Prezes UODO: Kary mają być ostatecznością

Miesiąc temu Urząd Ochrony Danych Osobowych po raz pierwszy ukarał przedsiębiorcę w związku z kwestiami administracyjnymi. Co to znaczy dla właścicieli firm?

Urząd nałożył karę w wysokości 85 tys. zł na przedsiębiorcę, który nie wykonał nakazu nałożonego na niego w decyzji administracyjnej. Decyzja ta jest efektem wcześniejszego postępowania UODO, po którym nakazaliśmy podmiotowi prawidłowe zawiadomienie osób o naruszeniu ich danych osobowych.

Czytaj także: Kara za brak współpracy z UODO

Nie zrobił tego mimo wszczęcia kolejnego postępowania, w którym udzielono mu szczegółowych wskazówek, co powinien zrobić. Nie otrzymaliśmy dowodów, które pozwoliłyby uznać, że obowiązek wynikający z nakazu wcześniejszej decyzji został przez niego wykonany. Takie zachowanie świadczy o rażącym lekceważeniu obowiązków związanych z ochroną danych osobowych. Dlatego decyzja o nałożeniu kary była nieunikniona. Jest ona jasnym sygnałem, że nieprzestrzeganie decyzji organu nadzorczego jest naruszeniem przepisów o ochronie danych osobowych, i to naruszeniem o znacznej wadze. Kary pieniężne to tylko jeden ze środków, które może zastosować Urząd. Gdy jednak wcześniejsze nakazy nie są wykonywane, firmy muszą się liczyć z konsekwencjami finansowymi.

Ostatnie dwa miesiące to seria różnych kar i decyzji. Ochrona danych osobowych w Polsce znaczy coraz więcej?

Kiedy dochodzi do naruszenia przepisów o ochronie danych osobowych, Urząd reaguje odpowiednio do wagi konkretnego naruszenia, korzystając z uprawnień, jakie przysługują mu na podstawie rozporządzenia o ochronie danych osobowych [RODO]. Urząd może karać, upominać, ostrzegać czy nakazywać – w zależności od oceny okoliczności konkretnej sprawy, która jest badana indywidualnie. Ponadto przy ich wymierzaniu bierzemy pod uwagę 11 różnych czynników określonych w RODO. Karanie samo w sobie nie jest jednak celem. Moją rolą jako prezesa Urzędu Ochrony Danych Osobowych jest przywrócenie w danej sytuacji stanu zgodnego z prawem. Kary są więc ostatecznością, które mają spełniać funkcję represyjną, stanowiącą odpowiedź na naruszenie przepisów ogólnego rozporządzenia, oraz prewencyjną, czyli zapobiegać naruszeniom przepisów o ochronie danych osobowych w przyszłości. W niektórych sytuacjach tylko ten rodzaj sankcji jest skuteczny. System ochrony danych funkcjonuje w Polsce od ponad dwudziestu lat, RODO od prawie trzech, więc przestrzeganie przepisów o ochronie danych powinno być czymś normalnym i na stałe wpisanym w naszą rzeczywistość.

W lutym pozytywnie zaopiniował pan dwa projekty związane ze służbą zdrowia. Dlaczego zyskały pana aprobatę?

Projekt kodeksu postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych opracowany przez Federację Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie oraz projekt kodeksu postępowania dla sektora ochrony zdrowia opracowany przez Polską Federację Szpitali pomogą stosować RODO w sektorze zdrowia. Postanowienia w nich zawarte opisują najczęstsze przypadki przetwarzania danych w placówkach medycznych. Rozwiewają wiele wątpliwości, gdy dochodzi do styku przepisów prawa medycznego z zagadnieniami ochrony danych osobowych. Szczegółowo odnoszą się do problemów stosowania monitoringu wizyjnego w jednostkach medycznych, podpowiadają, jak prawidłowo z poszanowaniem zasad ochrony danych osobowych zorganizować teleporady. Dużym ułatwieniem dla stosujących te kodeksy będą praktyczne informacje przedstawione w formie tabel oraz wykresów, porad, przykładów czy wzorów

i opisanych procedur. Twórcy kodeksów wskazali w nich m.in.: katalog danych możliwych do przetwarzania i czas ich retencji, różnicę pomiędzy kopią danych z RODO a dostępem do informacji i dokumentacji medycznej jako prawa pacjenta czy kwestie przeprowadzenia analizy ryzyka i środków zapewniających bezpieczeństwo danych. Pozytywnie zaopiniowane przeze mnie kodeksy to dokumenty, których autorzy dołożyli wszelkich starań, aby były użyteczne, praktyczne. Będą wskazówką

i podpowiedzią w sytuacjach, z którymi placówki medyczne borykają się na co dzień. Nie są to dokumenty, które jedynie powtarzają zasady RODO, ale uszczegółowiają przepisy z zakresu ochrony danych osobowych i służą przejrzystości oraz rzetelności procesu przetwarzania tych danych. W wielu sytuacjach mogą być pewnego rodzaju instrukcją, jak postępować zgodnie z RODO. Dlatego kibicujemy wszelkim takim inicjatywom, które są mocno zaangażowane w konstruowanie przejrzystych i użytecznych rozwiązań. Należy jednak pamiętać, że kodeksy zostaną zatwierdzone finalnie w momencie wydania certyfikatu akredytacyjnego dla podmiotów monitorujących postanowienia kodeksów.

WSA wydał ostatnio trzy korzystne z perspektywy Urzędu wyroki. Czego dotyczyły?

Dwa z nich dotyczą nałożonych kar administracyjnych. W jednym sąd potwierdził zasadność nałożenia kary pieniężnej na głównego geodetę kraju za to, że uniemożliwił przeprowadzenie kontroli Urzędu. W drugiej sprawie WSA oddalił skargę spółki ClickQuickNow na decyzję nakładającą karę pieniężną w wysokości ponad 201 tys. zł m.in. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych. Ostatni z nich to oddalenie skargi rzecznika praw obywatelskich na decyzję Urzędu umarzającą postępowanie w sprawie obowiązku składania przez sędziów i prokuratorów oświadczeń o członkostwie w zrzeszeniu lub w stowarzyszeniu oraz ich upubliczniania w Biuletynie Informacji Publicznej. Wyrok WSA potwierdza zasadność umorzenia postępowania. RPO

w swoim wniosku wskazywał też, że nowe przepisy dotyczące obowiązkowych oświadczeń sędziów i prokuratorów mogą naruszać Konstytucję RP. Właściwy do oceny konstytucyjności przepisów jest Trybunał Konstytucyjny. W przeciwieństwie do RPO nie mamy kompetencji do występowania z wnioskami do Trybunału Konstytucyjnego.

O czym świadczą wyroki korzystne dla Urzędu?

W każdym z tych przypadków sąd odnosił się do konkretnej sytuacji, wyroki co do meritum sprawy nie są zatem jednakowe.

Ich wspólnym mianownikiem jest ochrona danych osobowych. We wskazanych przypadkach sąd, analizując decyzje Urzędu, podzielił przedstawioną w nich wykładnię przepisów o ochronie danych osobowych. Mówiąc wprost: uznano, że w tych sprawach miał rację i właściwie je rozstrzygnął.

Urząd zapowiada kasację w związku z jedną sprawą.

W marcu ubiegłego roku nałożył karę w wysokości 20 tys. zł w związku z naruszeniem RODO polegającym na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej stołówki. Szkoła odwołała się od tej decyzji do WSA, który poparł jej skargę.

Dla nas wyrok w tej sprawie jest nie do zaakceptowania, dlatego złożyliśmy skargę kasacyjną do Naczelnego Sądu Administracyjnego. Sprawa ta jest bardzo istotna, ponieważ dotyczy przetwarzania danych osobowych dzieci, które powinny zostać objęte szczególną ochroną. Szkoła przetwarzała dane szczególnej kategorii (dane biometryczne) 680 dzieci bez podstawy prawnej, mogąc zastosować inne formy identyfikacji uczniów, np. karty elektromagnetyczne lub nawet papierowe. Naszym zdaniem przetwarzanie danych biometrycznych w postaci odcisków palca nie jest niezbędne dla identyfikacji uprawnienia dziecka do odebrania obiadu. Ponadto w tej sprawie uczniowie, których rodzice nie wyrazili zgody na przetwarzanie danych biometrycznych, musieli przepuścić w kolejce po obiad te dzieci, których rodzice zgodzili się na taką formę przetwarzania danych ich pociech. A więc nie tylko doszło do naruszenia przepisów o ochronie danych osobowych, ale i dyskryminacji. Nie można zatem mówić o dobrowolności zgody na przetwarzanie danych w tym przypadku, skoro jej brak oznaczał gorsze traktowanie ucznia. Pamiętajmy, że system biometryczny identyfikuje cechy, które są niezmienne i niejednokrotnie – jak w przypadku danych daktyloskopijnych – niemożliwe do zmiany. Z uwagi na unikatowość i stałość danych biometrycznych, przekładających się na ich niezmienność w czasie, ich wykorzystywanie powinno odbywać się z ostrożnością i rozwagą. Ewentualny ich wyciek może skutkować dużym ryzykiem naruszenia praw i wolności osób fizycznych. Dla nas sprawa jest oczywista. Potwierdza to także wykładnia europejska i inne tego rodzaju przypadki, które znamy z Europejskiej Rady Ochrony Danych osobowych, w której zasiadam.

W świecie nowych technologii ochrona prywatności i danych osobowych cieszy się coraz większą popularnością?

Dostrzegamy zmianę w świadomości obywateli, którzy coraz lepiej znają swoje prawa i wiedzą, jak z nich korzystać. Jest to zauważalne choćby w stale rosnącej liczbie skarg, jakie trafiają do Urzędu. Również reakcja administratorów na naruszenia ochrony danych osobowych, czyli m.in. wycieki danych, świadczy o coraz lepszej znajomości przepisów.

Ze zgłoszeń naruszeń ochrony danych, jakie do nas wpływają od administratorów, wynika, że wiele podmiotów mocno angażuje się nie tylko w identyfikację przyczyn naruszenia, ale i wdrażanie rozwiązań, które mają ograniczać takie przypadki w przyszłości. Są jednak sytuacje, z których wynika, że administratorzy ewidentnie zaspali i nie wdrożyli odpowiednich rozwiązań, nie monitorują zabezpieczeń, nie testują ich,