Dane osobowe
Spotykamy sytuacje, z których wynika, ¿e administratorzy ewidentnie zaspali i nie wdro¿yli odpowiednich rozwi¹zañ, nie monitoruj¹ zabezpieczeñ, nie testuj¹ ich, a takie dzia³ania podejmuj¹ dopiero gdy dojdzie do naruszenia – mówi „Rzeczpospolitej" Jan Nowak, prezes Urzêdu Ochrony Danych Osobowych.
Miesi¹c temu Urz¹d Ochrony Danych Osobowych po raz pierwszy ukara³ przedsiêbiorcê w zwi¹zku z kwestiami administracyjnymi. Co to znaczy dla w³aœcicieli firm?
Urz¹d na³o¿y³ karê w wysokoœci 85 tys. z³ na przedsiêbiorcê, który nie wykona³ nakazu na³o¿onego na niego w decyzji administracyjnej. Decyzja ta jest efektem wczeœniejszego postêpowania UODO, po którym nakazaliœmy podmiotowi prawid³owe zawiadomienie osób o naruszeniu ich danych osobowych.
Nie zrobi³ tego mimo wszczêcia kolejnego postêpowania, w którym udzielono mu szczegó³owych wskazówek, co powinien zrobiæ. Nie otrzymaliœmy dowodów, które pozwoli³yby uznaæ, ¿e obowi¹zek wynikaj¹cy z nakazu wczeœniejszej decyzji zosta³ przez niego wykonany. Takie zachowanie œwiadczy o ra¿¹cym lekcewa¿eniu obowi¹zków zwi¹zanych z ochron¹ danych osobowych. Dlatego decyzja o na³o¿eniu kary by³a nieunikniona. Jest ona jasnym sygna³em, ¿e nieprzestrzeganie decyzji organu nadzorczego jest naruszeniem przepisów o ochronie danych osobowych, i to naruszeniem o znacznej wadze. Kary pieniê¿ne to tylko jeden ze œrodków, które mo¿e zastosowaæ Urz¹d. Gdy jednak wczeœniejsze nakazy nie s¹ wykonywane, firmy musz¹ siê liczyæ z konsekwencjami finansowymi.
Ostatnie dwa miesi¹ce to seria ró¿nych kar i decyzji. Ochrona danych osobowych w Polsce znaczy coraz wiêcej?
Kiedy dochodzi do naruszenia przepisów o ochronie danych osobowych, Urz¹d reaguje odpowiednio do wagi konkretnego naruszenia, korzystaj¹c z uprawnieñ, jakie przys³uguj¹ mu na podstawie rozporz¹dzenia o ochronie danych osobowych [RODO]. Urz¹d mo¿e karaæ, upominaæ, ostrzegaæ czy nakazywaæ – w zale¿noœci od oceny okolicznoœci konkretnej sprawy, która jest badana indywidualnie. Ponadto przy ich wymierzaniu bierzemy pod uwagê 11 ró¿nych czynników okreœlonych w RODO. Karanie samo w sobie nie jest jednak celem. Moj¹ rol¹ jako prezesa Urzêdu Ochrony Danych Osobowych jest przywrócenie w danej sytuacji stanu zgodnego z prawem. Kary s¹ wiêc ostatecznoœci¹, które maj¹ spe³niaæ funkcjê represyjn¹, stanowi¹c¹ odpowiedŸ na naruszenie przepisów ogólnego rozporz¹dzenia, oraz prewencyjn¹, czyli zapobiegaæ naruszeniom przepisów o ochronie danych osobowych w przysz³oœci. W niektórych sytuacjach tylko ten rodzaj sankcji jest skuteczny. System ochrony danych funkcjonuje w Polsce od ponad dwudziestu lat, RODO od prawie trzech, wiêc przestrzeganie przepisów o ochronie danych powinno byæ czymœ normalnym i na sta³e wpisanym w nasz¹ rzeczywistoœæ.
W lutym pozytywnie zaopiniowa³ pan dwa projekty zwi¹zane ze s³u¿b¹ zdrowia. Dlaczego zyska³y pana aprobatê?
Projekt kodeksu postêpowania dotycz¹cego ochrony danych osobowych przetwarzanych w ma³ych placówkach medycznych opracowany przez Federacjê Zwi¹zków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie oraz projekt kodeksu postêpowania dla sektora ochrony zdrowia opracowany przez Polsk¹ Federacjê Szpitali pomog¹ stosowaæ RODO w sektorze zdrowia. Postanowienia w nich zawarte opisuj¹ najczêstsze przypadki przetwarzania danych w placówkach medycznych. Rozwiewaj¹ wiele w¹tpliwoœci, gdy dochodzi do styku przepisów prawa medycznego z zagadnieniami ochrony danych osobowych. Szczegó³owo odnosz¹ siê do problemów stosowania monitoringu wizyjnego w jednostkach medycznych, podpowiadaj¹, jak prawid³owo z poszanowaniem zasad ochrony danych osobowych zorganizowaæ teleporady. Du¿ym u³atwieniem dla stosuj¹cych te kodeksy bêd¹ praktyczne informacje przedstawione w formie tabel oraz wykresów, porad, przyk³adów czy wzorów
i opisanych procedur. Twórcy kodeksów wskazali w nich m.in.: katalog danych mo¿liwych do przetwarzania i czas ich retencji, ró¿nicê pomiêdzy kopi¹ danych z RODO a dostêpem do informacji i dokumentacji medycznej jako prawa pacjenta czy kwestie przeprowadzenia analizy ryzyka i œrodków zapewniaj¹cych bezpieczeñstwo danych. Pozytywnie zaopiniowane przeze mnie kodeksy to dokumenty, których autorzy do³o¿yli wszelkich starañ, aby by³y u¿yteczne, praktyczne. Bêd¹ wskazówk¹
i podpowiedzi¹ w sytuacjach, z którymi placówki medyczne borykaj¹ siê na co dzieñ. Nie s¹ to dokumenty, które jedynie powtarzaj¹ zasady RODO, ale uszczegó³owiaj¹ przepisy z zakresu ochrony danych osobowych i s³u¿¹ przejrzystoœci oraz rzetelnoœci procesu przetwarzania tych danych. W wielu sytuacjach mog¹ byæ pewnego rodzaju instrukcj¹, jak postêpowaæ zgodnie z RODO. Dlatego kibicujemy wszelkim takim inicjatywom, które s¹ mocno zaanga¿owane w konstruowanie przejrzystych i u¿ytecznych rozwi¹zañ. Nale¿y jednak pamiêtaæ, ¿e kodeksy zostan¹ zatwierdzone finalnie w momencie wydania certyfikatu akredytacyjnego dla podmiotów monitoruj¹cych postanowienia kodeksów.
WSA wyda³ ostatnio trzy korzystne z perspektywy Urzêdu wyroki. Czego dotyczy³y?
Dwa z nich dotycz¹ na³o¿onych kar administracyjnych. W jednym s¹d potwierdzi³ zasadnoœæ na³o¿enia kary pieniê¿nej na g³ównego geodetê kraju za to, ¿e uniemo¿liwi³ przeprowadzenie kontroli Urzêdu. W drugiej sprawie WSA oddali³ skargê spó³ki ClickQuickNow na decyzjê nak³adaj¹c¹ karê pieniê¿n¹ w wysokoœci ponad 201 tys. z³ m.in. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych. Ostatni z nich to oddalenie skargi rzecznika praw obywatelskich na decyzjê Urzêdu umarzaj¹c¹ postêpowanie w sprawie obowi¹zku sk³adania przez sêdziów i prokuratorów oœwiadczeñ o cz³onkostwie w zrzeszeniu lub w stowarzyszeniu oraz ich upubliczniania w Biuletynie Informacji Publicznej. Wyrok WSA potwierdza zasadnoœæ umorzenia postêpowania. RPO
w swoim wniosku wskazywa³ te¿, ¿e nowe przepisy dotycz¹ce obowi¹zkowych oœwiadczeñ sêdziów i prokuratorów mog¹ naruszaæ Konstytucjê RP. W³aœciwy do oceny konstytucyjnoœci przepisów jest Trybuna³ Konstytucyjny. W przeciwieñstwie do RPO nie mamy kompetencji do wystêpowania z wnioskami do Trybuna³u Konstytucyjnego.
O czym œwiadcz¹ wyroki korzystne dla Urzêdu?
W ka¿dym z tych przypadków s¹d odnosi³ siê do konkretnej sytuacji, wyroki co do meritum sprawy nie s¹ zatem jednakowe.
Ich wspólnym mianownikiem jest ochrona danych osobowych. We wskazanych przypadkach s¹d, analizuj¹c decyzje Urzêdu, podzieli³ przedstawion¹ w nich wyk³adniê przepisów o ochronie danych osobowych. Mówi¹c wprost: uznano, ¿e w tych sprawach mia³ racjê i w³aœciwie je rozstrzygn¹³.
Urz¹d zapowiada kasacjê w zwi¹zku z jedn¹ spraw¹.
W marcu ubieg³ego roku na³o¿y³ karê w wysokoœci 20 tys. z³ w zwi¹zku z naruszeniem RODO polegaj¹cym na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej sto³ówki. Szko³a odwo³a³a siê od tej decyzji do WSA, który popar³ jej skargê.
Dla nas wyrok w tej sprawie jest nie do zaakceptowania, dlatego z³o¿yliœmy skargê kasacyjn¹ do Naczelnego S¹du Administracyjnego. Sprawa ta jest bardzo istotna, poniewa¿ dotyczy przetwarzania danych osobowych dzieci, które powinny zostaæ objête szczególn¹ ochron¹. Szko³a przetwarza³a dane szczególnej kategorii (dane biometryczne) 680 dzieci bez podstawy prawnej, mog¹c zastosowaæ inne formy identyfikacji uczniów, np. karty elektromagnetyczne lub nawet papierowe. Naszym zdaniem przetwarzanie danych biometrycznych w postaci odcisków palca nie jest niezbêdne dla identyfikacji uprawnienia dziecka do odebrania obiadu. Ponadto w tej sprawie uczniowie, których rodzice nie wyrazili zgody na przetwarzanie danych biometrycznych, musieli przepuœciæ w kolejce po obiad te dzieci, których rodzice zgodzili siê na tak¹ formê przetwarzania danych ich pociech. A wiêc nie tylko dosz³o do naruszenia przepisów o ochronie danych osobowych, ale i dyskryminacji. Nie mo¿na zatem mówiæ o dobrowolnoœci zgody na przetwarzanie danych w tym przypadku, skoro jej brak oznacza³ gorsze traktowanie ucznia. Pamiêtajmy, ¿e system biometryczny identyfikuje cechy, które s¹ niezmienne i niejednokrotnie – jak w przypadku danych daktyloskopijnych – niemo¿liwe do zmiany. Z uwagi na unikatowoœæ i sta³oœæ danych biometrycznych, przek³adaj¹cych siê na ich niezmiennoœæ w czasie, ich wykorzystywanie powinno odbywaæ siê z ostro¿noœci¹ i rozwag¹. Ewentualny ich wyciek mo¿e skutkowaæ du¿ym ryzykiem naruszenia praw i wolnoœci osób fizycznych. Dla nas sprawa jest oczywista. Potwierdza to tak¿e wyk³adnia europejska i inne tego rodzaju przypadki, które znamy z Europejskiej Rady Ochrony Danych osobowych, w której zasiadam.
W œwiecie nowych technologii ochrona prywatnoœci i danych osobowych cieszy siê coraz wiêksz¹ popularnoœci¹?
Dostrzegamy zmianê w œwiadomoœci obywateli, którzy coraz lepiej znaj¹ swoje prawa i wiedz¹, jak z nich korzystaæ. Jest to zauwa¿alne choæby w stale rosn¹cej liczbie skarg, jakie trafiaj¹ do Urzêdu. Równie¿ reakcja administratorów na naruszenia ochrony danych osobowych, czyli m.in. wycieki danych, œwiadczy o coraz lepszej znajomoœci przepisów.
Ze zg³oszeñ naruszeñ ochrony danych, jakie do nas wp³ywaj¹ od administratorów, wynika, ¿e wiele podmiotów mocno anga¿uje siê nie tylko w identyfikacjê przyczyn naruszenia, ale i wdra¿anie rozwi¹zañ, które maj¹ ograniczaæ takie przypadki w przysz³oœci. S¹ jednak sytuacje, z których wynika, ¿e administratorzy ewidentnie zaspali i nie wdro¿yli odpowiednich rozwi¹zañ, nie monitoruj¹ zabezpieczeñ, nie testuj¹ ich,
a takie dzia³ania podejmuj¹ dopiero gdy dojdzie do naruszenia. Tymczasem nie dosz³oby do naruszenia albo jego skutki by³yby mniej powa¿ne, gdyby ochrona danych by³a nale¿ycie zapewniona.
Co zrobiæ, by unikn¹æ takich sytuacji?
Czasem mo¿na odnieœæ wra¿enie, ¿e to nie brak znajomoœci przepisów, ale ich lekcewa¿enie powoduje, ¿e pewne dzia³ania zapobiegawcze nie s¹ podejmowane odpowiednio wczeœniej. Dlatego jednym z naszych zadañ jest edukacja zarówno obywateli, jak i administratorów. Staramy siê informowaæ obywateli, u¿ytkowników ró¿nych us³ug, jakie przys³uguj¹ im prawa, aby za ka¿dym razem podejmowali œwiadom¹ i dobrowoln¹ decyzjê, np. wyra¿aj¹c zgodê na przetwarzanie danych. Istotne jest, by wiedzieæ, kiedy przetwarzanie danych jest legalne, i byæ œwiadomym swoich praw oraz tego, jak z nich korzystaæ.
