Poland

Ukaranych za wycieki będzie więcej

Mieszkaniowe

materia³y prasowe

O pierwszej karze na³o¿onej za naruszenie RODO we wspólnocie mieszkaniowej mówi adwokat Grzegorz Sibiga.

Zarz¹dca nieruchomoœci zap³aci 8 tys. z³ kary za wyciek danych z monitoringu wizyjnego. Tak orzek³ Wojewódzki S¹d Administracyjny w Warszawie. Czêsto dochodzi do tego typu sytuacji?

To pierwsza znana mi taka decyzja prezesa Urzêdu Ochrony Danych Osobowych (UODO), a tak¿e wyrok s¹du administracyjnego akceptuj¹cy decyzjê prezesa (sygnatura akt: II SA/Wa 310/20). Teraz niewykluczone s¹ kolejne tego rodzaju decyzje. Dla innych zarz¹dców wyrok powinien byæ wskazówk¹, jak przestrzegaæ zasad ochrony danych osobowych.

Czego konkretnie zarz¹dcy powinni unikaæ?

Wed³ug UODO wspólnota jest administratorem w zakresie przetwarzania danych osobowych zwi¹zanych z jej funkcjonowaniem. To administrator ponosi g³ówn¹ odpowiedzialnoœæ za naruszenia RODO, w tym gdy dojdzie do incydentów bezpieczeñstwa. Natomiast zarz¹dca to tylko podmiot przetwarzaj¹cy dla wspólnoty, który dokonuje czynnoœci na danych jedynie na podstawie umowy z administratorem (wspólnot¹) i na dalsze polecenia tego administratora. Odpowiedzialnoœæ podmiotu przetwarzaj¹cego jest ograniczona wzglêdem odpowiedzialnoœci administratora.

Co wiêc siê sta³o w tym konkretnym wypadku?

Przeprowadzona z upowa¿nienia prezesa UODO kontrola monitoringu wizyjnego zainstalowanego na terenie wspólnoty wykaza³a, ¿e zarz¹dca przetwarza³ dane osobowe bez zawartej w tym zakresie ze wspólnot¹ umowy powierzenia przetwarzania danych. Nie wdro¿y³ te¿ odpowiednich œrodków organizacyjnych i technicznych do kontroli udostêpniania nagrañ. Chocia¿ zarz¹dca uwzglêdni³ zarzuty i zawar³ stosowne umowy ze wspólnot¹ oraz uzupe³ni³ procedury, nie unikn¹³ kary.

Prezes UODO wykorzysta³ przepis, który stanowi, ¿e podmiot przetwarzaj¹cy mo¿e byæ uznany za administratora, je¿eli naruszy RODO przy okreœlaniu celów i sposobów przetwarzania danych. Takim naruszeniem by³o w tym przypadku niezawarcie umowy dotycz¹cej systemu monitorowania wizyjnego nieruchomoœci. W zwi¹zku z tym zarz¹dca zosta³ ukarany jak administrator.

O pisemn¹ umowê powierzenia przetwarzania danych osobowych. RODO szczegó³owo okreœla wymagania. W umowie powinno siê uregulowaæ m.in. przedmiot, charakter i cel przetwarzania, czyli równie¿ przetwarzanie przez zarz¹dcê danych osobowych w ramach monitoringu wizyjnego. Co wiêcej, umowa mo¿e byæ niewystarczaj¹ca dla precyzyjnego ustalenia wszystkich czynnoœci w systemie monitorowania. Dlatego te¿ warto, aby ze wspólnot¹ ustaliæ szczegó³ow¹ procedurê funkcjonowania tego systemu, w tym dostêpu upowa¿nionych osób do nagrañ oraz ich udostêpnienia na zewn¹trz. W decyzji prezesa UODO te¿ wytkniêto brak takich ustaleñ.

Czêsto zarz¹dcy nie zawieraj¹ ze wspólnotami kompleksowych umów dotycz¹cych powierzania przetwarzania danych osobowych. Obowi¹zuj¹ nieformalne ustalenia. Dotyczy to przede wszystkim systemu monitoringu wizyjnego. Co ciekawe, w tej sprawie ukarany zarz¹dca broni³ siê, ¿e po wycieku danych zleci³ wykonanie audytu monitoringu i odgrywa³ jedynie rolê techniczn¹ oraz us³ugow¹, poœrednicz¹c miêdzy wspólnot¹ mieszkaniow¹ a wykonawc¹ w nawi¹zaniu wspó³pracy. Jednak brak okreœlenia roli zarz¹dcy w umowie ze wspólnot¹ i dalszych procedurach sprawi³, ¿e prezes UODO samodzielnie podejmowa³ dzia³ania, do których nie by³ upowa¿niony. Zosta³ on wiêc potraktowany i ukarany jak administrator.

Czy prezes UODO ukara³ równie¿ jak¹œ wspólnotê?

Na wspólnoty, spó³dzielnie i zarz¹dców wp³ywaj¹ skargi do UODO. Tocz¹ wiêc postêpowania administracyjne.

Jaki monitoring jest legalny?

Podstaw¹ monitorowania mo¿e byæ prawnie uzasadniony interes administratora danych, czyli np. wspólnoty. Nie mo¿e byæ on abstrakcyjny. Wynikaæ mo¿e m.in. z obawy przed w³amywaczami. Musi byæ usprawiedliwiony konkretnymi okolicznoœciami, np. obejmowaæ miejsca, w których dochodzi³o ju¿ do naruszania porz¹dku.

Ponadto podjête œrodki powinny byæ adekwatne, a nie na wyrost. Powinny bowiem w proporcjonalnym, minimalnym zakresie ingerowaæ w prawa nagrywanych osób, w ich prywatnoœæ i prawo do ochrony danych osobowych. Jedna ze spó³dzielni zamontowa³a na przyk³ad kamerê na kominie swojej ciep³owni. Obejmowa³a ona obszar powy¿ej kilometra, tak¿e ten, który do niej nie nale¿a³. Tego nie mo¿na by³o ju¿ usprawiedliwiæ ¿adnymi celami tej spó³dzielni.

Co wiêcej, wspólnoty powinny byæ w stanie udokumentowaæ przeprowadzenie analizy w tej sprawie, a czêsto tego nie czyni¹. Chodzi o swoisty test równowagi miêdzy interesami tych podmiotów a prawami i wolnoœciami osób, które s¹ monitorowane. Analiza powinna siê odnosiæ do ka¿dej instalowanej kamery. Nie bez przyczyny jeszcze kilka lat temu organ ds. ochrony danych osobowych oraz rzecznik praw obywatelskich proponowali wprowadzenie instytucji planu monitoringu wizyjnego. Monitoring musi siê te¿ odbywaæ transparentnie wobec osób nagrywanych. W obszarze monitorowanym nie mo¿e wiêc zabrakn¹æ tabliczek informacyjnych z podstawowymi informacjami. Pe³na klauzula informacyjna zawieraj¹ca wszystkie komunikaty wymagane w RODO powinna siê znajdowaæ w serwisie internetowym wspólnoty oraz w jej siedzibie. Nie wolno te¿ nagrywaæ w sposób ukryty, bo to zaprzecza transparentnoœci, ani wieszaæ atrap, bo to z kolei wprowadza w b³¹d.

Co jeszcze grozi za nielegalne przetwarzanie danych?

Za naruszenie prawnych warunków przetwarzania danych przewiduje siê kilka rodzajów odpowiedzialnoœci.

Prezes UODO mo¿e administracyjnie nakazaæ na przyk³ad zaprzestanie monitowania, gdy nastêpuje to bez podstawy prawnej, ale tak¿e na³o¿yæ karê administracyjn¹ za naruszenie podstawowych zasad z RODO, nawet do równowartoœci 20 mln euro.

Grozi te¿ odpowiedzialnoœæ karna przewidziana w polskiej ustawie o ochronie danych osobowych za przetwarzanie danych osobowych, gdy jest to niedopuszczalne. Mo¿na zostaæ ukaranym grzywn¹, ograniczeniem wolnoœci lub jej pozbawieniem do dwóch lat. Nagrana osoba, która uwa¿a, ¿e monitoring naruszy³ jej prawa do prywatnoœci, mo¿e równie¿ wyst¹piæ z roszczeniem o ochronê dóbr osobistych.

CV

Dr Grzegorz Sibiga jest adwokatem, partnerem w Kancelarii Traple, Konarski, Podrecki i Wspólnicy oraz kierownikiem Zak³adu Prawa Administracyjnego w Instytucie Nauk Prawnych Polskiej Akademii Nauk. W instytucie kieruje równie¿ studium podyplomowym dla inspektorów ochrony danych. Specjalizuje siê w ochronie informacji i prawnych aspektach technologii informacyjno-telekomunikacyjnej. ?

Football news:

Neville on Arsenal and Tottenham in Super League: I'd rather watch the San Marino champions. Ridicule
Juventus, Inter and AC Milan have stated that they want to play in Serie A despite joining the Super League
Bayern and Borussia will have 30 days to accept an invitation to the Super League. PSG - 14
Member of the UEFA Executive Committee on the Super League: All 12 clubs need to be kicked out. Players will have the right to terminate their contracts and become free agents
Coach of the Norwegian national team about the Super League: Juventus were knocked out of the Champions League by Lyon, Porto and Ajax, Arsenal and Tottenham are not in the top 30. What the hell are they doing in this tournament?
Writer Stephen Fry on the Premier League clubs in the Super League: Six clubs have achieved what no politician has managed-united the whole of Europe in an aversion to greed and stupidity
Rooney on the Super League's founding clubs: Their bosses are not stupid, let's see what they offer. Manchester United is trying to develop