Kto powinien się bać kontroli w sprawie przestrzegania RODO?
Od 25 maja 2018 r. obowiązuje Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwane RODO. Pomimo, że od uchwalenia rozporządzenia do dnia jego wejścia w życie upłynęło ponad 2 lata, to przepisy obowiązujące bezpośrednio w krajowych porządkach prawnych krajów członkowskich, zaskoczyły ustawodawców jak zima drogowców.
Początkowo spore zamieszanie wywołała krajowa regulacja ustawowa mająca zapewnić stosowanie RODO, bowiem uprzednio obowiązująca w sposób odmienny regulowała wiele instytucji określonych w RODO (mowa tutaj o ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych). W związku z dużą ilością narastających wątpliwości w bezpośrednim stosowaniu RODO, zdecydowano się na wprowadzenie nowej ustawy – ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000). Regulacja wprowadziła przede wszystkim nowy organ właściwy w sprawie ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych (PUODO), w miejsce dawnego Generalnego Inspektora Ochrony Danych Osobowych (GIODO), automatycznie przenosząc osobę Prezesa oraz pracowników Urzędu pod nowy szyld.
Początkowa ilość wątpliwości związanej z implementowaniem i stosowaniem RODO wpłynęła na konieczność pomocy w interpretacji przepisów zamiast karania przedsiębiorców za brak odpowiedniego wdrożenia rozporządzenia. Późne wprowadzenie przepisów polskiej ustawy (Prezydent RP podpisał ustawę 22 maja 2018 r.) wpłynęło również na problemy organizacyjne UODO – słowem o kontroli nie mogło być mowy. Urząd oraz Ministerstwo Cyfryzacji zaangażowały się w kampanie informacyjne oraz edukacyjne publikując na swoich witrynach dużą ilość poradników, w formie zdecydowanie oddającej ducha postępu cyfrowego, tj. wideoblogów na platformie YouTube1 czy też poradnik dla szkół i placówek oświaty2. Sprawie pomagały również uważnie śledzone przez media absurdy RODO, w których to informowano o konieczności posiadania specjalnych „szaf RODO”, chęci usunięcia numeru PESEL z bazy danych Ministerstwa Cyfryzacji, czy też obawy administratora cmentarza, ze względu na dane osobowe widniejące na nagrobkach. Większość tzw. szumu informacyjnego dotyczyła zatem sytuacji przerysowanych oraz paradoksalnych. Oliwy do ognia z pewnością dodały próby nieuczciwego wykorzystania obowiązującego rozporządzenia: nachalne oferowanie usług, wezwania do zapłaty za rzekome nieprawidłowości w stosowaniu RODO, czy też fałszywe kontrole – wszystkie były przedmiotem oficjalnych komunikatów PUODO, ostrzegających przed tymi praktykami.
Wszystkie wydarzenia związane z jednej strony z absurdami w nadgorliwym podejściu do implementacji rozporządzenia, jak i wszelkie próby oszustw bazujących na strachu przed karą miały jeden wspólny mianownik: RODO zaczęto bagatelizować, bynajmniej w przeświadczeniu Kowalskiego prowadzącego jednoosobową działalność gospodarczą. Brak wszczynanych kontroli, brak dotkliwych kar, zaś na drugim biegunie groteskowe sytuacje w prawidłowym zastosowaniu RODO (jak chociażby nadawanie pseudonimów z bajek oraz filmów w jednej z przychodni lekarskiej), wpłynęły na wykreowanie pewnego nurtu – RODO to fikcja, której przeciętny Kowalski nie ma szans implementować – nurtu jakże mylnego.
Jak wynika z oświadczenia Komisji Europejskiej (wydanego przy okazji Dnia Ochrony Danych Osobowych) organy odpowiedzialne za ochronę danych osobowych w Państwach członkowskich otrzymały ponad 95 tys. skarg w związku z naruszeniem rozporządzenia – to bilans z pierwszych ośmiu miesięcy obowiązywania RODO3. Przyglądając się jednak statystykom na poziomie krajowym to należy wyszczególnić, że na stan do 31 grudnia 2018 r. wpłynęło ponad 3 tys. skarg oraz 2,4 tys. zgłoszeń zarejestrowanych przez samych administratorów. Wielu skargom, z przyczyn formalnych, nie można było nadać biegu, ale nie zmienia to faktu, że skala zjawiska zdecydowanie rośnie.
O skargach wspominam nie bez kozery, bo ich wypadkową są już pierwsze nałożone kary. O ile pierwsza kara, która ujrzała światło dzienne nie była dotkliwa (4.8 tys. euro nałożone w związku z niewłaściwym ustawieniem kamery w Austrii), o tyle dalsze przypadki naruszenia wyglądają już dużo poważniej. Przykładem bardziej restrykcyjnego podejścia kontrolerów jest francuski sklep internetowy Optical Center, zajmujący się sprzedażą okularów przeciwsłonecznych. Wymierzona przez tamtejszy odpowiednik PUODO (Commission Nationale de l’Informatique et des Libertés)(CNIL)) kara opiewała na 250 tys. euro i miała duży związek z karą nałożoną pod dyktatem poprzednich, wewnętrznych regulacji państwowych. Sam poziom naruszeniu oceniono zatem na wysoki. Innym przykładem negatywnych konwekcji w braku wdrożenia RODO stał się szpital w Barreiro-Montijo (Portugalia), na który nałożono karę w wysokości ponad 400 tys. euro. Brak zapewnienia odpowiednich procedur przy przechowywaniu danych wrażliwych oraz ponad 3-krotnie większy dostęp do danych pacjentów niż zatrudnionych lekarzy przelał czarę goryczy lokalnego organu.
Przełomowa informacja dla powagi w respektowaniu wprowadzonych regulacji to kara dla amerykańskiego giganta z branży informatycznej – Google. W skutek skarg złożonych przez stowarzyszenia None of your oraz La Quadrature du Net wspomniany już CNIL przeprowadził kontrolę polegającą weryfikacji dokumentów, do których dostęp posiada użytkownik serwisu na etapie rejestracji konta. Wynik był jednoznaczny – przekazywane przez Google informacji nie są dostępne, jasne i przejrzyste – co więcej, ciężko był dotrzeć do informacji na temat spersonalizowanych reklam oraz geolokalizacji. Wedle francuskiego organu użytkownik nie powinien wykazywać się wzmożonym zainteresowaniem przy udzielaniu zgód, podobnie jak domyślne ich zaznaczanie. Co więcej zdaniem CNIL udzielone zgody powinny być osobne w zależności od celu przetwarzania, zaś w przypadku kontrolowanego przypadku stwierdzono zgodę zbiorczą4. Nałożona kara wyniosła 50 mln euro i jest jak dotąd najwyższym wymiarem sankcji z niestosowanie się do reguł wytyczonych rozporządzeniem (swoją drogą oceniona została jako raczej mało dotkliwa).
Na lokalnym podwórku zaobserwować można pierwsze poważniejsze naruszenia dotyczące serwisów: neo24.pl, adwokt.com, freshmail oraz morele.net. Pośrednią ofiarą ostatniego z nich stałem się osobiście – być może i moje dane wyciekły przy okazji ataku hakerów. Z pewnością jednak zostałem poinformowany przez morele.net o wycieku danych oraz możliwych tego implikacjach – w dniu 18 grudnia 2018 r., za pośrednictwem skrzynki mailowej. O ile kwestia użycia moich danych osobowych może być skontrolowana dużą dozą ostrożności (czujność przy podejrzanych mailach czy smsach), o tyle rozkodowanie hasła może stanowić już poważniejsze ryzyko w sferze chociażby finansowej. Sprawie przygląda się już PUODO5, nie wiemy jeszcze jaki będzie rezultat zgłoszenia. Z pewnością poinformowanie użytkowników o takim ryzyku oraz przedsięwzięcia środków bezpieczeństwa pozytywnie wpłynie na potencjalny wymiar nałożonej kary.
Przykładem poprawnego zastosowania się do reguł rozporządzenia jest niemiecki portal randkowy Knyddels.de, który padł ofiarą ataku hakerów. Nałożona na administratorów kara wyniosła zaledwie 20 tys. euro. Dlaczego tak mało? O wycieku natychmiast poinformowano inspektora oraz użytkowników, a także zwiększono zabezpieczenia. Zachowanie po incydencie zakwalifikowano jako współpracę z organem, stąd wymiar kary określono na niskim poziomie.
Kiedy można spodziewać się pierwszych kar w Polsce? Niedługo. Zapowiedziała to PUODO na 13. Dniu Ochrony Danych Osobowych. Co więcej, 24 stycznia 2019 r. przedstawiono zatwierdzony roczny plan kontroli sektorowych na 2019 rok6. W sektorze prywatnym Urząd skontroluje: telemarketing, brokerów danych osobowych, banki oraz ubezpieczycieli. Zapewne przyjęty plan kontroli jest wypadkową przyjmowanych skarg – po wejściu w życie RODO telefonów o wylosowanych nagrodach, czy też prezentacji magicznych garnków jest mniej, ale nadal występują. Nie do końca wiadomo jako podejść do danych niezbędnych do analizy zdolności kredytowej Kowalskiego czy Nowaka w bankach, które obsługuje głównie komputer.
Konkluzja z powyższych rozważań jest jednoznaczna – organy przejdą do ofensywy i zweryfikują, jak przestrzegamy RODO. Być może nie należy spodziewać się wielomilionowych kar jak w przypadku Google, jednakże brak jakiejkolwiek implementacji rozporządzenia z pewnością na taką karę Nas naraża. Wszystko będzie zależało od podejścia samych administratorów naszych danych.
Z pewnością podejście, na zasadzie „mnie RODO nie dotyczy” nie będzie żadnym wyjaśnieniem w przypadku kontroli PUODO. Dlatego raz jeszcze wypada przypomnieć, że RODO nie obowiązuje w przypadku:
1. osób fizycznych które przetwarzają dane osobowe o czysto osobistym lub domowych charakterze;
2. przedsiębiorców niezwiązanych prawem unijnym – tj. brak siedziby czy też jednostki w UE, brak usług bądź handlu w UE,
3. przetwarzania danych przez organy oraz państwa członkowie.
Jeżeli nie mieścisz się w powyższym, bardzo wąskim katalogu, to znaczy, że przetwarzasz dane osobowe i z dużą dozą prawdopodobieństwa będziesz zainteresowany usługami świadczonymi przez Kancelarię FKK
Z ofertą kancelarii możesz zapoznać się tutaj.
1 www.gov.pl
2 https://uodo.gov.pl
3 http://europa.eu
4 https://www.legifrance.gouv.fr
5 https://uodo.gov.pl
6 https://uodo.gov.pl