EROD wydaje wytyczne dotyczące harmonizacji kar – czy administratorzy danych otrzymają taryfikator przewinień?

Unia Europejska, za pomocą ogólnego rozporządzenia o ochronie danych (zwanego dalej „RODO”, „Rozporządzenie”) zakończyła ważny etap kompleksowej reformy regulacji ochrony danych w Europie. Rozporządzenie opiera się na kilku kluczowych elementach, a jednym z nich są silniejsze uprawnienia organów nadzorczych w zakresie egzekwowania przepisów. Rozporządzenie nakłada znacznie podwyższony poziom kar pieniężnych za naruszenie przepisów ochrony danych osobowych – znany już także polskim przedsiębiorcom.

Rozporządzenie przewiduje także harmonizację wysokości kar w poszczególnych państwach członkowskich – jednak czy faktycznie do tego doprowadziło?

 

5 kroków dla organów nadzorczych

W związku z przewidzianym w Rozporządzeniu obowiązkiem harmonizacji, Europejska Rada Ochrony Danych (dalej: „EROD”) opracowała wytyczne, które mają zapewnić jasną i przejrzystą podstawę dla organów nadzorczych do ustalania wysokości kar administracyjnych. Biorąc pod uwagę ogólne warunki nakładania kar administracyjnych zawarte w art. 83 RODO, EROD określiła 5 etapową metodologię obliczania wysokości kar.

  • W pierwszej kolejności, organ ochrony danych musi ustalić, czy dana sprawa dotyczy jednego czy większej liczby przypadków zachowania podlegającego sankcjonowaniu i czy doprowadziły one do jednego czy wielu naruszeń.

Organ ochrony danych powinien rozważyć, jakie zachowania i naruszenia miałyby być podstawą nałożenia kary administracyjnej. Artykuł 83 ust. 3 RODO stanowi, że jeżeli administrator lub podmiot przetwarzający narusza kilka przepisów Rozporządzenia w ramach tych samych lub powiązanych operacji przetwarzania, to całkowita kwota kary administracyjnej nie może przekroczyć maksymalnej kwoty mającej zastosowanie do najpoważniejszego z tych naruszeń.

  • Po drugie, przy decyzji o nałożeniu kary administracyjnej organ ochrony danych musi opierać się na punkcie wyjścia do obliczenia kary pieniężnej, dla którego EROD zapewnia zharmonizowaną metodę.

Organ ochrony danych powinien przede wszystkim dokonać klasyfikacji naruszenia zgodnie z art. 83 ust. 4-6 RODO, który wskazuje dwa przedziały maksymalnych kar administracyjnych w zależności od przepisu Rozporządzenia, którego dotyczyło naruszenie. W dalszej kolejności organ powinien zwrócić uwagę na charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych osób, których dane dotyczą oraz rozmiar poniesionej przez nie szkody, kategorie danych osobowych których dotyczyło naruszenie oraz umyślność lub nieumyślność naruszenia (art. 83 ust. 2 lit. a), b), g) RODO). W celu nałożenia skutecznej, odstraszającej i proporcjonalnej kary pieniężnej organ bierze również pod uwagę obroty przedsiębiorstwa, którego miałaby dotyczyć sankcja.

  • Po trzecie, organ ochrony danych powinien wziąć pod uwagę okoliczności obciążające lub łagodzące, które mogą zwiększyć lub zmniejszyć kwotę kary pieniężnej.

Po określeniu punktu wyjścia przez organ, bierze on pod uwagę okoliczności wskazane w art. 83 ust. 2 RODO takie jak: działania podjęte przez administratora (lub podmiot przetwarzający) w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, wcześniejsze naruszenia czy stopień współpracy z organem nadzorczym.

  • Czwartym krokiem ma być określenie maksymalnych pułapów kar pieniężnych określonych w art. 83 ust. 4–6 RODO oraz zapewnienie, że kwoty te nie zostaną przekroczone.

Maksymalna wysokość grzywny będzie zależeć od tego, czy naruszenie wchodzi w zakres art. 83 ust. 4 RODO, czy też art. 83 ust. 5 i 6 RODO. Mimo że EROD stara się odnieść w tym punkcie pomocniczo do pojęć z zakresu prawa konkurencji oraz dorobku orzeczniczego Trybunału Sprawiedliwości Unii Europejskiej, nie wprowadza żadnych jasnych i nowych interpretacji, ponad te z którymi zaznajomieni są praktycy prawa europejskiego.

  • W piątym i ostatnim etapie organ ochrony danych musi przeanalizować, czy obliczona kwota końcowa spełnia wymogi dotyczące skuteczności, odstraszającego charakteru i proporcjonalności, czy też konieczne są dalsze korekty kwoty.

Ostatnim krokiem w proponowanej przez EROD metodologii jest ocena, czy obliczona ostateczna kwota spełnia wspomniane wymogi skuteczności, odstraszania i proporcjonalności. Jeżeli jest to konieczne do spełnienia wymogu skuteczności, odstraszania i proporcjonalności kary, organ nadzorczy może nadal korygować jej wysokość – nie przekraczając jednak odpowiedniego maksimum prawnego.

 

Praktyczne skutki wytycznych dla administratorów danych

EROD wskazuje, że w wytycznych przedstawia jedynie ogólną metodę obliczania kar administracyjnych, która ma ułatwiać dalszą harmonizację i przejrzystość praktyki organów nadzorczych w zakresie ich nakładania. Podkreśla przy tym, że nałożenie kary administracyjnej musi zawsze opierać się na ocenie wszystkich istotnych okoliczności sprawy oraz musi być skuteczne, proporcjonalne i odstraszające w odniesieniu do konkretnego przypadku. Metodologia w żadnym razie nie powinna być rozumiana jako forma automatycznego lub arytmetycznego obliczania.

Jakkolwiek cel wydania wytycznych był szczytny, trudno uznać że EROD spełnił wymagania co do ich jasności i przejrzystości, które przed sobą postawił. Administratorzy danych nadal nie uzyskali odpowiedzi na pytania, które nurtują ich najbardziej – czyli jaka potencjalna kara może zostać na nich nałożona za konkretne naruszenie w obszarze ochrony danych osobowych. Wytyczne nie wprowadzają rewolucji w podejściu organów do kwestii nakładania kar, powtarzając i jedynie rozwijając przesłanki zawarte już w Rozporządzeniu.

Wytyczne zostały skierowane do konsultacji publicznych, po których zostanie przyjęta ich ostateczna wersja.

 

Źródła:

https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016R0679&from=PL

https://uodo.gov.pl/pl/138/2383

https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-042022-calculation-administrative_pl

https://edpb.europa.eu/system/files/2022-05/edpb_guidelines_042022_calculationofadministrativefines_en.pdf

 

Webinar: Retencja danych osobowych – problemy praktyczne przy ustalaniu zasad i terminów

POLITYKA RETENCJI DANYCH OSOBOWYCH to ustalone przez organizację zasady przechowywania informacji zarówno na potrzeby operacyjne, jak i zgodności z przepisami.

Czy wiesz jak sformułować PROCEDURY PRZECHOWYWANIA I USUWANIA DANYCH? Jak organizować informacje, aby można było je wyszukać i uzyskać do nich dostęp oraz usuwać informacje, które nie są już potrzebne?

Chcesz skonfrontować rozwiązania swojej organizacji z doświadczeniami innych specjalistów do spraw zgodności z RODO?

A może chcesz skorzystać ze wskazówek udzielonych przez konsultanta uznanej firmy doradczej?

Zapraszamy na webinar poświęcony tematyce skutecznego wdrożenia ZASADY OGRANICZENIA PRZECHOWYWANIA DANYCH.

Spotkanie skierowane jest do osób pełniących rolę Inspektorów Ochrony Danych (IOD) oraz wszystkich osób zainteresowanych COMPLIANCE RODO – niezależnie od branży i wielkości organizacji.


1. Forma przechowywania danych i obowiązek ich usuwania:

  • Zasada ograniczenia przechowywania oraz inne ważne zasady.
  • Zbieranie danych „na zapas” w stanowiskach UODO.
  • Sankcje za naruszenie zasad.


2. Skuteczne polityki i procedury uwzględniające obowiązki usuwania danych:

  • Kluczowa rola inwentaryzacji danych.
  • Przepisy szczególne regulujące obowiązek przetwarzania informacji przez
    z góry ustalony okres.
  • Określanie okresu przydatności danych przy braku przepisów szczególnych.
  • Wstrzymanie biegu terminów retencji.


3. Odpowiednie przypisanie ról i odpowiedzialności pomiędzy funkcjami w organizacji:

  • Przeglądy i alokacja ryzyka.
  • Raportowanie niezgodności.

4. Praktyczne problemy związane z retencją danych:

  • Zautomatyzowany albo manualny charakter usuwania danych
    – wytyczne brytyjskiego organu nadzorczego (ICO).
  • Te same dane – różne terminy retencji.
  • Szara strefa danych osobowych.
  • Precyzyjna mapa danych.
  • Rozwiązania techniczno-organizacyjne.

.

Data: 21.06.2022, godz.10:00.

Link do wydarzenia.

 

Zapraszamy!

Transatlantyckie przekazywanie danych – w oczekiwaniu na Privacy Shield 2.0

W piątek 25 marca rząd Stanów Zjednoczonych oraz Komisja Europejska ogłosiły[1] uzgodnienie zasadniczych założeń nowego transatlantyckiego porozumienia w zakresie ochrony danych osobowych, które ma w pełni uregulować przekazywanie danych osobowych pomiędzy Stanami Zjednoczonymi a Unią Europejską.

Obecnie, w związku z orzeczeniami Trybunału Sprawiedliwości UE, obowiązują standardowe zasady przekazywania danych osobowych wskazane w Rozdziale V RODO[2], ale ich prawidłowe stosowanie do wymiany transatlantyckiej budzi poważne trudności w związku z działalnością amerykańskich agencji wywiadowczych. W szczególności uregulowanie pozwalające władzom publicznym Stanów Zjednoczonych na uzyskanie powszechnego dostępu do treści wiadomości elektronicznych, zdaniem Trybunału Sprawiedliwości UE[3], należy uznać za naruszenie zasadniczej istoty prawa podstawowego do poszanowania życia prywatnego wynikającego z art. 7 Karty Praw Podstawowych UE.

W tym roku opublikowane zostało już kilka decyzji (m.in. austriackiego i francuskiego organu nadzorczego) wskazujących, iż  w wielu przypadkach praktycznie nie jest możliwe legalne przekazanie danych osobowych do Stanów Zjednoczonych, właśnie z uwagi na fakt, iż uprawnienia amerykańskich organów nie gwarantują należytej ochrony praw i wolności osób, których dane są przekazywane z Europejskiego Obszaru Gospodarczego do Stanów Zjednoczonych. Takie przekazywanie musiałoby uniemożliwiać dostęp do danych organom amerykańskim, a to z kolei jest niedopuszczalne w świetle przepisów Stanów Zjednoczonych.

Stwarza to istotne problemy np. w korzystaniu z narzędzi analitycznych Google Analitics, ale również w wykorzystywaniu aplikacji, czy usług podmiotów korzystających z infrastruktury zlokalizowanej w Stanach Zjednoczonych. Warto podkreślić, że przez transfer danych rozumiane jest również zapewnienie dostępów, bez fizycznego przekazania na serwery poza EOG[4], a więc np. przez modyfikowanie, analizę czy podgląd danych przez podmioty znajdujące się w Stanach Zjednoczonych. Problem może więc dotyczyć np. usług serwisowych dla danych przechowywanych w EOG, stosowania aplikacji i narządzi utrzymywanych przez dostawcę w Stanach Zjednoczonych, czy nawet korzystanie z komunikatorów i innych pośredników w przekazywaniu informacji między jednym urządzeniem a drugim.

Przyszłe porozumienie między Unią Europejską a Stanami Zjednoczonymi będzie kolejną próbą uregulowania tych kwestii, a dla pełnego zrozumienia kontekstu, warto przeanalizować poszczególne etapy sporu o bezpieczeństwo transferu danych do USA i powody, dla których konieczne jest zawarcie planowanego porozumienia.

Historyczne porozumienie, określane jako Safe Harbour, regulowało wymianę danych osobowych w zawiązku z wprowadzeniem dyrektywy 95/46/WE – pierwszego unijnego aktu ustanawiającego ochronę danych osobowych. Na podstawie zawartych w tym porozumieniu postanowień, amerykańskie podmioty gospodarcze mogły poddać się certyfikacji, a z kolei Komisja (UE) wydała decyzję stwierdzającą, że podmioty które zadeklarują zgodność z postanowieniami oraz uzyskają wpis na listę podmiotów certyfikowanych będą mogły bez dalszych ograniczeń przesyłać dane między UE a USA. Wyjaśnijmy, że bez takiej decyzji transfer musiałby podlegać dalszym środkom zabezpieczającym i ograniczeniom wynikającym z dyrektywy, co w istotny sposób wpływałoby na swobodę przekazywania danych – np. przez standardowych klauzul umownych określonych przez Komisję, które zawarte między stronami transferu (np. w ramach regulaminu usługi) wiążą podmiot spoza EOG oraz zapewniają ochronę praw i wolności osób, których dane dotyczą. Tak przyjęte wzorce umowne mają zapewniać właściwą ochronę danych oraz realizację praw osób, których dotyczą – np. w zakresie ograniczenia nieuprawnionego wykorzystywania, czy dalszego udostępniania. Jeśli zaś nie da się podjąć odpowiednich środków bezpieczeństwa i transfer nie może zostać oparty na wyjątkach dotyczących pojedynczych transferów, eksporter danych, zgodnie z RODO (a wcześniej zgodnie z Dyrektywą 95/46/WE), musi pozyskać zgodę właściwego organu nadzorczego na przekazywanie danych poza EOG.

Oparte na Safe Harbour transatlantyckie przekazywanie danych funkcjonowało bez większych problemów do 2013 r. kiedy to rozpoczęła się burzliwa historia przekazywania danych związana z amerykańskimi gigantami technologicznymi – Facebook Ireland Ltd. i Google LLC – oraz austriackim prawnikiem-aktywistą Maksem Schremsem.

 

PRISM

W 2013 r. w dziennikach Washington Post oraz The Guardian opublikowane zostały fragmenty plików z prezentacją informacji przekazanych przez współpracownika amerykańskiej Narodowej Agencji Bezpieczeństwa (National Security Agency – NSA) – Edwarda Snowdena dotyczących programu PRISM. W ramach tego programu NSA poprzez bezpośredni dostęp do serwerów amerykańskich korporacji bez nadzoru przejmowała i gromadziła komunikację internetową przetwarzaną za pośrednictwem tych serwerów, posiadając tym samym dostęp praktycznie do wszystkich informacji przesyłanych przez klientów tych korporacji. Ujawnione dokumenty wskazywały, iż w PRISM uczestniczyły największe amerykańskie firmy technologiczne w tym np. Microsoft, Yahoo!, Google, Facebook, YouTube, Skype i Apple.

Na żądanie NSA korporacje udostępniały (i udostępniają) informacje zawarte w wiadomościach e-mail i innej korespondencji, wszelkie dane przechowywane na serwerach (w tym także zdjęcia i materiały wideo), dane przekazywane w przesyłanych na serwery w niezaszyfrowanych plikach (archiwach, arkuszach, bazach), zapisy wideokonferencji, czatów (także głosowych i wideo), dane gromadzone przez serwisy społecznościowe (np. w komunikatorach, zapis komentarzy, reakcje i relacje z innymi użytkownikami portali etc.), a także loginy użytkowników. Dotyczyło to zarówno danych osób korzystających z usług amerykańskich gigantów prywatnie, jak i klientów europejskich firm korzystających z rozwiązań dostarczanych przez amerykańskie korporacje.

Warto podkreślić, iż działania NSA opierały się na obowiązującej do dziś amerykańskiej ustawie Foreign Intelligence Surveillance Act (z ang. ustawa o nadzorze nad obcym wywiadem), która w zasadzie w niezmienionej formie funkcjonuje od 2008 r. do chwili obecnej. Zgodnie z paragrafem 702 FISA, agencje wywiadu mogą zostać upoważnione do zbierania i analizy, w zasadzie bez ograniczeń, informacji o osobach spoza USA, a w pewnych okolicznościach także obywateli USA.

Safe Harbour i Schrems I

Maks Schrems uznał, m.in. w oparciu o informacje udostępnione opinii publicznej przez E. Snowdena, w związku z programem PRISM, iż nie ma żadnych gwarancji, że amerykańskie korporacje faktycznie chronią dane osobowe, tak jak to deklarują – w szczególności, że dane podlegają odpowiedniej ochronie przed nadużyciami ze strony organów rządowych – i w związku z przekazywaniem jego danych do Stanów Zjednoczonych skierował skargę do organu nadzorczego przeciwko Facebookowi. Kwestionował tym samym ważność decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony w Stanach Zjednoczonych.

Spór prowadzony przed irlandzkim organem nadzorczym ze skarmi Maksa Schremsa zakończył się wyrokiem TSUE z dnia 6 października 2015 r. (C‑362/14) – tzw. Schrems I[5] – w którym Trybunał orzekł nieważność decyzji Komisji, w sprawie adekwatności ochrony przewidzianej w ramach porozumienia z rządem USA – tzw. Bezpiecznej Przystani (Safe Harbour).

Trybunał stwierdził, że system Bezpiecznej Przystani oparty na porozumieniu z 2000 r. nie chroni przed nadmierną ingerencją amerykańskich organów władz publicznych w prawa podstawowe i prywatność obywateli Unii Europejskiej, a przez to nie ma odpowiednich podstaw do stwierdzenia przez Komisję, że amerykańskie podmioty zapewniają odpowiedni poziom ochrony informacji o obywatelach UE.

Privacy Shield

W związku z uchyleniem wspomnianej decyzji Komisji, rząd Stanów Zjednoczonych oraz Komisja Europejska przystąpiły do negocjacji nowych warunków przekazywania danych mających uwzględnić zastrzeżenia TSUE. Skutkiem negocjacji było nowe porozumienie określone jako Privacy Shield przyjęte w 2016 r. stanowiące podstawę do przyjęcia przez Komisję decyzji stwierdzającej odpowiedni stopień ochrony, podobnie jak to miało miejsce na gruncie porozumienia Safe Harbour.

Privacy Shield jeszcze na etapie negocjacji warunków budziło wątpliwości organów ochrony danych osobowych, zwłaszcza w kontekście uprawnień amerykańskich agencji wywiadowczych. W Opinii 01/2016 dotyczącej projektu decyzji Komisji, Grupa Robocza Art. 29 (kolegialny organ złożony z organów nadzorczych poszczególnych państw UE) wskazywała, iż Privacy Shield w znaczącym stopniu poprawia ochronę praw i wolności obywateli UE, to jednak nie zapewnia właściwego poziomu ochrony wymaganego przepisami unijnymi i może zostać zakwestionowana przez Trybunał Sprawiedliwości, podobnie jak miało to miejsce w kwestii Safe Harbour.

Schrems II

Zgodnie z przewidywaniami Grupy Roboczej Art. 29, Trybunał Sprawiedliwości w 2020 r. w odpowiedzi na pytania prejudycjalne irlandzkiego Wysokiego Trybunału prowadzonej z wniosku irlandzkiego organu ochrony danych przeciwko Facebook Ireland Ltd. przy udziale Maksymiliana Schremsa, orzekł iż Privacy Shield także nie zapewnia obywatelom UE należytej ochronnym przed śledzeniem ze strony amerykańskich organów i wobec tego Trybunał orzekł, iż nieważna jest decyzja Komisji Europejskiej oparta o to porozumienie (tzw. Schrems II[6]).

Drugim równie ważnym elementem orzeczenia było stwierdzenie, iż zapewnienie właściwych środków zabezpieczających transfer nie może się sprowadzać do zastosowania standardowych klauzul umownych, ale w każdym przypadku należy dokonać analizy ich skuteczności i rozważyć zastosowanie dodatkowych środków, ponieważ w niektórych przypadkach standardowe klauzule umowne mogą nie stanowić wystarczającego środka pozwalającego na zapewnienie w praktyce skutecznej ochrony danych osobowych przekazywanych do danego państwa trzeciego – np. gdy pomimo formalnych zobowiązań umownych prawo państwa trzeciego umożliwia nadmierny i niekontrolowany dostęp do danych przez organy publiczne.

Od wyroku Schrems II transatlantycka wymiana danych była regulowana głównie umowami wg wzorców określonych przez Komisję. Amerykańskie firmy w swoich regulacjach zapewniały również, iż podejmują dodatkowe środki ochrony zabezpieczające transfer. Jak się później okazało zapewnienia te zostały zweryfikowane negatywnie, przynajmniej w przypadku Google LLC.

Zakaz transferu do USA

W sierpniu 2020 r. Maks Schrems ogłosił, iż zarządzana przez niego organizacja non-profit NOYB (None of Your Business) złożyła 101 skarg we wszystkich 30 krajach członkowskich UE i EOG na 101 firm europejskich[7], które nadal przesyłają dane do Google i Facebooka o każdym odwiedzającym ich strony.

W styczniu 2022 r. na skutek jednej ze skarg austriacki organ ochrony danych zakazał portalowi NetDoktor korzystania z narzędzi Google Analitics[8] dostarczanych przez amerykańską firmę Google LLC w związku z ustaleniem, iż w ramach tych narzędzi dochodzi do transferu danych poza EOG i w przypadku transferu do Stanów Zjednoczonych, gdzie zlokalizowane są serwery Google, standardowe klauzule umowne nie są wystarczającym zabezpieczeniem. Dane przekazywane i przechowywane są w postaci plików tekstowych przez co w przypadku dostępu do samego pliku nie są w żaden sposób zabezpieczone.

Potwierdzenie tego stanowiska zawarł w swojej decyzji z lutego 2022 r. francuski organ nadzorczy CNIL, który podobnie jak austriacki odpowiednik uznał, iż transfer do jakiego dochodzi w ramach korzystania z narzędzi Google nie jest oparty na wystarczających środkach zabezpieczających i zakazał francuskiemu portalowi korzystania z tych narzędzi[9]. CNIL również wskazał, iż doszło do naruszenia art. 44 RODO, pomimo zastosowania przez Google dodatkowych środków zabezpieczających (poza standardowymi klauzulami umownymi), ponieważ nadal nie sposób wykluczyć niezgodnego ze standardami unijnymi dostępu do danych przez amerykańskie organy w ramach działalności kontrwywiadowczej.

CNIL jednocześnie udzielił istotnej wskazówki, iż nie jest konieczna rezygnacja z tego narzędzia pod warunkiem zapewnienia właściwej anonimizacji danych w ramach dostępnych rozwiązań konfiguracyjnych.

Privacy Shield 2.0

Nowe założenia zakładają, iż Stany Zjednoczone znowelizują własne ustawodawstwo w celu wzmocnienia prywatności osób fizycznych oraz zapewnienia lepszej ochrony praw i wolności tych osób w działaniach amerykańskich agencji wywiadowczych.

Stany Zjednoczone mają się zobowiązać do wprowadzenia nowych środków ochrony zapewniających, iż śledzenie przez instytucje rządowe zostanie ograniczone do tego, co konieczne oraz proporcjonalne w realizacji konkretnych i wskazanych celów z zakresu bezpieczeństwa narodowego. Wprowadzą także dodatkowe mechanizmy zmierzające do zapewniania odpowiednich środków kontroli oraz szczegółowego i wielopoziomowego nadzoru nad działalnością wywiadowczą, zapewniając zgodność ich działalności z przyjętymi ograniczeniami. Jednym z jego elementów będzie sąd zajmujący się kontrolą ochrony danych, do którego będą się mogli zwrócić obywatele UE, których dane są transferowane. Sędziowie mają być wskazywani spośród osób spoza USA, co ma gwarantować ich niezależność.

Dodatkowo, amerykańskie agencje wywiadowcze wdrożą odpowiednie procedury zapewaniające skuteczny nadzór nad nowymi rozwiązaniami chroniącymi praw i wolności obywateli UE.

Kolejny etap

Przyszłe porozumienie będzie skutkiem przeszło rocznych negocjacji pomiędzy Stanami Zjednoczonymi a Unią Europejską. Jego zawarcie ma ukształtować trwałe podstawy dla transatlantyckiej wymiany danych osobowych, określić reguły kluczowe dla ochrony praw i wolności obywatelskich, a przez to umożliwiając nieskrępowaną wymianę informacji w ramach działalności gospodarczej we wszystkich sektorach gospodarki.

Trzeba jednak podkreślić, iż na ten moment powstały jedynie ogólne założenia przyszłego porozumienia i mamy do czynienia jedynie z polityczną deklaracją nie popartą żadnym wiążącym dokumentem. Zespół złożony z przedstawicieli Komisji Europejskiej oraz rządu Stanów Zjednoczonych będzie nadal pracował nad konkretnymi uzgodnieniami, które zostaną przyjęte jako rozporządzenie wykonawcze, a w konsekwencji zmian w prawie amerykańskim Komisja będzie mogła wydać decyzję stwierdzającą odpowiednie środki ochrony – tak jak to miało miejsce w przypadku Safe Harbour i Privacy Shield. Perspektywa przyszłych zmian to na pewno nie mniej niż kilka miesięcy, oczywiście pod warunkiem że uzgodnienia faktycznie doprowadzą do zapewnianie odpowiedniej ochrony danych obywateli UE.

Mimo, że przedstawione założenia w żaden sposób nie wpływają na transfer danych do Stanów Zjednoczonych w tym momencie, w tym zwłaszcza na jego legalność (dopuszczalność), to jednak dają strategiczną perspektywę zmian jakie nas czekają w przyszłości. W świetle ostatnich orzeczeń organów nadzorczych wiele firm ma dylemat, czy korzystanie z narzędzi, w ramach których dochodzi do transferu do Stanów Zjednoczonych jest dopuszczalne w świetle przepisów RODO oraz czy takie rozwiązania będą dostępne w przyszłości.

Jeśli zawarte porozumienie zagwarantuje należytą ochronę praw obywateli UE w przypadku transferu ich danych do Stanów Zjednoczonych, będzie miało fundamentalne znaczenie dla przyszłości transatlantyckiej współpracy gospodarczej. Organizacje takie jak NYOB już jednak podnoszą[10], iż zaproponowane założenia przyszłego porozumienia są niewystarczające i nie rozwiąże to problemu śledzenia obywateli UE przez amerykańskie agencje. Można również założyć  , iż nowa decyzja również będzie oceniana przez TSUE i prawdopodobnie czeka nas kolejne kilka lat niepewności i dalszych sporów o bezpieczeństwo transferu danych.

 

[1] https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/united-states-and-european-commission-joint-statement-on-trans-atlantic-data-privacy-framework/

[2] https://rodoradar.pl/artykul-44-ogolna-zasada-przekazywania/

[3] https://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=1086872

[4] Tak Wytyczne EROD 5/2021 https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-052021-interplay-between-application_pl

[5] https://curia.europa.eu/juris/liste.jsf?num=C-362/14

[6] https://curia.europa.eu/juris/liste.jsf?num=C-311/18

[7] https://noyb.eu/pl/101-skargi-dotyczace-zlozonych-transferow-ue-usa

[8] https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf

[9] https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply

[10] https://noyb.eu/en/privacy-shield-20-first-reaction-max-schrems

Giełda wierzytelności a RODO

Giełda wierzytelności to miejsce, w którym wierzyciel ma możliwość zaoferowania do „sprzedaży” swojej wierzytelności innym osobom. Należy mieć na uwadze, iż oferowane przez wierzyciela wierzytelności nie podlegają klasycznej sprzedaży w rozumieniu art. 535 Kodeksu cywilnego (dalej: kc), lecz są oferowane w ramach tzw. „cesji”, którą regulują przepisy art. 509 i następne kc. Dodatkowym elementem charakterystycznym dla giełdy jest okoliczność, iż taka oferta podlega publicznemu ujawnieniu, a zarazem, o fakcie wystawienia wierzytelności na giełdzie, informowany jest dłużnik. W ten sposób realizowana jest zasada transparentności.

 

Szczególną rolę w procesie przeniesienia własności wierzytelności odgrywa operator giełdy, pomimo, iż nie jest on stroną w relacji wierzyciel-dłużnik, nie wpływa na cenę wierzytelności, ani nie uzyskuje z tego tytułu korzyści.

 

Wiele osób może zastanawiać się nad tym, czy transakcje prowadzone na giełdzie wierzytelności są zgodne z prawem, w szczególności, czy nie naruszają przepisów dotyczących ochrony danych osobowych dłużnika. Aby odpowiedzieć sobie na tak postawione pytanie, należy się zastanowić nad tym, gdzie tkwią potencjalne ryzyka związane z operacjami przetwarzania danych osobowych na giełdzie wierzytelności. Istotna jest kwestia istnienia przepisów prawa, pozwalających na dokonywanie tego typu transakcji, które z jednej strony nie zabraniają egzekwowania słusznych praw wierzycieli, z drugiej zaś zapewniają ochronę prywatności dłużników.

 

Z punktu widzenia przepisów RODO, najważniejsze wydają się dwie kluczowe zasady, tj. zasada legalności przetwarzania danych (art. 5 ust. 1 lit. a RODO) oraz zasada minimalizacji danych (art. 5 ust. 1 lit. c RODO).

 

Ze względu na specyficzny charakter celu, z jakim wiążą się operacje obrotu wierzytelnościami, niezwykle istotnym zagadnieniem jest przeprowadzenie rzetelnej analizy ryzyka oraz oceny skutków przetwarzania (DPIA). Czynności tych, w ramach dochowania należytej staranności profesjonalisty winien dokonać operator giełdy. Ponadto, w celu zapewnienia zasady rozliczalności, niezbędne jest sporządzenie przez uczestniczące w procesach ujawniania i oferowania do „sprzedaży” wierzytelności podmioty odpowiedniej dokumentacji, wymaganej przepisami prawa, w tym między innymi sporządzenie rejestru czynności przetwarzania, o którym jest mowa w art. 30 ust. 1 RODO, rejestru kategorii czynności przetwarzania, czy prowadzenie innych rejestrów jak np. rejestru upoważnień. Z uwagi na to, że przetwarzanie danych osobowych odbywa się na zasadzie prawnie uzasadnionego interesu realizowanego przez administratora, niezbędne jest przeprowadzenie tzw. oceny balansu interesów (LIA), czyli wyważenia interesów administratora względem interesów i podstawowych wolności podmiotów danych.

 

Jeśli chodzi o zasadę legalności przetwarzania danych osobowych na giełdzie wierzytelności, to konieczne jest spojrzenie na to zagadnienie z punktu widzenia, po pierwsze interesów administratora, czyli wierzyciela oraz po drugie – interesów operatora giełdy.

 

Podstawą prawną przetwarzania danych osobowych przez wierzyciela jest realizacja jego prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), np. przez uzyskanie zapłaty przeterminowanej wierzytelności, przy jednoczesnym wskazaniu, iż ów interes jest silniejszy, niż ochrona prywatności dłużnika. Nie jest w tym miejscu istotne, czy zapłaty takiej dokona sam dłużnik, czy osoba trzecia, na którą wierzyciel dokona cesji swojej wierzytelności. Zgodnie z motywem 47 RODO „podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz”.

 

Jak wskazuje Prezes UODO w Decyzji wydanej w dniu 4 stycznia 2019 r. w sprawie ZSPR.440.631.2018 „należy uznać, że dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem i w tym sensie nadrzędnym nad prawami i wolnościami osoby, której dane dotyczą, bowiem dochodzenie roszczeń nie stanowi nieproporcjonalnego ograniczenia tych praw i wolności”.

 

W wypadku operatora giełdy, podstawą prawną przetwarzania danych osobowych jest art. 28 ust. 3 RODO w zw. z art. 6 ust. 1 lit. f RODO, która materializuje się przez łączącą operatora giełdy z wierzycielem umowę powierzenia przetwarzania danych osobowych. Operator ten bowiem występuje w całym procesie w roli podmiotu przetwarzającego, czyli procesora. Dodatkową podstawą prawną dla operatora giełdy stanowi art. 66 § 1 kc oraz art. 4 ustawy z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (t.j. Dz.U. 2018 nr 470). Pierwszy z cytowanych przepisów mówi o tym, że „oświadczenie drugiej stronie woli zawarcia umowy stanowi ofertę, jeżeli określa istotne postanowienia tej umowy”, drugi zaś wskazuje, że „udostępnianie informacji gospodarczych osobom trzecim nieoznaczonym w chwili przeznaczania tych informacji do udostępniania następuje wyłącznie za pośrednictwem biura informacji gospodarczej, chyba że przepisy prawa przewidują inny tryb udostępniania danych”. Przepis ten więc, rozszerzająco, dopuszcza ujawnianie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO.

 

Aby druga zasada, tzw. minimalizacji danych była w procesie obrotu wierzytelnościami spełniona, konieczna jest dokonanie analizy, które dane osobowe dłużnika są w tym celu faktycznie niezbędne. Stanowiska Prezesa UODO, potwierdzone orzecznictwem sądów pozwalają na określenie maksymalnego zakresu danych osobowych dłużnika, który wierzyciel, w ramach wykonywania swoich praw, może przetwarzać. I tak, zgodne z prawem jest przekazywanie na giełdę wierzytelności danych dłużnika, zarówno osoby fizycznej (konsumenta), jak i przedsiębiorcy. O ile dłużnikiem jest osoba prawna, np. spółka kapitałowa, fundacja lub stowarzyszenie, możliwe jest upublicznienie jego pełnych danych. W wypadku osób fizycznych prowadzących, bądź nie działalność gospodarczą, na giełdę wierzytelności można przekazać wyłącznie podstawowe dane, tj. imię i nazwisko osoby zadłużonej, jej firmę oraz nr NIP (w wypadku przedsiębiorcy), miejscowość, w której taka osoba mieszka, lub prowadzi działalność, bez wskazywania jednak dokładnego adresu. Ponadto, dozwolone jest przekazywanie informacji o zobowiązaniu, jego źródle, aktualnej wysokości zadłużenia oraz dotychczas prowadzonych działaniach windykacyjnych, wraz z informacją, czy dłużnik uznaje dług, czy zaprzecza jego istnieniu.

 

Z punktu widzenia legalności przetwarzania danych osobowych ważne jest dokumentowanie, zarówno przez wierzyciela, jak i operatora giełdy wszystkich procesów związanych z takim przetwarzaniem. Kluczowe w tym miejscu jest udokumentowanie, iż została przeprowadzona analiza ryzyka oraz ocena skutków przetwarzania dla ochrony prywatności podmiotów danych. Nie należy w tym miejscu pomijać innych aspektów, takich jak zastosowanie odpowiednich środków w celu zabezpieczenia danych osobowych przed nieuprawnionym dostępem osób trzecich, atakami hackerskimi oraz innymi incydentami, mogącymi prowadzić do wypadków naruszenia ochrony danych osobowych.

 

Równie istotną kwestią dla zapewnienia należytej ochrony danych osobowych jest przeprowadzenie oceny balansu interesów, w którym mowa w art. 6 ust. 1 lit. f in fine RODO. Test taki powinien składać się trzech części, mianowicie testu celowości, niezbędności oraz równowagi. O konieczności dokonania takiej analizy, w wypadku oparcia przez administratora danych osobowych przetwarzania na podstawie prawnie uzasadnionego interesu administratora, wielokrotnie informował na swoich stronach internetowych Prezes UODO, więc praktykę taką należy uznać obecnie za ugruntowaną.

 

Podsumowując, należy stwierdzić, że w świetle obowiązujących przepisów prowadzenie giełdy wierzytelności jest dopuszczalne. Zgodnie bowiem z art. 66 § 1 kc niezbędnym warunkiem, aby wierzytelność mogła się stać przedmiotem rozporządzania jest dostateczne jej oznaczenie. Materialnym zaś przejawem tejże konkretyzacji jest wskazanie danych osobowych dłużnika. Oferowanie, poprzez ujawnianie na giełdach wierzytelności, wierzytelności do sprzedaży jest zgodne z prawem, a podstawą prawną przetwarzania danych osobowych dłużnika jest prawnie uzasadniony interes wierzyciela (administratora), co potwierdza m. in. wyrok Sądu Apelacyjnego w Łodzi z dnia 17 lutego 2017 r. I ACa 1081/ 16 (LEX nr 2282450).

Rekordowa wysokość kary nałożonej przez Prezesa UODO

Na Fortum Marketing and Sales Polska S.A. decyzją Prezesa Urzędu Ochrony Danych Osobowych została nałożona administracyjna kara pieniężna w wysokości ponad 4,9 mln zł za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego. Karą administracyjną obciążony został także podmiot przetwarzający.

Prezes Urzędu Ochrony Danych Osobowych (dalej „PUODO”) opublikował decyzję wydaną dnia 19 stycznia 2022, mocą której nałożył dwie administracyjne kary pieniężne[1]:

  • na spółkę Fortum Marketing and Sales Polska S.A. będącą administratorem w wysokości 4 911 732 PLN za naruszenie polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, skutkującym naruszeniem ich poufności, oraz na braku weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO[2];
  • na podmiot przetwarzający – spółkę PIKA Sp. z o.o., w wysokości 250 135 PLN za naruszenie polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym zapewnienie ich poufności.

Kara, którą została obciążona spółka Fortum Marketing and Sales Polska S.A. jest najwyższą z  dotychczasowych wymierzonych przez PUODO kar administracyjnych.

Jak doszło do wszczęcia postępowania administracyjnego?

Zgodnie ze stanem faktycznym opisanym w decyzji PUODO, Spółka Fortum Marketing and Sales Polska S.A. to podmiot zajmujący się obrotem energią elektryczną i paliwem gazowym. W ramach prowadzonej działalności gospodarczej Fortum Marketing and Sales Polska S.A.  współpracuje z PIKA Spółką z o.o., która świadczy na jej rzecz usługę prowadzenia archiwum, w tym archiwum cyfrowego.

Z treści decyzji wynika, że ukarana spółka w kwietniu 2020 roku zgłosiła organowi nadzorczemu naruszenie ochrony danych osobowych. W zgłoszeniu naruszenia wskazano, że doszło do nieuprawnionego „skopiowania danych” klientów administratora, a zdarzenie jest związane z faktem wprowadzenia zmiany w systemie pełniącym rolę archiwum cyfrowego dokumentów i informacji na temat klientów. Zmianę zmierzającą do poprawy wydajności usługi miał przeprowadzać na polecenie administratora dostawca usługi archiwum, podmiot przetwarzający PIKA Spółka z o.o. i polegała ona na utworzeniu oraz instalacji dodatkowej bazy danych klientów administratora danych. Zgłoszone naruszenie dotyczyć miało danych osobowych ponad 100 tysięcy osób oraz obejmować szereg danych zawartych w skopiowanej przez nieuprawnione podmioty bazie, w tym imiona i nazwiska, adresy zamieszkania, numery PESEL, numery dokumentów tożsamości, adresy poboru, numery telefonów, czy też szczegóły zawartych umów z odbiorcami energii.

Po stwierdzeniu naruszenia Administrator zrezygnował z powiadomienia osób, których dane dotyczą o naruszeniu ochrony danych osobowych. Z uwagi na szeroki zakres ujawnionych danych klientów w opinii organu nadzorczego wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, stąd organ skierował do administratora wystąpienie, w którym zwrócił się o podjęcie stosownych działań w szczególności mających na celu niezwłoczne zawiadomienie osób, których dane dotyczą, o naruszeniu ich danych osobowych i przekazanie tym osobom zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia. Administrator w odpowiedzi na pismo PUODO poinformował o dokonaniu zawiadomienia osób, których dotyczyło naruszenie. W swoich wyjaśnieniach wskazał, że ujawnione zostały dane łącznie 120 428 osób, z czego o naruszeniu należało zawiadomić 95 711 osób, zaś pozostała liczba to klienci biznesowi oraz osoby zmarłe.

W następstwie zgłoszonego przez administratora naruszenia oraz złożonych wyjaśnień w przedmiocie zgłoszenia naruszenia, PUODO wszczął postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych.

Główne zarzuty

W efekcie przeprowadzonego postępowania administracyjnego na podstawie zgromadzonych dowodów PUODO zidentyfikował nieprawidłowości tak po stronie spółki Fortum Marketing and Sales Polska S.A., jak i spółki PIKA Sp. z o.o.

Głównym zarzutem PUODO podniesionym w decyzji wobec administratora danych był brak weryfikacji podmiotu przetwarzającego dane na jego zlecenie.

Administrator przed naruszeniem nie realizował prawa kontroli, o którym mowa w art. 28 ust. 3 lit. h) RODO, pod kątem zapewnienia przez procesora środków wymaganych w celu zapewnienia bezpieczeństwa przetwarzania. Nie egzekwował od PIKA Sp. z o.o. realizacji postanowień łączących ich umów, nie stosował się do własnej praktyki wdrażania zmian w środowisku IT opartej o wewnętrzne regulacje oraz nie weryfikował podmiotu przetwarzającego w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi. Zdaniem organu, pomimo zawartej umowy z podmiotem przetwarzającym, przyjęcia odpowiednich wewnętrznych regulacji oraz posiadania wiedzy w zakresie sposobu realizacji zmian w systemach informatycznych, administrator nie realizował swoich obowiązków w zakresie nadzoru nad podmiotem przetwarzającym w trakcie wprowadzania modyfikacji w systemie informatycznym, co w konsekwencji skutkowało swobodą w działaniu podmiotu przetwarzającego. Nienadzorowany w swoim działaniu podmiot przetwarzający dokonywał wdrożenia zmian w systemie informatycznym bez uprzedniego odpowiedniego przetestowania zastosowanych zabezpieczeń oraz zasilił rzeczywistymi danymi osobowymi klientów dodatkową bazę danych, w fazie testowej wdrażanego rozwiązania.

Co ważne, organ nadzorczy podkreślił, że sam fakt podpisania umowy powierzenia przetwarzania danych osobowych nie jest wystarczający, aby uznać, że administrator odpowiednio zweryfikował podmiot przetwarzający pod kątem spełnienia przez niego wymogów wynikających z RODO. Z obowiązku przeprowadzenia stosownej oceny podmiotu przetwarzającego nie może zwolnić również administratora fakt wieloletniej współpracy i korzystanie z usług konkretnego podmiotu przetwarzającego przed rozpoczęciem stosowania przepisów RODO, tj. przed 25 maja 2018 roku.

Z kolei podmiotowi przetwarzającemu PUODO zarzucił zastosowanie środków technicznych i organizacyjnych nieodpowiadających w wystarczającym stopniu wymogom określonym w art. 32 ust. 1 i 2 RODO. Poszczególne etapy realizacji zmian dla zgłoszonego przez administratora problemu z wydajnością usługi nie odbywały się na podstawie ściśle określonych procedur. W trakcie procesu dokonywania zmian w systemie użyte zostały rzeczywiste dane osobowe klientów administratora, a skuteczność zastosowanych zabezpieczeń nie została przetestowana przed przekazaniem do Fortum Marketing and Sales Polska S.A. zmian w ww. systemie mających rozwiązać problem z jego wydajnością. Pracownik spółki PIKA Sp. z o.o. odpowiedzialny za konfigurację nowego serwera nie przeprowadził testów bezpieczeństwa, w tym w zakresie zapewnienia bezpiecznego kanału komunikacji pomiędzy serwerami służącymi do przetwarzania danych osobowych przed migracją danych ze starego serwera należącego do administratora na nowo utworzony serwer. Podkreślono także, że procesor nie wypełnił obowiązków wynikających z umowy powierzenia przetwarzania danych osobowych, w której zobowiązał się m.in. do wdrożenia pseudonimizacji danych.

W konsekwencji, w ocenie polskiego organu nadzorczego zawinił zarówno administrator, jak i podmiot przetwarzający. Administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz nie zweryfikował, czy podmiot przetwarzający zapewnia odpowiednie gwarancje ich wdrożenia. Natomiast podmiot przetwarzający poprzez brak wdrożenia odpowiednich środków technicznych i organizacyjnych nie zapewnił natomiast odpowiedniego zabezpieczenia danych osobowych i ich poufności.

Rekordowa kara za naruszenie RODO

Na wysokość rekordowo wysokiej kary pieniężnej nałożonej na administratora wpływ miały przede wszystkim znaczna waga, poważny charakter naruszenia, szeroki zakres danych objętych naruszeniem, a także wysoki stopień odpowiedzialności administratora za naruszenie. W ocenie PUODO kara w wymierzonej wysokości będzie skuteczna i odstraszająca na przyszłość, powodując, iż administrator celem uniknięcia kolejnych sankcji zwróci należytą uwagę na przetwarzanie danych osobowych przy pomocy podmiotu przetwarzającego.

Na marginesie można też zauważyć, że z każdą kolejną decyzją administracyjną widoczne jest coraz odważniejsze podejście polskiego organu nadzorczego do miarkowania kar. Przykładów wysokich kar, które mogą stanowić pewien punkt odniesienia dla PUODO dostarcza także orzecznictwo organów nadzorczych innych krajów Unii Europejskiej. Każdy organ nadzorczy ma wprawdzie swobodę decyzji w zakresie wymiaru kary, ponieważ rozstrzygnięcia mają charakter indywidualny i konkretny, niemniej jednak jednolitość podejścia do miarkowania kar jest wysoce pożądana, zważywszy na bezpośredni skutek RODO oraz adresowane do organów nadzorczych państw, na których terenie obowiązuje RODO wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów RODO[3]. Jak wskazuje się we wspomnianych wytycznych „ Motyw 11  RODO wyjaśnia, że równorzędny stopień ochrony danych osobowych w Unii wymaga m.in. równorzędnych uprawnień w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych oraz równorzędnych kar za naruszenia tych przepisów w państwach członkowskich”.

Podsumowując, w analizowanej decyzji dobitnie podkreślone zostało to, jak istotne jest dokonywanie przez administratorów rzetelnej weryfikacji podmiotów przetwarzających, a wysokość wymierzonej sankcji tym bardziej skłania do nakierowania uwagi administratorów na baczniejszą selekcję podmiotów przetwarzających, którym zlecane są usługi. Rozstrzygnięcie PUODO pokazuje, że obowiązek weryfikacji procesorów ma wymiar rzeczywisty i nie sprowadza się li tylko do formalnego zawarcia umowy powierzenia przetwarzania danych osobowych.

 

[1] https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020.

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[3] Wytyczne Grupy Roboczej art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679, WP 253.

Webinar: Test równowagi interesów (LIA) – praktyczne warsztaty

Powołanie się na przesłankę prawnie uzasadnionego interesu wymaga od administratora przeprowadzenia szczegółowego testu równowagi interesów. Wiele organizacji nie wie jak skutecznie i szybko ją przeprowadzić.

Wychodząc naprzeciw potrzebom i oczekiwaniom zapraszamy na webinar poświęcony tematyce testu równowagi interesu.  Warsztaty skierowane jest do osób pełniących rolę Inspektorów Ochrony Danych (IOD) oraz osób pełniących rolę właścicieli procesów związanych z przetwarzaniem danych osobowych. W trakcie warsztatów opowiemy na kilku przykładach jak należy przeprowadzić test wraz z omówieniem najczęściej występujących problemów. 

Program:

  • Przesłanka prawnie uzasadnionego interesu w praktyce – co czyni interes „prawnie uzasadnionym”.
  • Kto i w jakim terminie powinien wykonać test równowagi interesów.
  • Struktura LIA – jaki wzór testu wybrać.
  • Test równowagi jako element spełnienia zasady rozliczalności.
  • Przesłanka prawnie uzasadnionego interesu w najnowszym orzecznictwie. 

Data: 07.04.2022, godz. 10:00.

Link do wydarzenia.

 

Zapraszamy!

Pomoc obywatelom Ukrainy a RODO (Stan prawny aktualny na dzień 16 marca 2022r.)

12 marca 2022 r. Prezydent RP podpisał ustawę z dnia 12 marca 2022 r. O pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa. Tego samego dnia ustawa została ogłoszona w Dzienniku Ustaw RP i tego samego dnia weszła w życie, z mocą od dnia 24 lutego 2022 r.

 

W dniu 24 lutego 2022 r. wojska Federacji Rosyjskiej zaatakowały terytorium Ukrainy. W wyniku tej agresji setki tysięcy obywateli Ukrainy zaczęło kierować się do krajów sąsiednich. Do dnia 16 marca 2022 r. ponad 2 miliony z nich znalazło schronienie w Rzeczypospolitej Polskiej.  W związku w zaistniałą sytuacją, konieczne stało się opracowanie rozwiązań prawnych adresowanych do opisanej wyżej grupy cudzoziemców. Rząd RP przygotował  projekt ustawy, która stwarza podstawy prawne dla legalizacji pobytu w Polsce osób przybywających z terytorium Ukrainy.

 

„Ustawa o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa” (dalej „Specustawa”) została uchwalona i podpisana przez Prezydenta RP w dniu 12 marca 2022 r. Tego samego dnia weszła w życie z mocą od dnia rozpoczęcia agresji Rosji na Ukrainę, tj. od dnia 24 lutego 2022 r.

 

Podstawowym celem ustawy jest stworzenie szczególnych  regulacji prawnych, zapewniających podstawę dla zgodnego z prawem pobytu obywatelom Ukrainy, którzy w wyniku działań wojennych zostali zmuszeni do opuszczenia swojego kraju i legalnie przedostali się przez granicę do Polski. Zgodnie z art. 2 ust. 1 Specustawy za legalny w Polsce, przez okres 18 miesięcy (liczony od dnia 24 lutego 2022 r.), czyli do dnia 23 sierpnia 2023 r. uznaje się pobyt obywatela Ukrainy, który legalnie przekroczył granicę RP w okresie od dnia 24 lutego 2022 r. i jednocześnie deklaruje zamiar pozostania na terytorium RP.

 

Przepisy ustawy regulują m.in. kwestie dotyczące uprawnień obywateli Ukrainy do opieki medycznej, obejmującej świadczenia opieki zdrowotnej na zasadach i w zakresie, w jakim osobom objętym obowiązkowym lub dobrowolnym ubezpieczeniem zdrowotnym przysługuje prawo do świadczeń na podstawie ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych.

 

Zgodnie z art. 4 ust. 1 Specustawy, każdy legalnie przebywający na terenie RP obywatel Ukrainy otrzyma, na podstawie złożonego wniosku, numer PESEL, dzięki któremu będzie mógł założyć profil zaufany (ePuap), legalnie podjąć pracę, uzyska prawo do edukacji, będzie także mógł podejmować i wykonywać w Polsce działalność gospodarczą na takich samych  zasadach jak obywatel RP.

 

Osoby, które przebywają na terytorium Unii Europejskiej korzystają z praw, które daje im Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/ 679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/ 46/ WE (ogólne rozporządzenie o ochronie danych – RODO). Z  ochrony tej, w tym z wynikających z  RODO uprawnień mogą korzystać również osoby znajdujące schronienie w Polsce w związku z konfliktem zbrojnym na terytorium Ukrainy.

 

Obywatele Ukrainy potrzebują nie tylko wsparcia materialnego, lecz również szeroko rozumianej pomocy prawnej. W związku z tym Urząd Ochrony Danych Osobowych (UODO) uruchomił specjalny adres poczty elektronicznej, pod którym obywatele Ukrainy, przebywający w Polsce mogą uzyskać  niezbędne informacje dotyczące przetwarzania danych osobowych: forukraine@uodo.gov.pl.

UODO przygotował specjalny poradnik, dzięki któremu przebywający w Polsce obywatele Ukrainy będą mogli zapoznać się z przysługującymi im na gruncie RODO prawami oraz dowiedzą się jak z tych  praw korzystać. Poradnik został przygotowany w języku ukraińskim i angielskim i dostępny jest tutaj (https://uodo.gov.pl/pl/file/3979).

 

Od początku konfliktu zbrojnego na Ukrainie wiele instytucji w Polsce zaangażowało się w świadczenie obywatelom Ukrainy pomocy humanitarnej. Świadczenie takiej pomocy wiąże się niewątpliwie z przetwarzaniem danych osobowych. Ponieważ kwestie pomocy humanitarnej wyłączone zostały zasadniczo spod prawa UE, stosuje się w tym zakresie ogólne przepisy obowiązujące w prawie międzynarodowym. O ile jednak podczas przetwarzania danych osobowych znajdują zastosowanie przepisy RODO (zgodnie z motywem 46 RODO), wtedy podstawę prawną do przetwarzania takich danych stanowi bądź zgoda na przetwarzanie podmiotu danych, udzielona w celu umożliwienia niesienia pomocy humanitarnej (art. 6 ust. 1 lit. a RODO) i wyrażona w formie zgodnej z treścią art. 7 ust. 2 RODO oraz w warunkach wskazanych w art. 4 pkt. 11 RODO,, bądź przetwarzanie takie jest„niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej” (art. 6 ust. 1 lit. d RODO).

 

Pomoc humanitarną mogą świadczyć zarówno podmioty publiczne, jak i prywatne. W przypadku, gdy pomoc taką świadczą podmioty publiczne, podstawą prawną do jej świadczenia stanowi także art. 6 ust. 1 lit c oraz e RODO, bowiem przetwarzanie jest niezbędne do „wypełnienia obowiązku prawnego ciążącego na administratorze” oraz „do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi”.  W wypadku zaś, gdy pomoc humanitarna jest świadczona przez profesjonalne podmioty prywatne, podstawą prawną do jej świadczenia stanowi także art. 6 ust. 1 pkt f   RODO, bowiem „przetwarzanie takie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią”. W obydwu wypadkach celem, dla którego dane osobowe są przetwarzane jest niesienie pomocy osobom w związku z konfliktem zbrojnym na terytorium Ukrainy.

 

W wypadku gdy przetwarzane byłyby dane szczególnych kategorii, wskazane w art. 9 ust. 1 RODO (np. dotyczące stanu zdrowia), przetwarzanie takich danych może zostać oparte o art. 9 ust. 2 lit. c RODO, czyli niezbędności „do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą jest fizycznie lub prawnie niezdolna do wyrażenia zgody”.

 

Niezależnie od podstaw prawnych do przetwarzania danych osobowych przez organizacje zajmujące się świadczeniem pomocy humanitarnej, należy również pamiętać o dopełnieniu obowiązków informacyjnych, wskazanych w art. 13 RODO. Najważniejsze z nich to wskazanie administratora danych osobowych, celu przetwarzania danych osobowych, podstawy prawnej przetwarzania, okresie przez który dane osobowe będą przechowywane oraz przysługujących podmiotom danych praw.

Jakie dokumenty może pracodawca żądać od pracownika, kiedy pracownik jest honorowym dawcą krwi?

Zaświadczenie ze stacji krwiodawstwa

Pracownik, który oddaje krew może zgodnie z przepisami skorzystać ze zwolnienia od pracy, a od 26 stycznia 2021 honorowym dawcom krwi, którzy oddadzą krew lub jej składniki, w tym osocze po chorobie COVID-19, przysługuje zwolnienie od pracy oraz zwolnienie od wykonywania czynności służbowych w dniu, w którym oddali krew lub jej składniki, oraz w dniu następnym.

Taki rodzaj zwolnienia od pracy jest zwolnieniem płatnym, a podstawą jego udzielenia jest zaświadczenie wydane przez stację krwiodawstwa, które pracownik powinien przedstawić pracodawcy do wglądu, albowiem przepisy nie przewidują obowiązku przechowywania takich zaświadczeń przez pracodawcę. Skorzystanie przez pracownika ze zwolnienia od pracy w związku z oddaniem krwi należy natomiast odnotować w ewidencji czasu pracy.

Cyberbezpieczeństwo – Phishing czym jest i jak się przed nim zabezpieczyć ?

Zgodnie z raportem rocznym wykonanym przez CERT Polska w roku 2020 w Polsce odnotowano 10 420 zdarzeń związanych z cyberbezpieczeństwem. Najczęściej wykorzystywaną metodą ataku, stanowiącą 73%, był atak typu phishing[1]. Dlatego warto zadać sobie pytanie czym jest phishing i jak można się przed nim zabezpieczyć.

 

Co to jest phishing?

 

Phishing to metoda bazująca na socjotechnice polegająca na podszyciu się pod znaną celowi ataku osobę lub organizację w celu wydobycia danych. Mogą to być np. przełożeni, kontrahenci spółki, zaufana instytucja jak bank lub media społecznościowe. Phishing opiera się na wykorzystaniu zależności, uczuć oraz podświadomych zachowań pomiędzy osobami. Może odwoływać się do poczucia zaufania, podległości służbowej, poczucia obowiązku czy też kusić ofertą ograniczoną czasowo. Sam atak polega na przesłaniu wiadomości e-mail lub SMS, w treści której może znajdować się odnośnik do linku. Pod linkiem znajduje się odpowiednio spreparowana strona internetowa mająca imitować prawdziwą stronę banku lub formularza, w którym należy podać dane np. do służbowego konta do pakietu Microsoft Office lub może zachęcać do pobrania załącznika będącego złośliwym oprogramowaniem lub aplikacją. Celem ataku jest zdobycie danych umożliwiających przejęcie konta tj. loginu i hasła np. do konta bankowego lub służbowej poczty. A następnie wykorzystanie przejętego konta w celu zagarnięcia środków finansowych lub pozyskania tajemnic firmowych. Potencjalnymi skutkami udanego ataku phishingowego mogą być:

  1. Utrata kontroli nad danymi,
  2. Kradzież tożsamości,
  3. Starty finansowe,
  4. Utrata dobrego imienia/reputacji przez firmę.

 

Jak chronić się przed phishingiem?

 

Aby zabezpieczyć się przed phishingiem należy zadbać o poziom wiedzy pracowników poprzez dedykowane cyberbezpieczeństwu szkolenia. Phishing jest atakiem skierowanym na ludzi i ich interakcje z otoczeniem. Dlatego zabezpieczenia techniczne nie będą w stanie pomóc w każdym przypadku. Oczywiście zabezpieczenie firewall oraz ustawienie poczty na skanowanie przychodzących wiadomości i załączników pozowali uchronić się przed częścią ataków phishingowych. Jednak szkolenie pracowników i rozwijanie poziomu świadomości o cyberbezpieczeństwie mogą zapewnić bezpieczeństwo organizacji przed cyberatakami wymierzonymi w pracowników.

 

Jak możesz zabezpieczyć się przed phishingiem?

 

Podstawowymi rzeczami, na które należy zwracać podczas korzystania z poczty są:

  1. Wszelkie literówki w nazwach adresów e-mail, załącznikach czy też linkach,
  2. Treść wiadomości – czy nie zachęca do wykonania nietypowej czynności np. kliknięcia w podejrzany link,
  3. Linki – czy nie zachęcają do odwiedzenia nieznanej strony,
  4. Sieć internetowa– należy korzystać jedynie ze znanych i bezpiecznych sieci internetowych oraz unikać sieci publicznych np. w centrach handlowych,
  5. Nie instalować programów ani aplikacji zamieszczanych w wiadomościach,

 

Podsumowując zabezpieczając organizację przed phishingiem nie należy skupiać się jedynie na zabezpieczeniach technicznych w postaci firewall i ustawień zabezpieczeń poczty.  Są one istotne, jednak nawet najnowocześniejsze rozwiązania techniczne na nic się zdadzą, jeśli organizacja nie zadba o wiedzę i szkolenia pracownika w zakresie cyberbezpieczeństwa. Nie bez powodu mówi się, iż człowiek jest najsłabszym ogniwem systemu bezpieczeństwa informacji. Dlatego istotne jest zadbanie o to, aby pracownicy posiadali wiedzę dotyczycącą podstawowych zasad związanych z cyberbezpieczeństwem i bezpieczeństwem informacji. Ponadto każda organizacją powinna wprowadzić procedury bezpieczeństwa informacji oraz procedurę postępowania w przypadku wykrycia cyberataku lub próby jego dokonania.

 

 

[1] https://cert.pl/posts/2021/09/krajobraz-bezpieczenstwa-polskiego-internetu-w-2020-roku/

Postępowanie administracyjne przed Prezesem UODO – o karach pieniężnych i innych sankcjach na gruncie RODO

W niniejszym artykule przedstawię problematykę kar pieniężnych, a także innych narzędzi prawnych, jakimi dysponuje organ nadzorczy w ramach postępowania administracyjnego na gruncie RODO1. Administracyjne kary pieniężne są zasadniczym elementem systemu egzekwowania wprowadzonego na mocy RODO, stanowiąc tym samym wraz z innymi środkami przewidzianymi w art. 58 RODO istotną część zestawu narzędzi umożliwiających egzekwowanie prawa przez organy nadzorcze.

Widmo kar to z pewnością dla wielu przedsiębiorstw czynnik motywujący do podjęcia działań w kierunku zapewnienia zgodności z RODO. Istotne jest to, by znać zasady na jakich organ nadzorczy (w Polsce: Prezes Urzędu Ochrony Danych Osobowych, dalej „Prezes UODO”) może nałożyć kary finansowe, a także kiedy może poprzestać na łagodniejszych środkach, takich jak np. upomnienie. W ramach niniejszego artykułu zaprezentuję jakie czynniki decydują o nałożonej sankcji i co ma wpływ na jej wymiar.

Kilka słów o postępowaniu administracyjnym przed Prezesem UODO

Postępowanie administracyjne przed Prezesem UODO może zostać wszczęte zarówno z urzędu, jak i na skutek skargi osoby, której dane dotyczą. Po wszczęciu postępowania organ nadzoru musi dokonać ustaleń w zakresie stanu faktycznego, zestawić je z obowiązującym stanem prawnym, a następnie wydać decyzję administracyjną. Administracyjne kary pieniężne organ nadzorczy nakłada zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków naprawczych, o których mowa w art. 58 ust. 2 lit. a)-h) oraz j) RODO. Na decyzję organu nadzorczego można złożyć skargę do sądu administracyjnego.

Warto wspomnieć również, że jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes UODO, w celu zapobieżenia tym skutkom, może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych, wskazując dopuszczalny zakres tego przetwarzania. W takim postanowieniu Prezes UODO określa termin obowiązywania ograniczenia przetwarzania danych osobowych nie dłuższy niż do dnia wydania decyzji kończącej postępowanie w sprawie. Na wspomniane postanowienie służy skarga do sądu administracyjnego.

Jakie zasady w zakresie wymiaru kar pieniężnych obowiązują?

W RODO określone są maksymalne wysokości kar za poszczególne naruszenia, co oznacza, że sankcje nie mogą przekroczyć tych górnych granic.

Wyższe progi kar (do 20 mln euro, a w przypadku przedsiębiorstwa – do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego) obowiązują m.in. za naruszenie podstawowych zasad przetwarzania, w tym warunków uzyskania zgody, kwestii związanych z realizacją praw osób, których dane dotyczą, czy też przepisów dotyczących zasad przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej.

Niższe progi (do 10 mln euro, a w przypadku przedsiębiorstwa – do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego), są przewidziane np. za naruszenie obowiązków administratora i podmiotu przetwarzającego dotyczących spełnienia warunków wyrażenia zgody dziecka w przypadku usług społeczeństwa informacyjnego czy nieuwzględnienie zasad ochrony danych w fazie projektowania, czyli tzw. zasady privacy by design.

Dodatkowo należy zaznaczyć, że jako górna granica zagrożenia zawsze będzie brana pod uwagę wyższa kwota, np. że jeżeli na podstawie wyliczenia 4 % z obrotu światowego przedsiębiorstwa można nałożyć wyższą karę niż 20 mln euro to właśnie ta wyższa wartość będzie stanowiła górną granicę albo jeżeli wyższą kwotą w porównaniu do 2 % obrotu światowego przedsiębiorstwa jest kwota 10 mln euro to wówczas ta kwota znajdzie zastosowanie.

Warto pamiętać, że każdy kraj członkowski mógł w drodze ustawodawstwa krajowego obniżyć administracyjne kary pieniężne dla sektora publicznego, z czego skorzystał polski ustawodawca, wprowadzając próg maksymalny kary do 100 000 złotych w przypadku kary dla jednostek sektora finansów publicznych, instytutów badawczych lub Narodowego Banku Polskiego oraz próg maksymalny do 10 000 zł w przypadku sankcji pieniężnej nakładanej na państwowe i samorządowe instytucje kultury.

RODO rozstrzyga sytuację zbiegu naruszeń, tzn. w sytuacji gdy administrator lub podmiot przetwarzający narusza w ramach tych samych operacji przetwarzania kilka przepisów, całkowita wysokość administracyjnej kary finansowej nie może przekroczyć kary za najpoważniejsze naruszenie.

Należy wskazać, że w przypadku podjęcia decyzji o nałożeniu kary nie może być ona określona przez organ dowolnie – stosownie do art. 83 ust. 1 RODO administracyjna kara pieniężna musi łącznie spełniać 3 kryteria:

1) musi być skuteczna,

2) musi być proporcjonalna, oraz

3) musi być odstraszająca.

Brak spełnienia któregokolwiek z nich może być przesłanką do uchylenia decyzji organu, zaskarżonej przez administratora lub podmiot przetwarzający. Będzie to miało istotne znaczenie zwłaszcza, jeśli wysokość kary mogłaby doprowadzić do zakończenia działalności gospodarczej przedsiębiorstwa.

Okoliczności podlegające ocenie w postępowaniu administracyjnym przed organem nadzorczym

Decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, organ nadzorczy zwraca w każdym indywidualnym przypadku należytą uwagę na:

• charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

• umyślny lub nieumyślny charakter naruszenia;

• działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

• stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;

• wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego; • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

• kategorie danych osobowych, których dotyczyło naruszenie;

• sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

• jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 RODO – przestrzeganie tych środków;

• stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji oraz

• wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Jak widać lista okoliczności, które powinny być brane pod uwagę przez organ nadzorczy jest pokaźna. Wszystkie z tych czynników oczywiście mogą mieć znaczenie. Na przykładzie decyzji polskiego organu nadzorczego można zauważyć jakie przełożenie na wymiar kary finansowej mają występujące w danej sprawie okoliczności obciążające i łagodzące.

Tytułem przykładu warto przywołać decyzję organu nadzorczego z dnia 03 grudnia 2020 r w sprawie Virgin Mobile Polska Sp. z o.o. z siedzibą w Warszawie2. Prezes UODO nałożył na Virgin Mobile Polska Sp. z o.o. administracyjną karę pieniężną w wysokości ponad 1,9 mln zł za naruszenie polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do nieuprawnionego dostępu do tych danych przez osobę lub osoby nieuprawnione. W kręgu osób dotkniętych naruszeniem znalazło się ponad 123 tys. abonentów usług przedpłaconych, a dane osobowe, których naruszenie dotyczyło to przede wszystkim imiona, nazwiska, numery PESEL, serie i numery dowodów tożsamości, numery telefonów.

Wśród okoliczności, które organ uznał za obciążające znalazły się w szczególności charakter i waga naruszenia, liczba poszkodowanych osób, rozmiar szkody poniesionej przez osoby, których dotyczyło naruszenie i czas trwania naruszenia. Sam okres, w którym osoba lub osoby nieuprawnione miały dostęp do danych osobowych przetwarzanych przez spółkę, był stosunkowo krótki, to jednak stan naruszenia był długotrwały, ponieważ powstał przed dniem rozpoczęcia stosowania RODO, a usunięty został ostatecznie – w trakcie postępowania zakończonego wydaniem decyzji przez Prezesa UODO. Dodać należy, że na negatywną ocenę zdaniem organu zasłużył także fakt, że spółka nie przeprowadziła testu pod kątem poprawności działania systemu zgodnie z założonymi wymaganiami. Zdaniem Prezesa UODO brak w przyjętych przez Spółkę procedurach uregulowań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych przyczynił się do wystąpienia naruszenia ochrony danych osobowych.

Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą spółki z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Poza prawidłowym wywiązywaniem się z ciążących na spółce obowiązków procesowych zarówno w trakcie postępowania kontrolnego jak i w postępowaniu administracyjnym zakończonym wydaniem decyzji, spółka Virgin Mobile Polska Sp. z o.o. w pełnym zakresie zrealizowała zalecenia Prezesa UODO dotyczące uzupełnienia powiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu.

W kontekście kar finansowych i okoliczności podlegających ocenie organu nadzorczego warto także nadmienić sprawę spółki Morele.net Sp. z o.o., która w związku z niewystarczającym zastosowaniem środków technicznych i organizacyjnych, skutkującym dwukrotnym dostępem osoby bądź osób nieuprawnionych do danych jej klientów, na mocy decyzji Prezesa UODO z dnia 10 września 2019 r. została obciążona karą administracyjną w wysokości ponad 2, 8 mln złotych3. Naruszenie dotyczyło około dwóch milionów dwustu tysięcy użytkowników sklepów internetowych spółki Morele.net. Sp. z o.o. Efektem uzyskania nieuprawnionego dostępu było zagrożenie polegające na zastosowaniu metody zwanej phishingiem, mającej na celu wyłudzenie danych, m.in. uwierzytelniających do konta bankowego. Klienci spółki otrzymywali wiadomości SMS wzywające do dokonania dodatkowej opłaty w wysokości 1 PLN, w celu dokończenia realizacji zamówienia wraz z linkiem odsyłającym do fałszywej bramki płatności elektronicznej DotPay.

Przechodząc do kwestii okoliczności obciążających spółkę, należy przede wszystkim wskazać, że zdaniem organu zastosowane przez spółkę środki organizacyjne i techniczne, w tym jednoetapowa autoryzacja do panelu pracownika okazały się nieadekwatne do poziomu ryzyka, a spółka nie dopełniła obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, by zapewnić stopień bezpieczeństwa odpowiadający ryzyku nieuprawnionego dostępu do danych osobowych jej klientów. Ponadto organ stwierdził, że naruszenie ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla ok. dwóch milionów dwustu tysięcy osób, do których danych dostęp miała osoba bądź osoby nieuprawnione i pociąga za sobą potencjalną, ale realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli tych osób. Negatywnie został również oceniony fakt braku zapewnienia ciągłości monitorowania ruchu sieciowego.

Prezes UODO uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, w szczególności podjęcie przez spółkę wszelkich możliwych działań, mających na celu usunięcie naruszenia oraz dobrą współpracę ze strony spółki, która zarówno w toku przeprowadzonej kontroli, jak i w trakcie trwania postępowania współpracowała z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, w wyznaczonym terminie przesłała wyjaśnienia i udzieliła odpowiedzi na wystąpienie Prezesa UODO.

Należy wspomnieć, że Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 3 września 2020 r. oddalił skargę spółki Morele.net sp. z o.o. na decyzję Prezesa UODO, podzielając stanowisko organu nadzorczego w przedmiocie nałożonej administracyjnej kary pieniężnej4.

Podane przykłady pokazują, że organ nadzorczy zwraca uwagę zarówno na występujące w sprawie okoliczności obciążające, jak i łagodzące. To, czy zostały podjęte działania w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, a także stopień współpracy z organem w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków mogą wpłynąć na złagodzenie wymiaru kary administracyjnej, dlatego nawet, jeżeli już dojdzie do naruszenia wskazane jest, by podejmować działania zmierzające do zminimalizowania szkody oraz postawić na dobrą współpracę z organem nadzorczym. Oczywiście, w przypadku poważnych naruszeń wspomniane okoliczności łagodzące nie przyczynią się do całkowitego odstąpienia przez organ od obciążania karą finansową, niemniej zawsze mogą odnieść korzystny wpływ na jej wymiar.

Kara pieniężna czy inna sankcja?

Trzeba zaznaczyć, że Prezes UODO w ramach swoich kompetencji, rozstrzygając o odpowiedzialności za naruszenie RODO nie musi uciekać się wyłącznie do sankcji pieniężnych. W przypadku mniej istotnych naruszeń RODO, organ nadzoru dysponuje uprawnieniami naprawczymi, których katalog zawarty jest w art. 58 ust. 2 lit. a)-h) oraz j) RODO. Katalog ten przewiduje między innymi wydawanie przez organ nadzorczy ostrzeżeń dotyczących możliwości naruszenia przepisów przez planowane operacje, udzielanie upomnień w przypadku naruszenia przepisów RODO, spełnienie żądania osoby, której dane dotyczą, nakazanie dostosowania operacji przetwarzania do przepisów rozporządzenia oraz wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania.

Jak zatem można zauważyć, Prezes UODO dysponuje mechanizmami pozwalającymi na usunięcie skutków naruszeń danych osobowych bez konieczności finansowego obciążania danej organizacji. Jak wynika z art. 58 ust. 2 lit. i) RODO, administracyjne kary pieniężne mogą być nakładane zamiast powyższych środków naprawczych, jak i łącznie z nimi, zaś ocena w tym zakresie należy już do organu nadzorczego.

Z motywu 148 RODO wynikają wskazówki co zastosowania przez organ nadzorczy upomnienia i nieobciążania karą pieniężną:

„(…)Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia (…)”.

W motywie 148 RODO ustawodawca unijny posłużył się pojęciem „niewielkich naruszeń”. Takie naruszenia mogą dotyczyć pogwałcenia jednego lub kilku przepisów rozporządzenia wymienionych w art. 83 ust. 4 lub 5 RODO. W tym przypadku ocena wszystkich okoliczności pozwoli jednak na uznanie, że są „niewielkie”, ponieważ na przykład nie stanowią poważnego zagrożenia dla praw osób, których dane dotyczą oraz nie wpływają na istotę danego obowiązku. Zaznaczyć należy, że w motywie 148 RODO nie przewiduje się obowiązku zastępowania przez organ nadzorczy kary pieniężnej upomnieniem w przypadku każdorazowego niewielkiego naruszenia, a raczej wskazuje się na możliwość, z której można skorzystać po dokonaniu konkretnej oceny wszystkich okoliczności sprawy. Motyw 148 kreuje możliwość zastąpienia kary pieniężnej upomnieniem również w przypadku, gdy administratorem danych jest osoba fizyczna, a grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie. Kluczowa jest tutaj ocena organu nadzorczego, czy — w świetle istniejących okoliczności sprawy — nałożenie kary jest konieczne. Jeżeli organ tak uzna, jest zobligowany również ocenić, czy grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie5.

Podsumowując, system odpowiedzialności administracyjnej wprowadzony przez ustawodawcę unijnego ma na celu zapewnienie skuteczności regulacji. Należy przy tym pamiętać o rozbudowanym wachlarzu środków naprawczych jakie przysługują organowi nadzorczemu w ramach postępowania administracyjnego, wobec czego nie zawsze kończy się ono nałożeniem kary finansowej. Zależy to od okoliczności sprawy, która powinna być wnikliwie oceniona. Istotne jest to, że zastosowany środek naprawczy powinien odpowiadać charakterowi, wadze i konsekwencjom naruszenia. Przy wymierzaniu kar kluczowe dla organów nadzorczych jest zapewnienie ich skuteczności, proporcjonalności i odstraszającego charakteru. Trzeba bowiem wskazać, że kara nałożona na dany podmiot powinna mieć również wpływ na innych administratorów i procesorów działających na rynku, odnosząc skutek prewencyjny i edukacyjny. Organ dokonuje bowiem w uzasadnieniu interpretacji przepisów, które w przyszłości mogą być wskazówką tak dla ukaranego, jak i dla innych podmiotów.


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[2] https://www.uodo.gov.pl/decyzje/DKN.5112.1.2020

[3] https://uodo.gov.pl/decyzje/ZSPR.421.2.2019

[4] Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 września 2020 r., sygn. II SA/Wa 2559/19, LEX nr 3077973

[5] Wytyczne Grupy Roboczej art. 29  w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (W 253)

Autor

Alicja Ksokowska

Radca prawny z kilkuletnim doświadczeniem w obsłudze prawnej, w szczególności podmiotów z sektora farmaceutycznego. Posiada doświadczenie zawodowe w obszarze ochrony danych osobowych, które zdobywała w ramach współpracy z kancelariami prawnymi oraz jako prawnik wewnętrzny spółek.