Poland

Prezes UODO: Kary mają być ostatecznością

Dane osobowe

materia³y prasowe

Spotykamy sytuacje, z których wynika, ¿e administratorzy ewidentnie zaspali i nie wdro¿yli odpowiednich rozwi¹zañ, nie monitoruj¹ zabezpieczeñ, nie testuj¹ ich, a takie dzia³ania podejmuj¹ dopiero gdy dojdzie do naruszenia – mówi „Rzeczpospolitej" Jan Nowak, prezes Urzêdu Ochrony Danych Osobowych.

Miesi¹c temu Urz¹d Ochrony Danych Osobowych po raz pierwszy ukara³ przedsiêbiorcê w zwi¹zku z kwestiami administracyjnymi. Co to znaczy dla w³aœcicieli firm?

Urz¹d na³o¿y³ karê w wysokoœci 85 tys. z³ na przedsiêbiorcê, który nie wykona³ nakazu na³o¿onego na niego w decyzji administracyjnej. Decyzja ta jest efektem wczeœniejszego postêpowania UODO, po którym nakazaliœmy podmiotowi prawid³owe zawiadomienie osób o naruszeniu ich danych osobowych.

Nie zrobi³ tego mimo wszczêcia kolejnego postêpowania, w którym udzielono mu szczegó³owych wskazówek, co powinien zrobiæ. Nie otrzymaliœmy dowodów, które pozwoli³yby uznaæ, ¿e obowi¹zek wynikaj¹cy z nakazu wczeœniejszej decyzji zosta³ przez niego wykonany. Takie zachowanie œwiadczy o ra¿¹cym lekcewa¿eniu obowi¹zków zwi¹zanych z ochron¹ danych osobowych. Dlatego decyzja o na³o¿eniu kary by³a nieunikniona. Jest ona jasnym sygna³em, ¿e nieprzestrzeganie decyzji organu nadzorczego jest naruszeniem przepisów o ochronie danych osobowych, i to naruszeniem o znacznej wadze. Kary pieniê¿ne to tylko jeden ze œrodków, które mo¿e zastosowaæ Urz¹d. Gdy jednak wczeœniejsze nakazy nie s¹ wykonywane, firmy musz¹ siê liczyæ z konsekwencjami finansowymi.

Ostatnie dwa miesi¹ce to seria ró¿nych kar i decyzji. Ochrona danych osobowych w Polsce znaczy coraz wiêcej?

Kiedy dochodzi do naruszenia przepisów o ochronie danych osobowych, Urz¹d reaguje odpowiednio do wagi konkretnego naruszenia, korzystaj¹c z uprawnieñ, jakie przys³uguj¹ mu na podstawie rozporz¹dzenia o ochronie danych osobowych [RODO]. Urz¹d mo¿e karaæ, upominaæ, ostrzegaæ czy nakazywaæ – w zale¿noœci od oceny okolicznoœci konkretnej sprawy, która jest badana indywidualnie. Ponadto przy ich wymierzaniu bierzemy pod uwagê 11 ró¿nych czynników okreœlonych w RODO. Karanie samo w sobie nie jest jednak celem. Moj¹ rol¹ jako prezesa Urzêdu Ochrony Danych Osobowych jest przywrócenie w danej sytuacji stanu zgodnego z prawem. Kary s¹ wiêc ostatecznoœci¹, które maj¹ spe³niaæ funkcjê represyjn¹, stanowi¹c¹ odpowiedŸ na naruszenie przepisów ogólnego rozporz¹dzenia, oraz prewencyjn¹, czyli zapobiegaæ naruszeniom przepisów o ochronie danych osobowych w przysz³oœci. W niektórych sytuacjach tylko ten rodzaj sankcji jest skuteczny. System ochrony danych funkcjonuje w Polsce od ponad dwudziestu lat, RODO od prawie trzech, wiêc przestrzeganie przepisów o ochronie danych powinno byæ czymœ normalnym i na sta³e wpisanym w nasz¹ rzeczywistoœæ.

W lutym pozytywnie zaopiniowa³ pan dwa projekty zwi¹zane ze s³u¿b¹ zdrowia. Dlaczego zyska³y pana aprobatê?

Projekt kodeksu postêpowania dotycz¹cego ochrony danych osobowych przetwarzanych w ma³ych placówkach medycznych opracowany przez Federacjê Zwi¹zków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie oraz projekt kodeksu postêpowania dla sektora ochrony zdrowia opracowany przez Polsk¹ Federacjê Szpitali pomog¹ stosowaæ RODO w sektorze zdrowia. Postanowienia w nich zawarte opisuj¹ najczêstsze przypadki przetwarzania danych w placówkach medycznych. Rozwiewaj¹ wiele w¹tpliwoœci, gdy dochodzi do styku przepisów prawa medycznego z zagadnieniami ochrony danych osobowych. Szczegó³owo odnosz¹ siê do problemów stosowania monitoringu wizyjnego w jednostkach medycznych, podpowiadaj¹, jak prawid³owo z poszanowaniem zasad ochrony danych osobowych zorganizowaæ teleporady. Du¿ym u³atwieniem dla stosuj¹cych te kodeksy bêd¹ praktyczne informacje przedstawione w formie tabel oraz wykresów, porad, przyk³adów czy wzorów

i opisanych procedur. Twórcy kodeksów wskazali w nich m.in.: katalog danych mo¿liwych do przetwarzania i czas ich retencji, ró¿nicê pomiêdzy kopi¹ danych z RODO a dostêpem do informacji i dokumentacji medycznej jako prawa pacjenta czy kwestie przeprowadzenia analizy ryzyka i œrodków zapewniaj¹cych bezpieczeñstwo danych. Pozytywnie zaopiniowane przeze mnie kodeksy to dokumenty, których autorzy do³o¿yli wszelkich starañ, aby by³y u¿yteczne, praktyczne. Bêd¹ wskazówk¹

i podpowiedzi¹ w sytuacjach, z którymi placówki medyczne borykaj¹ siê na co dzieñ. Nie s¹ to dokumenty, które jedynie powtarzaj¹ zasady RODO, ale uszczegó³owiaj¹ przepisy z zakresu ochrony danych osobowych i s³u¿¹ przejrzystoœci oraz rzetelnoœci procesu przetwarzania tych danych. W wielu sytuacjach mog¹ byæ pewnego rodzaju instrukcj¹, jak postêpowaæ zgodnie z RODO. Dlatego kibicujemy wszelkim takim inicjatywom, które s¹ mocno zaanga¿owane w konstruowanie przejrzystych i u¿ytecznych rozwi¹zañ. Nale¿y jednak pamiêtaæ, ¿e kodeksy zostan¹ zatwierdzone finalnie w momencie wydania certyfikatu akredytacyjnego dla podmiotów monitoruj¹cych postanowienia kodeksów.

WSA wyda³ ostatnio trzy korzystne z perspektywy Urzêdu wyroki. Czego dotyczy³y?

Dwa z nich dotycz¹ na³o¿onych kar administracyjnych. W jednym s¹d potwierdzi³ zasadnoœæ na³o¿enia kary pieniê¿nej na g³ównego geodetê kraju za to, ¿e uniemo¿liwi³ przeprowadzenie kontroli Urzêdu. W drugiej sprawie WSA oddali³ skargê spó³ki ClickQuickNow na decyzjê nak³adaj¹c¹ karê pieniê¿n¹ w wysokoœci ponad 201 tys. z³ m.in. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych. Ostatni z nich to oddalenie skargi rzecznika praw obywatelskich na decyzjê Urzêdu umarzaj¹c¹ postêpowanie w sprawie obowi¹zku sk³adania przez sêdziów i prokuratorów oœwiadczeñ o cz³onkostwie w zrzeszeniu lub w stowarzyszeniu oraz ich upubliczniania w Biuletynie Informacji Publicznej. Wyrok WSA potwierdza zasadnoœæ umorzenia postêpowania. RPO

w swoim wniosku wskazywa³ te¿, ¿e nowe przepisy dotycz¹ce obowi¹zkowych oœwiadczeñ sêdziów i prokuratorów mog¹ naruszaæ Konstytucjê RP. W³aœciwy do oceny konstytucyjnoœci przepisów jest Trybuna³ Konstytucyjny. W przeciwieñstwie do RPO nie mamy kompetencji do wystêpowania z wnioskami do Trybuna³u Konstytucyjnego.

O czym œwiadcz¹ wyroki korzystne dla Urzêdu?

W ka¿dym z tych przypadków s¹d odnosi³ siê do konkretnej sytuacji, wyroki co do meritum sprawy nie s¹ zatem jednakowe.

Ich wspólnym mianownikiem jest ochrona danych osobowych. We wskazanych przypadkach s¹d, analizuj¹c decyzje Urzêdu, podzieli³ przedstawion¹ w nich wyk³adniê przepisów o ochronie danych osobowych. Mówi¹c wprost: uznano, ¿e w tych sprawach mia³ racjê i w³aœciwie je rozstrzygn¹³.

Urz¹d zapowiada kasacjê w zwi¹zku z jedn¹ spraw¹.

W marcu ubieg³ego roku na³o¿y³ karê w wysokoœci 20 tys. z³ w zwi¹zku z naruszeniem RODO polegaj¹cym na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej sto³ówki. Szko³a odwo³a³a siê od tej decyzji do WSA, który popar³ jej skargê.

Dla nas wyrok w tej sprawie jest nie do zaakceptowania, dlatego z³o¿yliœmy skargê kasacyjn¹ do Naczelnego S¹du Administracyjnego. Sprawa ta jest bardzo istotna, poniewa¿ dotyczy przetwarzania danych osobowych dzieci, które powinny zostaæ objête szczególn¹ ochron¹. Szko³a przetwarza³a dane szczególnej kategorii (dane biometryczne) 680 dzieci bez podstawy prawnej, mog¹c zastosowaæ inne formy identyfikacji uczniów, np. karty elektromagnetyczne lub nawet papierowe. Naszym zdaniem przetwarzanie danych biometrycznych w postaci odcisków palca nie jest niezbêdne dla identyfikacji uprawnienia dziecka do odebrania obiadu. Ponadto w tej sprawie uczniowie, których rodzice nie wyrazili zgody na przetwarzanie danych biometrycznych, musieli przepuœciæ w kolejce po obiad te dzieci, których rodzice zgodzili siê na tak¹ formê przetwarzania danych ich pociech. A wiêc nie tylko dosz³o do naruszenia przepisów o ochronie danych osobowych, ale i dyskryminacji. Nie mo¿na zatem mówiæ o dobrowolnoœci zgody na przetwarzanie danych w tym przypadku, skoro jej brak oznacza³ gorsze traktowanie ucznia. Pamiêtajmy, ¿e system biometryczny identyfikuje cechy, które s¹ niezmienne i niejednokrotnie – jak w przypadku danych daktyloskopijnych – niemo¿liwe do zmiany. Z uwagi na unikatowoœæ i sta³oœæ danych biometrycznych, przek³adaj¹cych siê na ich niezmiennoœæ w czasie, ich wykorzystywanie powinno odbywaæ siê z ostro¿noœci¹ i rozwag¹. Ewentualny ich wyciek mo¿e skutkowaæ du¿ym ryzykiem naruszenia praw i wolnoœci osób fizycznych. Dla nas sprawa jest oczywista. Potwierdza to tak¿e wyk³adnia europejska i inne tego rodzaju przypadki, które znamy z Europejskiej Rady Ochrony Danych osobowych, w której zasiadam.

W œwiecie nowych technologii ochrona prywatnoœci i danych osobowych cieszy siê coraz wiêksz¹ popularnoœci¹?

Dostrzegamy zmianê w œwiadomoœci obywateli, którzy coraz lepiej znaj¹ swoje prawa i wiedz¹, jak z nich korzystaæ. Jest to zauwa¿alne choæby w stale rosn¹cej liczbie skarg, jakie trafiaj¹ do Urzêdu. Równie¿ reakcja administratorów na naruszenia ochrony danych osobowych, czyli m.in. wycieki danych, œwiadczy o coraz lepszej znajomoœci przepisów.

Ze zg³oszeñ naruszeñ ochrony danych, jakie do nas wp³ywaj¹ od administratorów, wynika, ¿e wiele podmiotów mocno anga¿uje siê nie tylko w identyfikacjê przyczyn naruszenia, ale i wdra¿anie rozwi¹zañ, które maj¹ ograniczaæ takie przypadki w przysz³oœci. S¹ jednak sytuacje, z których wynika, ¿e administratorzy ewidentnie zaspali i nie wdro¿yli odpowiednich rozwi¹zañ, nie monitoruj¹ zabezpieczeñ, nie testuj¹ ich,

a takie dzia³ania podejmuj¹ dopiero gdy dojdzie do naruszenia. Tymczasem nie dosz³oby do naruszenia albo jego skutki by³yby mniej powa¿ne, gdyby ochrona danych by³a nale¿ycie zapewniona.

Co zrobiæ, by unikn¹æ takich sytuacji?

Czasem mo¿na odnieœæ wra¿enie, ¿e to nie brak znajomoœci przepisów, ale ich lekcewa¿enie powoduje, ¿e pewne dzia³ania zapobiegawcze nie s¹ podejmowane odpowiednio wczeœniej. Dlatego jednym z naszych zadañ jest edukacja zarówno obywateli, jak i administratorów. Staramy siê informowaæ obywateli, u¿ytkowników ró¿nych us³ug, jakie przys³uguj¹ im prawa, aby za ka¿dym razem podejmowali œwiadom¹ i dobrowoln¹ decyzjê, np. wyra¿aj¹c zgodê na przetwarzanie danych. Istotne jest, by wiedzieæ, kiedy przetwarzanie danych jest legalne, i byæ œwiadomym swoich praw oraz tego, jak z nich korzystaæ.

Football news:

Super League does not give up: they promise to revise the format in order to return and save football further
Football belongs to the fans. Today, more than ever. Tweet of the day by Gerard Pique
AC Milan and Inter are withdrawing from the Super League
It turns out that Barcelona was not formally part of the Super League. Laporta is against her - and everything was planned in advance
Premier League clubs have abandoned the Super League under threat of suspension from national tournaments (The Guardian)
Juventus is not giving up on the Super League. Roma demands that Juve, AC Milan and Inter withdraw from the project
We made a mistake and we apologize. We heard you. Arsenal's open letter of apology for Super League