Prezes Urzędu Ochrony Danych Osobowych podjął w minionym roku pięciokrotnie decyzję o nałożeniu kary finansowej. Mówią, że lepiej jest uczyć się na czyichś błędach aniżeli na swoich własnych. Mając to prawidło na uwadze, w poniższym tekście przyglądamy się uzasadnieniom do decyzji regulatora i sprawdzam, czego możemy się z nich dowiedzieć.

Kary RODO w Polsce – ilość, kwoty oraz jakość uzasadnienia

Pięć decyzji o ukaraniu w 2019 roku czyni z nas europejskich średniaków – przebijamy Holandię czy Norwegię, ale zarazem daleko nam do Niemiec – jedenaście nałożonych w tym okresie kar – czy tym bardziej Hiszpanii, której regulator aż trzydzieści sześć razy sięgnął do kieszeni administratorów danych osobowych w samym tylko dziewiętnastym roku.

Jeżeli chodzi o wysokość kar, również nie bijemy rekordów w którąkolwiek stronę. Nasza najwyższa krajowa kara – 644.780 EUR – wygląda blado przy wyrażonych w setkach milionów karach dla Mariotta czy British Airways. Zarazem jednak polski regulator nie podjął do tej pory decyzji porównywalnej ze 118 Euro, które niemiecki urząd nakazał zapłacić niefrasobliwemu administratorowi.

Zainteresowanych zachęcam do śledzenia naszej strony, na której na bieżąco zawiadamiamy o wszystkich karach zapadających w Europie – https://mwinspektorzy.pl/kary-rodo/

Wracając do porzuconego wątku, można więc śmiało powiedzieć, że zarówno w wymiarze “ilościowym”, jak i “jakościowym”, nasz regulator działa z rozwagą. Oczywiście, pomimo tego umiaru – przynajmniej na tle innych urzędów ochrony danych – nie brak kontrowersji wokół części decyzji Prezesa Urzędu Ochrony Danych Osobowych.

Poniekąd przekonany jestem, że dyskusje i spory stanowią pokłosie deficytów w warstwie uzasadnienia stanowiska naszego regulatora. Widać to zwłaszcza w przypadku pierwszej kary w Polsce – Bisonde’a. Choć zgadzam się ze stwierdzeniem, że “można by powiedzieć więcej” to jednak cieszę się już z tego, czego możemy się dowiedzieć z uzasadnień, którymi obdarzył nas nasz urząd. Trzeba bowiem podkreślić, że elastyczność RODO przez wielu widziana jest jako jego niedookreśloność, a więc wada. Stanowisko PUODO wyrażone w decyzjach minionego roku jest więc w tym sensie bardzo cenne, że przynajmniej częściowo tą niedookreśloność niweluje – parę spraw wyjaśnia.

Poniżej, chronologicznie, przyglądam się tym jakże potrzebnym strzępom informacji.

Kara RODO – Bisnode

2019-03-26, kwota 219.538 EUR

Pierwszą karę w Polsce otrzymał Bisnode – podmiot gromadzący i sprzedający, między innymi, dane przedsiębiorców i byłych przedsiębiorców. Powodem podjęcia decyzji o ukaraniu był fakt, że administrator ten świadomie nie zawiadomił przeszło 6,5 mln osób o tym, że gromadzi i wykorzystuje biznesowo ich dane.

Bisnode zaniechanie to argumentował względami finansowymi – dysponował bowiem wyłącznie możliwością przekazania powiadomień pocztą tradycyjną, co kosztowałoby niebagatelną kwotę, przeszło 33 mln zł. Niewielką liczbę spośród poszkodowanego grona – 181 tysięcy ludzi – administrator mógł powiadomić telefonicznie, czego także nie wykonał uznając, że byłoby to niewspółmiernie obciążające organizacyjnie. W zastępstwie dokonał publikacji powiadomienia o przetwarzaniu na własnej stronie internetowej. Doprecyzowując, aby dowiedzieć się, że Bisnode zgromadził i sprzedaje moje dane, musiałem wiedzieć o istnieniu tej firmy i wejść na jej stronę.

Należy tutaj podkreślić, że RODO przewiduje zwolnienie z obowiązku powiadamiania w przypadku, w którym wykonanie takiej operacji wiązałoby się z niewspółmiernie dużym wysiłkiem (uwaga, dotyczy wyłącznie obowiązku informacyjnego z art. 14 – tzw. wtórnego, mającego miejsce kiedy pozyskujemy dane od innego administratora, a nie bezpośrednio od osoby, której one dotyczą).

Urząd nie przyjął jednak tej argumentacji wskazując na fakt, że Bisnode działa na rynku od 25 lat, co należy rozumieć w ten sposób, że miał możliwość dokonania modyfikacji modelu biznesowego w sposób umożliwiający realizację obowiązku powiadamiania (przypomnijmy, że nasza stara, krajowa ustawa również stawiała przed administratorami analogiczne wyzwanie).

Niezaprzeczalnie, można sobie wyobrazić szereg sposobów, na jaki obowiązek ten dałoby się wykonać. Najprostszym, choć z formalnego punktu widzenia wciąż niedostatecznym (z uwagi na terminy) byłoby umowne przeniesienie obowiązku zawiadamiania na klientów Bisnode. Podmioty te dysponują bowiem, praktycznie zawsze, danymi kontaktowymi swoich kontrahentów lub potencjalnych kontrahentów, których wiarygodność badają korzystając z zakupionych danych.

Analizując zaistniałą sytuację przez pryzmat tego, czego możemy się nauczyć z dotychczasowej praktyki regulatora, podkreślić należy parę kwestii:

  • Nie każda usługa oparta o handel danymi osobowymi znajdzie dla siebie miejsce w nowej, europejskiej rzeczywistości prawnej – choć wniosek ten może wielu zaniepokoić, to obawiam się, że był on oczywisty już jakiś czas temu – aby prywatność była zabezpieczona, praktyki rynku informacji muszą ulec zmianie;
  • Niewspółmierność, o której mówi RODO, a jaka stanowi podstawę zaniechania realizacji obowiązku zawiadamiania, nie jest wyłącznie prostą relacją pomiędzy majętnością administratora, a kosztem przekazania informacji – przy ocenie współmierności w grę wchodzą przede wszystkim charakter, kontekst i cele przetwarzania. Jest to współmierność między zagrożeniami, czy też konsekwencjami przetwarzania, a kosztem redukcji tych zagrożeń. Samo zaś ułatwienie w postaci zwolnienia z obowiązku notyfikacji przewidziane jest raczej dla przypadków, w których przetwarzanie to przynosi społeczne korzyści.

Co zastanawiające, decyzja opiera się o przekonanie, że Bisnode procesuje wyłącznie dane pochodzące z publicznych rejestrów. W uzasadnieniu brak jest choćby wzmianki o informacjach, które przesyłane są przez stronę zapytującą (klienta Bisnode). Jest to o tyle zdumiewające, że te dodatkowe dane przeważnie miały znacznie bardziej sensytywny charakter aniżeli informacje rejestrowe i do tego Bisnode, w swojej ówczesnej nocie informacyjnej, zdawkowo komentował ich charakter, pochodzenie i przeznaczenie. Trudno jest orzec, czy przetwarzanie to nie było przedmiotem kontroli lub, ze względu na inne czynniki formalne, nie zostało uwzględnione w decyzji czy też Urząd nie dopatrzył się w nim nieprawidłowości. Dość jednak powiedzieć, że nawet najbardziej transparentna i wydawałoby się najmniej groźna działalność administratora dawała podstawy do nałożenia kary finansowej.

Kara RODO – Dolnośląski Związek Piłki Nożnej

2019-04-25, kwota 12.950 EUR

Kara nałożona na DZPN, choć niewysoka, również dostarcza paru istotnych informacji. Ponownie jednak, w pierwszej kolejności, musimy nakreślić okoliczności jej nałożenia. Dolnośląski Związek Piłki Nożnej, działając na podstawie uchwały Zarządu Polskiego Związku Piłki Nożnej z dnia 19 kwietnia 2012 r., nr IV/74, w sprawie licencji dla sędziów piłkarskich (nr VI/90, z dnia 13.05.2015 r., tekst jednolity), upublicznia informacje osób, którym wydano licencje sędziowskie. DZPN zamieszczał w Internecie imiona i nazwiska, numery PESEL oraz adresy zamieszkania tych ludzi.

Pierwszym przejawem niezgodności z RODO był, w tym przypadku, zakres danych podany do publicznej wiadomości (do tego wniosku doszedł zresztą sam ukarany). Drugim błędem, którego dopuścił się Dolnośląski Związek było natomiast nieskuteczne usunięcie nadmiarowych danych. Co istotne, usunięcie danych zostało przez administratora zlecone firmie zewnętrznej (podmiotowi przetwarzającemu, powiązanemu umową powierzenia przetwarzania). Odnoszę silne wrażenie (treść uzasadnienia niestety nie jest w tym miejscu jednoznaczna), że ten podmiot zewnętrzny nie uporał się z powierzonym mu zadaniem. Alternatywnie, podmiot ten mógł zawiadomić DZPN o działaniach, które przewiduje podjąć,
a sam administrator nie zrozumiał do końca tego komunikatu lub zbagatelizował zagrożenia w nim wskazane.

Wiemy jednak na pewno, że pomimo zawodowego, profesjonalnego charakteru usług obsługi strony www, z których korzystał ukarany, organ nadzoru nie uznał faktu zlecenia usunięcia informacji jako zwalniającego DZPN z odpowiedzialności. Zdaniem regulatora, DZPN powinien dokonać weryfikacji, czy polecenie usunięcia danych zostało faktycznie wykonane, a raczej, czy podjęte kroki zapobiegają skutecznie dalszemu przetwarzaniu danych.

Wczytując się w uzasadnienie tej decyzji, doszukać się można paru istotnych informacji:

  • Właściwą podstawą prawną przetwarzania danych osobowych w celu realizacji postanowień przepisów prawa wewnętrznego jest przesłanka prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO) (choć informacja ta nie ma bezpośredniego związku z karą, może się wciąż okazać przydatna dla wielu osób);
  • W każdym przypadku, kiedy administrator dysponuje swobodą decyzyjną w zakresie tego, jakie konkretnie typy informacji pozyska do realizacji określonego celu, musi kierować się zasadą minimalizacji danych. Fakt, że przetwarzanie służy wykonaniu zadań narzuconych administratorowi nie stanowi zwolnienia z obowiązku wywiązania się z tej zasady; i wreszcie
  • Fakt zlecenia realizacji określonych operacji na danych podmiotowi przetwarzającemu nie gwarantuje bezpieczeństwa prawnego administratora – administrator ten odpowiada wciąż za dostateczność tych działań oraz weryfikację, czy zostały one podjęte.

O ile informacja o obowiązku kierowania się zasadą minimalizacji jest raczej potwierdzeniem słusznej intuicji, jaką prawdopodobnie podziela każdy, który przeczytał RODO, o tyle podkreślenie odpowiedzialności administratora za nieskuteczność działań podmiotu przetwarzającego jest istotną kwestią.

Zacząć należy od tego, że bezpieczeństwo prawne administratora nie jest realne jak długo dane osobowe nie są dostatecznie chronione. Związek pomiędzy faktyczną skutecznością ochrony prywatności, a odpowiedzialnością tych, którzy prowadzą przetwarzanie, jest nierozerwalny. Relacja ta zdaje się w pełni rozsądna, racjonalna i uzasadniona. Obowiązki administratora nie służą same sobie ale mają na celu ochronę danych osobowych. Nic więc dziwnego, że jak długo ochrona ta jest niepełna, tak długo administratorowi grożą prawne konsekwencje.

Z czysto operacyjnego punktu widzenia, stanowisko takie budzi jednak wątpliwość. Czemu kara została nałożona na administratora, a nie podmiot przetwarzający? Organ nadzoru dysponuje również uprawnieniem do ukarania wykonawcy czy też podwykonawcy przetwarzania. Nie istniały zatem formalne przeciwwskazania uniemożliwiające pociągnięcie do odpowiedzialności podmiotu, który opiekował się stroną internetową DPZN i nieskutecznie usunął dane.

Choć, w zaistniałych okolicznościach, do pomyślenia jest aby administrator zweryfikował czy jego polecenie zostało zrealizowane, nietrudno też wyobrazić sobie inny, podobny przypadek, w którym taka weryfikacja byłaby niemożliwa. Cechą usług wysoce specjalistycznych, w tym usług programistycznych oraz IT jest to, że aby dokonać ich weryfikacji, niezbędne jest dysponowanie ekspercką wiedzą. Myślę, że nie przestrzelę się również znacznie jeśli stwierdzę, że właśnie po to wspieramy się usługami zewnętrznymi aby pokryć w ten sposób własne deficyty po stronie umiejętności lub zaplecza. Rodzi się więc pytanie, czy nadzór nad podmiotem przetwarzającym, przynajmniej w niektórych przypadkach, nie jest fikcyjny?

Jeżeli jest, a silnie wydaje mi się, że przynajmniej bywa, to czy w konsekwencji zaniechać mamy korzystania z usług specjalistycznych (np. serwisu tomografu komputerowego) czy też jednak lepszą drogą byłoby pociąganie do odpowiedzialności administracyjnej faktycznych sprawców naruszenia? W mojej ocenie, to drugie podejście wydaje się bardziej bezpieczne. W świetle omawianej decyzji wydaje się jednak, że nie ma bezpiecznego powierzenia jak długo dane osobowe nie są faktycznie bezpieczne. Choć, co do zasady, ma to sens, operacyjnie decyzja ta stanowi wielki znak ostrzegawczy i każe ponownie rozważyć każdy pomysł skorzystania z usług, których jakości nie mamy jak zweryfikować.

Kara RODO – Morele.net

2019-09-10, kwota 644.780 EUR

Najgłośniejszą i najwyższą karą jest ta, którą regulator nałożył na Morele.net. Zarazem, jak to często bywa w medialnych sprawach, informacje dotyczące przyczyny ukarania zawarte w obiegowych, zgrubnych opracowaniach, są na tyle nieprecyzyjne, że aż mylące. Przetwarzając dane i biorąc za nie odpowiedzialność, warto w szczegółach pochylić się nad tą decyzją.

Zacząć należy od nakreślenia sytuacji. W Morele.net miało miejsce przełamanie zabezpieczeń informatycznych – atak hakerski, którego rezultatem była kradzież danych. Jak wiemy z raportu Niebezpiecznika, ze sporym prawdopodobieństwem, w następnym kroku cyberprzestępca posunął się do szantażu. O tym jednak uzasadnienie kary nie wzmiankuje, co jest niezmiernie istotne. Karę przyznano za zastosowanie niedostatecznych zabezpieczeń. Nadto, niejako jako wątek towarzyszący, pojawia się kwestia usunięcia przez ukarany podmiot części danych, które mogły zostać wykradzione wskutek ataku.

Kontrowersje wokół tej decyzji PUODO wynikają przede wszystkim z tego, że administrator posiadał liczne systemy zabezpieczeń, poddawał się audytom, stosował się do zaleceń poaudytowych i był w stanie udokumentować wszystkie te operacje. W efekcie, przy pobieżnej lekturze, można dojść do niepokojącego wniosku, że czego byśmy nie zrobili, o ile nasze zabezpieczenia zostaną przełamane, i tak grozi nam kara. Sam ukarany, w piśmie kierowanym do UODO, argumentuje, że RODO nakłada na niego obowiązek oceny ryzyka i doboru środków w celu minimalizacji zagrożeń. Nierealne jest natomiast całkowite usunięcie tego ryzyka i irracjonalne jest oczekiwanie, że administrator zapobieże każdemu atakowi.

Co kluczowe, regulator nie podważa tego stanowiska – przyczyną ukarania nie jest fakt, że atak hakerski się powiódł. W uzasadnieniu czytamy natomiast, że akurat te podatności, które zostały wykorzystane do popełnienia cyberprzestępstwa zostały już wcześniej rozpoznanie i opisane w wytycznych i normach związanych z bezpieczeństwem teleinformatycznym (Urząd, konkretnie, powołuje się na wytyczne Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji, wytyczne skierowane do twórców oprogramowania, opracowane przez międzynarodową organizację OWASP, opracowania amerykańskiej agencji federalnej – Narodowego Instytutu Standaryzacji i Technologii oraz normy PN-EN ISO/IEC 27001:2017-06 i PN-ISO/IEC 29115:2017‑07).

Stanowisko PUODO znajduje więc silne oparcie w przepisie, który, w art. 32, mówi, że dobierając zabezpieczenia musimy kierować się również “stanem wiedzy technicznej”, a więc tym, co wiadomo o rozważanym przez nas rozwiązaniu, jak również, o zagrożeniach, z którymi przyjdzie nam się mierzyć. Jako że niniejszy tekst skupia się na tym, czego możemy nauczyć się z dotychczasowych kar, postarajmy się dokonać w tym miejscu swoistego podsumowania:

  • Po pierwsze i najważniejsze – cyberprzestępczość jest realnym i niestety powszechnym zagrożeniem – administrator nie może ignorować tego zagadnienia ani też traktować go po macoszemu;
  • Następnie, samo to, że nasze zabezpieczenia okazały się niedostateczne, nie narusza postanowień RODO;
  • Niedopełnieniem obowiązku ochrony jest natomiast bagatelizowanie zagrożenia;
  • Nie ma również większego znaczenia, ile już wydaliśmy pieniędzy na bezpieczeństwo jeżeli przetwarzając dane na dużą skalę nadal nie uporaliśmy się z ryzykami, o których pisze się w fachowej literaturze;
  • Przygotowując się do rzetelnej oceny ryzyka w zakresie bezpieczeństwa teleinformatycznego, warto kierować się danymi zawartymi w opracowaniach ww. instytucji i organizacji – zdaniem PUODO są to rzetelne informacje; i wreszcie
  • Należy poważnie rozważyć zastosowanie dwustopniowego uwierzytelniania w systemach i usługach wystawionych do sieci publicznej. Zaniechanie takiego rozwiązania musi być świadomą decyzją i musi być poparte argumentami (przypominam, decyzja dotyczy przetwarzania na dużą skalę). Dwustopniowe uwierzytelnianie jest więc rozwiązaniem domyślnym, sugerowanym (karę za zastosowanie jednostopniowego uwierzytelniania nałożył też regulator holenderski).

W dalszej kolejności, jak wspomnieliśmy powyżej, kara dotyczyła braku możliwości okazania się podstawą prawną przetwarzania danych osobowych, które w okresie naruszenia były jeszcze procesowane natomiast później zostały usunięte. Należy podkreślić, że pierwotną podstawą przetwarzania była tutaj zgoda osób, których dane dotyczą. Administrator twierdził, że utracił zdolność dowodową (usunął zgody) z chwilą, w której uznał, że cel, jaki sobie obrał, został zrealizowany. Na gruncie RODO, faktycznie jest tak, że gdy osiągniemy wyznaczony cel przetwarzania, zobowiązani jesteśmy usunąć dane osobowe. Mimo wszystko jednak, Urząd nie przyjął takiego wyjaśnienia.

Z uzasadnienia dowiadujemy się dwóch istotnych rzeczy. Po pierwsze, że jeżeli określone informacje mogły zostać ujawnione lub zmodyfikowane wskutek naruszenia ochrony danych osobowych, nie wolno nam ich usunąć nawet jeżeli pierwotny cel przetwarzania został osiągnięty. Dopiero przekonawszy się, czy dane te utraciły poufność lub integralność oraz jakie mogły być konsekwencje oraz dokonawszy udokumentowania tych ustaleń, uprawnieni jesteśmy do usunięcia danych.

Po drugie, Urząd precyzuje, jakiego typu informacje administrator powinien był gromadzić na temat danych osobowych procesowanych na podstawie zgody, w celu wykazania faktu posiadania podstawy prawnej. Ta deklaracja ze strony regulatora jest niezmiernie dla nas cenna i należy ją traktować bardzo poważnie. Musimy mianowicie udokumentować:

  • Kto wyraził zgodę?
  • Jaka była treść zgody?
  • Jaki był mechanizm wyrażenia zgody (prawdopodobnie chodzi tutaj o to, w jakiej postaci oraz gdzie zgoda została wyrażona)?
  • Jaka była treść powiadomienia o przetwarzaniu danych osobowych oraz jak odnosiła się ona do samego procesu wyrażania zgody?
  • Czy zgoda została wycofana, a jeżeli tak, to kiedy?

Należy podkreślić, że informacje wymienione powyżej nie powinny podlegać bezterminowemu przechowywaniu dla celów dowodowych w każdym przypadku przetwarzania danych osobowych na podstawie zgody. Urząd oczekiwał przedstawienia tych faktów dlatego, że miało miejsce naruszenie ochrony danych osobowych. Konkretnie, regulator zauważa, że usunięcie powyższych informacji przed ustaleniem ostatecznych konsekwencji naruszenia było lekkomyślne i zwiększało ryzyko dla osób poszkodowanych.

Co również niezmiernie ważne w omawianym przypadku, w uzasadnieniu, Urząd nie dotyka sprawy podjęcia negocjacji z cyberprzestępcą i (prawdopodobnego) rozważania, jako opcji, uiszczenia okupu w celu ochrony prywatności klientów ukaranego.

Jeżeli przypomnimy sobie wydarzenia z 2017 roku, kiedy oprogramowanie szyfrujące Wannacry (lub jego odmiany) zaatakowało skutecznie ponad 200 tysięcy komputerów, stanowisko PUODO w sprawie płacenia okupów okazuje się bardzo doniosłe. Wówczas wielu przedsiębiorców zdecydowało się na ten krok i zawarło porozumienie z cyberprzestępcami. Choć w przypadku Morele.net do zapłaty okupu nie doszło, sam fakt, że w uzasadnieniu kary nie ma ani słowa o zwłoce w powiadomieniu osób poszkodowanych, która wynikała z prowadzenia negocjacji z bandytami sugeruje, że regulator dopuszcza taki środek redukcji skutków naruszenia.

Kara RODO – ClickQuickNow

2019-10-16, kwota 47.000 EUR

Sprawa ClickQuickNow jest raczej prosta – przyczyną nałożenia kary jest utrudnianie albo przynajmniej zaniechanie ułatwiania korzystania z praw przysługujących osobom, których dane przetwarzamy.

Administrator ten stosuje dane osobowe dla celów marketingowych, w oparciu o zgody odbiorców tego marketingu. Wycofanie zgody, które w świetle prawa powinno być równie łatwe, co jej wyrażenie, odbywało się wieloetapowo. Mało tego, osoba próbująca zrezygnować otrzymywała niejednoznaczne informacje. Ostatecznie, administrator ignorował spływające do niego sygnały, które prawdopodobnie mogły być próbami odwołania zgody. Niestety, z uwagi na strukturę dokumentu udostępnionego na stronie Urzędu, treść tych domniemanych rezygnacji nie jest znana.

RODO mówi wprost, że administrator ma ułatwiać osobom, których dane posiada skorzystanie z przysługujących im praw. Ułatwiać to więcej niż “umożliwić”, a nawet więcej niż “nie utrudniać”. Ułatwiać to pomagać i z praktyki wiem, że taka pomoc nierzadko jest potrzebna.

Obiegowe rozumienie niektórych terminów stosowanych do opisu uprawnień nadanych ludziom przez RODO bywa błędne lub uogólniające. W rzeczywistości, z chwilą otrzymania wniosku, praktycznie zawsze potrzeba ponownie powiadomić osobę o przysługujących jej prawach i poprosić o wskazanie, z którego z nich chce skorzystać. Oczywiście, w takiej korespondencji zawiadamiamy danego człowieka, co każde z tych praw znaczy i jaki będzie skutek jego zastosowania. Jak więc jasno widać, podejście ukaranego podmiotu dalekie jest od tego, co potrzebne i tego, czego wszyscy byśmy oczekiwali będąc odbiorcami niechcianego marketingu.

Kara ta, pomimo swej oczywistości, ma też wymiar edukacyjny. Potwierdza ona, że musimy faktycznie i sumiennie przeanalizować komunikaty, które kierujemy do ludzi. Zapewnienie czytelności i jednoznaczności tych informacji to nasz obowiązek. Przygotowane noty możemy przepuścić przez automat badający trudność tekstu lub dać do przeczytania osobie spoza naszej branży – możliwości jest wiele. Jedno jest natomiast pewne – świadome wprowadzanie w błąd jest karalne. Świadome utrudnianie zrozumienia procesu również jest karalne.

Jeżeli zaś chodzi o samą realizację praw przysługujących osobom, których dane posiadamy, warto regularnie monitorować typy wpływających do nas wniosków lub zapytań. Przeważnie istnieje duża powtarzalność – większość piszących do nas ludzi chce tego samego lub znajduje się w podobnej sytuacji. Sygnały te jasno wskazują na to, które obszary naszej działalności trzeba poddać bardziej szczegółowej analizie (może ocenie skutków dla ochrony danych) i, w razie potrzeby, przebudować lub przynajmniej lepiej objaśnić.

Kara RODO – Burmistrz Aleksandrowa Kujawskiego

2019-10-18, kwota 9.380 EUR

Przyglądając się szczegółowo uzasadnieniu decyzji o nałożeniu kary na Burmistrza Aleksandrowa Kujawskiego, ustalić można, jakie konkretnie aspekty przetwarzania Urząd uważa za kluczowe.

Przypomnijmy, że naruszenia dotyczyły zasadniczo trzech obszarów:

  • Niedopełnienia obowiązku zawarcia umów powierzenia przetwarzania danych osobowych z podmiotem prowadzącym i hostującym stronę BIPu;
  • Braku jasnych ustaleń w zakresie okresu, przez który dane osobowe powinny widnieć w Biuletynie Informacji Publicznej oraz faktycznego, operacyjnego niedochowania obowiązku usuwania danych, dla których okres ten jasno wskazują przepisy; oraz
  • Braku właściwych zabezpieczeń danych zawartych w nagraniach wideo, które upubliczniono przez publikację na kanale w serwisie Youtube.

Pierwsze zagadnienie, a więc fakt zaniechania zawarcia wymaganych prawem umów powierzenia przetwarzania, nie budzi najmniejszych wątpliwości i w mojej ocenie, nie wymaga komentarza. Pozostałe nieprawidłowości ilustrują natomiast problemy, z którymi każdy w praktyce się boryka. W pierwszej kolejności “weźmy na warsztat” tak zwaną retencję danych, a więc zasadę ograniczenia czasowego.

Oczywistym jest, że konieczne jest ustalenie i odnotowanie okresów, przez które dozwolone jest przetwarzanie konkretnych danych osobowych. Wymóg ten wynika bowiem wprost z RODO. Istotną i nową informację stanowi wskazanie w decyzji braku “polityk” określających zasady przeglądu zawartości BIP. Takie uzasadnienie kary jasno ilustruje, że stworzenie teoretycznych ram przetwarzania nie wystarczy. Potrzebna jest implementacja – przekucie tej teorii w praktykę – a to znów oznaczać może konieczność spisania zasad postępowania z konkretnym zasobem.

Należy podkreślić, że pisząc o “politykach” Urząd odwołuje się do brzmienia art. 24 RODO, który stanowi, że jeżeli to proporcjonalne w stosunku do czynności przetwarzania (czytaj – potrzebne), administrator spisuje polityki właśnie jako dodatkowe, organizacyjne, środki ochrony mające zwiększać bezpieczeństwo danych oraz zdolność dowodową odnośnie przestrzegania przepisów.

Innymi słowy, jeżeli dane czynności lub operacje obarczone są zwiększonym ryzykiem błędu ludzkiego to należy spisać zasady postępowania aby to ryzyko zmniejszyć. Mniemam, że pogodziliśmy się już z tym, że w obecnym porządku prawnym tworzymy procedury tłumaczące skomplikowane procesy. Przegląd zawartości BIP wydaje się jednak nie należeć do tej kategorii.

Decyzję PUODO należy więc rozumieć w taki sposób, że spisane zasady mogą być również potrzebne w odniesieniu do czynności prostych, ale pracochłonnych i wymagających dużej skrupulatności. Domniemam, że operacyjnie ta brakująca polityka mogłaby mieć kształt checklisty, z którą osoby odpowiedzialne dokonywałyby weryfikacji zasadności publikacji danych informacji.

Ilekroć więc przetwarzamy wiele typów informacji, o różnych podstawach prawnych przetwarzania i niejednolitym okresie retencji, należy poważnie rozważyć stworzenie wewnętrznych regulacji, które zapewnią należyty nadzór i terminowe usuwanie danych osobowych.

Mój wewnętrzny sprzeciw budzi wybrzmiałe w uzasadnieniu, kategoryczne stwierdzenie, że administrator powinien skonstruować formalną procedurę pozwalającą ustalić okres, przez które dane powinny być przetwarzane. Taki nakaz godzi, w mojej ocenie, w zasadę proporcjonalności, która ma zachodzić pomiędzy zagrożeniami, a “zabezpieczeniami”. Oczywiście, ustalenie okresu przechowywania musi nastąpić. Nie jestem natomiast zdania, aby w każdym przypadku niezbędne było stworzenie w tym celu sformalizowanej procedury.

Mam nadzieję, że stanowisko regulatora wynika w tu konkretnie z faktu, że w wyniku braku takiej procedury doszło do naruszenia prawa. Jestem zdania, że mamy do czynienia z decyzją post factum i to w tym jednostkowym przypadku i że w decyzji tej nie należy doszukiwać się generalnego obowiązku spisywania procedur pod BIP. Oczywiście, ostateczna decyzja w tej materii ciążyć będzie zawsze na barkach administratora. Myślę, że przesłankę kluczową powinna stanowić praktyka – sugeruję przegląd treści opublikowanych na BIP. Jeżeli w wyniku takiego sprawdzenia dojdziemy do wniosku, że są tam dane, których już nie wolno nam przetwarzać, będzie to jasny sygnał, że procedura byłaby pomocna.

Decyzja uwypukla również, że spisane, sformalizowane zasady zapobiegania ryzyku służą również wykonaniu obowiązku dowodowego wynikającego z zasady rozliczalności. W tym sensie, procedury pozwalają wykazać, że dane są bezpieczne. Oczywiście, z logiką tą nie można dyskutować. Sęk w tym, że próbując doszukać się przejawów uniwersalnych zasad w partykularnych decyzjach PUODO, możemy w tym miejscu dojść do wniosku, że każda operacja przetwarzania powinna być proceduralnie udokumentowana.

Nie dość, że przygotowanie i utrzymanie tylu procedur byłoby niezmiernie trudne, to jeszcze, procedury te usztywniłyby także te operacje, które muszą być prowadzone w sposób elastyczny, z uwagi na swój charakter, kontekst i cele. Ponownie jednak, ostateczne rozstrzygnięcie w tej kwestii, w której o lepsze walczy efektywność z bezpieczeństwem, powinna nastąpić w procesie analizy ryzyka. Godnym odnotowania faktem jest również to, że gdy przyglądamy się omawianym przypadkom, zagadnienie analizy ryzyka zostaje ukazane w nowym świetle. Nie mówimy tu bowiem o silnie ustandaryzowanym, tabelarycznym uchwyceniu potencjalnych mechanizmów nieuprawnionego ujawnienia lub edycji danych, a raczej o próbie udzielenia odpowiedzi na pytanie, na jaką swobodę organizacyjną możemy sobie pozwolić.

Niezmiernie ciekawe jest jest również to, w jaki sposób Urząd przystąpił do oceny zagrożeń związanych z publikacją danych zawartych w nagraniach z sesji rady miejskiej. Aby naświetlić nieco sprawę, nagranie było automatycznie archiwizowane na serwerach YouTube, a administrator nie przechowywał jego kopii. Jak wiemy z RODO, na administratorze ciąży obowiązek ochrony danych przed ich utratą oraz obowiązek zapewnienia, że w przypadku takiej utraty, dane można będzie odtworzyć. Oczywiście, zapewnienie tego rodzaju zabezpieczeń można powierzyć firmie zewnętrzne (w tym przypadku, Google LLC będącego właścicielem seriwsu Youtube). Podobnie, jak w przypadku DZPN, konieczne jest jednak aby administrator mógł wykazać, że zabezpieczenia te zostały faktycznie zastosowane. Innymi słowy, kiedy analizujemy ryzyko, musimy również dokładnie zapoznać się z treścią umów łączących nas z wykonawcami i podwykonawcami przetwarzania. Jeżeli bowiem zabezpieczenie danych zostało tym podmiotom zlecone, umowa będzie dla nas pełniła funkcję dowodową na gruncie zasady rozliczalności.

W uzasadnieniu czytamy, że:
“Jak wynika z materiału dowodowego Burmistrz nie wskazał, iż istnieją procedury, które dawałyby gwarancję ochrony danych osobowych przetwarzanych na kanale YouTube.”
Jasne jest więc, że w ocenie Urzędu, sama niemożność wykazania, że chroni się dane osobowe jest naruszeniem dostatecznym i wystarczającym do nałożenia kary finansowej.

Poza wskazanymi wyżej, trzema kluczowymi nieprawidłowościami, kontrola wychwyciła także braki w Rejestrze Czynności Przetwarzania. Wyłączną istotną nauką, jaką możemy wyciągnąć z uzasadnienia jest fakt, że skorzystanie z usługi hostingu kwalifikuje się jako powierzenie przetwarzania danych osobowych. Jest to o tyle istotne, że eksperci
w dziedzinie ochrony danych od pewnego czasu reprezentowali w tej kwestii dwa odmienne poglądy. Obecnie wiemy już, że bezpiecznie jest kwalifikować przechowywanie danych jako ich przetwarzanie.

Jak uniknąć kar?

Aby podsumować powyższe rozważania należycie, ważne jest aby wybrzmiało parę istotnych stwierdzeń:

  • Oceniając, czy grożą nam kary, postawmy się w roli osoby, której dane posiadamy – jak długo prywatność tych ludzi jest zagrożona, tak długo nas mogą dotknąć konsekwencje niedopełnienia obowiązku ochrony. To my (administratorzy) mamy możliwość oceny, że nie jesteśmy przygotowani na procesowanie określonych informacji, o ile uznamy, że nie damy rady zapewnić skutecznych zabezpieczeń. Wprowadzone w RODO zasady domyślnej ochrony oraz ochrony w fazie projektowania mają zapewnić abyśmy nie porywali się z motyką na słońce. Niestety, w niektórych przypadkach będzie to oznaczało, że zmuszeni będziemy zaniechać działalność w sensytywnych obszarach.
  • Budowanie i utrzymanie systemu ochrony danych osobowych wymaga indywidualnego podejścia i trzeźwej, rzeczowej oceny problematyki konkretnego przedsiębiorstwa lub urzędu. Niuanse przesądzają o tym, czy dane są bezpieczne. Jeżeli więc, w pierwszej fazie budowania zgodności z RODO, zmuszeni jesteśmy pójść na pewne kompromisy i zgrubnie szacujemy ryzyko, miejmy z tyłu głowy, że prędzej czy później musimy przystąpić do pogłębionej oceny.
  • Liczmy się nie tylko z literą, ale i duchem tych przepisów. Urząd Ochrony Danych Osobowych ewidentnie rozumie i bierze pod uwagę intencje ustawodawcy europejskiego. RODO nie służy ochronie nas (administratorów, podmiotów przetwarzających), ale ludzi, którzy nam zaufali. Musimy się liczyć z faktem,
    że przepis ten asymetrycznie podchodzi do naszych relacji z osobami, których dane dotyczą i zmusza nas do ustępstw w imię korzyści społecznych i poprawy bezpieczeństwa.
  • Podchodźmy więc poważnie do swoich obowiązków względem osób, których dane posiadamy. Zawczasu zadawajmy sobie pytania o to, jak te prawa zrealizujemy. Postarajmy się przewidzieć trudności, na które możemy napotkać. Przygotowane rozwiązania poddajmy sprawdzianowi i nie pozostawajmy ślepi na wyniki tych testów.
  • Bądźmy na bieżąco z zagadnieniami z zakresu cyberbezpieczeństwa. Monitorujmy wiarygodne i regularnie aktualizowane źródła informacji. Nie mamy prawa nie wiedzieć, jakim zagrożeniom podlegają operacje, które prowadzimy.
  • Tam, gdzie nie umiemy sobie poradzić inaczej, spisujmy procedury. Wykonujmy prace koncepcyjne aby być gotowym na wyzwania, a nie gdy te wyzwania nas przerastają. Oceniając zasadność spisania wewnętrznych zasad przetwarzania, bierzmy pod uwagę nie tylko ryzyko wystąpienia błędu ludzkiego, ale też zdolność dowodową – pamiętajmy, że mamy obowiązek wykazania, że chronimy dane osobowe.
  • Ostatecznie, wszędzie tam, gdzie nie dajemy rady samemu, wybierajmy profesjonalne podmioty zewnętrzne i zawierajmy bezpieczne, szczegółowe umowy. Ponownie, to na nas ciąży obowiązek ochrony danych i jeżeli obowiązek ten ma być realizowany rękoma innych osób, musimy mieć gwarancję, że zostanie on wykonany w całości i poprawnie.