraz chęci ograniczenia kosztów. Nie usprawiedliwiając takich usługodawców (wręcz odwrotnie – piętnując ich), chcę zaznaczyć, że fakt ich istnienia na rynku jasno sygnalizuje, że są klienci, którym zależy na byle czym, na wydmuszce, na pozorach zgodności.

Naturalne systemy obronne, które wykształciła w nas ewolucja, pokazują ciekawą prawidłowość. Przez moment zastanówmy się nad siłą emocji obrzydzenia, które czujemy mijając rozkładające się szczątki zwierzęcia przy drodze lub ilość przypadków, w których spoglądając na opadłą gałąź dostrzegamy w niej węża czającego się w trawie. Badania naukowe dawno udzieliły odpowiedzi na pytanie o przyczynę tych sytuacji. Chodzi o prosty rachunek zysków i strat. Nieuzasadniona reakcja ucieczkowa wiąże się z niższym kosztem niż zbagatelizowanie realnego zagrożenia. Na gruncie RODO, zagrożenie było przez wielu oceniane jako niewielkie. Obecnie powstaje pytanie, czy kara około miliona złotych nałożona w naszym kraju za zatajanie zbierania danych dla celów marketingowych przejdzie bez echa, czy też sprawi, że dostrzeżemy zagrożenie i podejmiemy odpowiednie środki zaradcze? A może doprowadzi ona do kolejnej fali RODOpaniki? Z pewnością reakcje skrajne są groźne i złe. Działa to jednak w obie strony. Nie dostrzegam powodów aby histeryzować. Uważam jednak, że wielkim błędem jest też wychodzenie z założenia, że w RODO chodzi o to, żeby sprytnie oszukać.