Naruszenie prawa do ochrony danych osobowych – skarga do Prezesa Urzędu Ochrony Danych Osobowych czy pozew do sądu ? – cz. 1.

Austriacki sąd orzekł pierwsze w Unii Europejskiej zadośćuczynienie pieniężne osobie, której dane osobowe były przetwarzane niezgodnie z przepisami RODO. W związku z tym, że Rozporządzenie o ochronie danych osobowych obowiązuje na terenie całej Unii Europejskiej, w przyszłości można się spodziewać podobnych wyroków również w Polsce. Praktyka pokazuje, że Polacy mają coraz większą świadomość dotycząca możliwości kierowania skarg do Prezesa Urzędu Ochrony Danych Osobowych (blisko 7 tys. skarg dotarło do PUODO w 2019 r.). Niewielu pokrzywdzonych jednak wie, że RODO przewiduje także możliwość dochodzenia swoich praw związanych z naruszeniem ochrony danych osobowych na drodze sądowej.

Na początku przybliżmy krótko okoliczności dotyczące precedensowej sprawy z Austrii. Poczta austriacka (Österreichische Post) została ukarana przez miejscowy organ właściwy ds. ochrony danych osobowych karą finansową wynoszącą 18 milionów euro. Organ w ramach przeprowadzonego postępowaniu stwierdził, że poczta profilowała dane osobowe swoich klientów, w celu przyporządkowania ich poglądów politycznych do poszczególnych austriackich partii politycznych. Poczta wykorzystywała również do celów marketingowych dane dotyczące częstotliwości zamawiania paczek. Organ uznał, że poczta przetwarzała dane w tych celach bez podstawy prawnej, a także nie spełniła obowiązku informacyjnego wobec swoich klientów, co więcej, dane osobowe były w niektórych przypadkach sprzedawane innym podmiotom. Jedna z osób, której dotyczyło to naruszenie, postanowiła skierować sprawę na drogę sądową. Powód podnosił w sądzie, że poczuł się zaniepokojony tym, że poczta profilowała jego dane w opisany powyżej sposób, bez informowania czy pytania o zgodę. Sąd uznał, że już samo powstanie u powoda poczucia zaniepokojenia może stanowić wystarczającą podstawę do przyznania zadośćuczynienia. Sąd zauważył, że poglądy polityczne zaliczają się do szczególnych kategorii  danych osobowych, o których mowa w art. 9 RODO i podlegać powinny większej ochronie niż tzw. „zwykłe” dane osobowe. Podkreślił jednak, że nie każda niedogodność czy pomniejsze naruszenie ochrony danych osobowych powoduje powstanie roszczenia o zadośćuczynienie za powstałą szkodę niematerialną.

Wprawdzie zasądzona przez sąd na rzecz powoda kwota nie jest znaczna, wynosi bowiem 800 euro (powód domagał się 2 500 euro), to mając na uwadze, że naruszenie przepisów o ochronie danych osobowych dotyczyło około 2 milionów osób, to pozwana – austriacka poczta – może spodziewać się w najbliższej przyszłości fali kolejnych pozwów.

Można się zastanawiać, czy na gruncie polskiego porządku prawnego możemy oczekiwać podobnych wyroków, a w konsekwencji, czy polskie sądy mogą się w najbliższej przyszłości spodziewać pozwów cywilnych za samo poczucie dyskomfortu wywołane niezgodnym z przepisami przetwarzaniem danych osobowych?

Art. 79 ust. 1 RODO stanowi, iż bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy RODO zostały naruszone w wyniku przetwarzania jej danych osobowych z naruszeniem rozporządzenia.

Art. 82 ust. 1 RODO dookreśla, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Na podstawie art. 82 ust. 3 RODO, administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Jest to korzystne dla osób, których prawa zostały naruszone. Odwrócenie ciężaru dowodu zawarte w tym przepisie powoduje, że to administrator lub podmiot przetwarzającym zobowiązani są udowodnić, że nie ponoszą winy za zdarzenie.

Należy pamiętać, że prawo do dochodzenia swoich roszczeń z zakresu ochrony danych osobowych przed sądem jest regulowane także przepisami ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z art. 92 ustawy o ochronie danych osobowych, w zakresie nieuregulowanym w RODO należy stosować przepisy kodeksu cywilnego w odniesieniu do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych.

W polskim prawie cywilnym wyróżnia się zarówno pojęcie odszkodowania za szkodę majątkową, czyli za dający się wyliczyć uszczerbek na majątku osoby poszkodowanej, jak i pojęcie zadośćuczynienia za krzywdę, której nie da się łatwo wycenić. Nie jest zatem wykluczone, że polski sąd może uznać, że samo naruszenie przepisów RODO, np. brak spełnienia obowiązku informacyjnego, wyrządziło krzywdę podmiotowi danych, a zatem powstała możliwość dochodzenia roszczenia o przyznanie zadośćuczynienia za doznaną krzywdę.

Warto mieć na uwadze, że w celu uzyskania zadośćuczynienia za szkodę niematerialną przed sądem cywilnym, trzeba udowodnić że:

  1. Doszło do naruszenia przepisów o ochronie danych osobowych.
  2. Administrator lub podmiot przetwarzający ponosi winę za to zdarzenie.
  3. Wystąpiły inne okoliczności istotne dla sprawy, wpływające na wielkość krzywdy oraz wysokość możliwego do zasądzenia zadośćuczynienia.

W drugiej części artykułu omówimy praktyczne aspekty skierowania pozwu do sądu lub skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Źródło: https://digital.freshfields.com/post/102fth1/can-i-claim-damages-for-hurt-feelings-under-gdpr-an-austrian-court-says-yes.

 

Brokerzy ubezpieczeniowi a RODO

Obszar ubezpieczeń jest jednym z kluczowych i wymagających obszarów pod względem przetwarzania danych osobowym. Kwestia przepływów danych między firmami ubezpieczeniowymi, pośrednikami ubezpieczeniowymi, a klientami nastręcza wiele wątpliwości jaką rolę przypisać firmom będącym pośrednikami – brokerom czy agencjom ubezpieczeniowym – podmiotu przetwarzającego czy administratora w stosunku do danych osobowych klientów?

Aby odpowiedzieć na to pytanie należy przede wszystkim zastanowić się na czym polega ich rola i jakie są między nimi różnice. Działalność zarówno brokerów, jak i agencji ubezpieczeniowych szczegółowo reguluje ustawa z dnia 15 grudnia 2017 r. o dystrybucji ubezpieczeń.

Zgodnie z ustawą brokerem ubezpieczeniowym może być zarówno osoba fizyczna, jak
i osoba prawna. Istotne jest, że broker działa w imieniu klienta, który zgłosi się do niego w celu przedstawienia mu dedykowanej oferty ubezpieczeniowej. W tym celu broker będzie „zbierał” oferty  od różnych firm ubezpieczeniowych, z którymi współpracuje, aby na koniec przedstawić swojemu klientowi zestawienie wszystkich ofert ze wskazaniem, która z nich spełnia określone przez klienta kryteria. Przesyłając prośbę do ubezpieczyciela o przygotowanie oferty, broker może przekazać do ubezpieczyciela dane osobowe np. osoby fizycznej prowadzącej jednoosobową działalność gospodarczą. Mamy wówczas do czynienia z udostępnieniem danych klienta brokera ubezpieczycielowi.

Współpraca między klientem a brokerem ubezpieczeniowym opiera się również na podstawie umowy, którą obie strony podpisują. W tym przypadku podstawą prawną przetwarzania danych osobowych będzie art. 6 ust. 1 lit. b RODO. Zatem broker będzie administratorem danych klientów, z którymi podpisał umowę.

Opisane powyżej sytuacje są najbardziej charakterystyczne dla relacji z brokerami ubezpieczeniowymi. Pamiętać jednak należy, że zawsze mogą wystąpić odstępstwa od ogólnie przyjętych reguł, dlatego też za każdym razem konieczne jest szczegółowe przeanalizowanie takiej współpracy.

Privacy by design i privacy by default w świetle najnowszych wytycznych EROD

Na 15. posiedzeniu Europejskiej Rady Ochrony Danych (EROD), przedstawiono do publicznych konsultacji projekt Wytycznych dotyczących ochrony danych zgodnie z zasadami ochrony danych w fazie projektowania oraz domyślnej ochrony danych (Privacy by design i Privacy by default). Obowiązek uwzględnienia wspomnianych zasad wynika bezpośrednio z art. 25 RODO i odnosi się on do wszystkich administratorów danych.

 

Privacy by design

Obowiązek ochrony danych w fazie projektowania obliguje administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych oraz wprowadzenia niezbędnych zabezpieczeń w celu spełnienia wymogów wynikających z RODO oraz z konieczności ochrony praw osób, których dane dotyczą.

W wytycznych EROD odpowiednie środki techniczne i organizacyjne powinny być rozwiązaniami umożliwiającymi administratorowi efektywne osiąganie celu, jakim jest przetwarzanie zgodne z zasadami ochrony danych (art. 5 RODO) oraz respektowanie praw i wolności podmiotów danych (art. 12 – 22 oraz motyw 4 RODO,)  – jako przykład takich środków podano m. in. szkolenie personelu z zakresu ochrony danych oraz zaawansowane rozwiązania natury technicznej.

Niezbędne zabezpieczenia, których wdrożenie mają zapewnić owe środki techniczne i organizacyjne zgodnie z art. 25 ust. 1 RODO, mają za zadanie działać jak „druga linia obrony”, czyli zagwarantować, że prawa podmiotów danych będą chronione – jako przykład podano umożliwienie podmiotom danych wglądu w proces przetwarzania,  czy korzystanie z programów przypominających o upływającym czasie do usunięcia danych.

Duży nacisk w wytycznych położono na podkreślenie, że przyjęte sposoby postępowania z danymi osobowymi powinny charakteryzować się efektywnością, co oznacza, że administratorzy danych osobowych muszą umieć wykazać, że wdrożone przez nich środki i zabezpieczenia funkcjonują w organizacji oraz, że spełniają swoje funkcje. W związku z powyższym nie będzie wystarczającym samo wdrożenie odpowiedniej dokumentacji, jeśli spisane procedury nie będą w praktyce stosowane i administrator nie będzie w stanie wykazać ich skuteczności. Jako przykład, w jaki sposób można wykazać skuteczność wdrożonych rozwiązań, EROD wskazuje stosowanie wskaźników skuteczności działania (ang. Key Performance Indicators – KPI) opierających się na analizie ryzyka czy ograniczeniu czasu reakcji na żądania podmiotu danych.

Jakie czynniki należy wziąć pod uwagę w fazie projektowania?

W ramach opracowywania planu dotyczącego przetwarzania danych należy wziąć pod uwagę szereg czynników, których znaczenie zostało przybliżone w omawianym dokumencie – oprócz charakteru, zakresu, kontekstu i celu przetwarzania są to takie czynniki jak:

stan wiedzy technicznej i koszt wdrożenia

Ze względu na stale zmieniające się zagrożenia dla procesów przetwarzania danych osobowych, administrator musi brać pod uwagę konieczność aktualizowania środków zarówno technicznych jak i organizacyjnych. Z kolei przez koszt wdrożenia rozumiane są bezpośrednie wydatki pieniężne jak i zapewnienie zasobów ludzkich.

ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania

W ramach procedury Privacy by design administrator danych zobowiązany jest do oszacowania ryzyka naruszenia praw lub wolności podmiotów danych. W wytycznych wskazano, że konieczność indywidualnego przeanalizowania ryzyka nie uniemożliwia korzystania z wypracowanych standardów oraz narzędzi do analizy podobnych ryzyk, pod warunkiem skupienia się na faktycznie dokonywanych procesach przetwarzania.

Kiedy stosować Privacy by Design?

Przeprowadzenie oceny przetwarzania zgodnie z zasadą ochrony danych w fazie projektowania należy przeprowadzić w czasie „określania sposobów przetwarzania” danych takich jak ustalanie procedur, architektury systemów, layoutu użytkownika itd.  Jednak należy również pamiętać o obowiązku stosowania zasady  „w czasie samego przetwarzania”, co odnosi się do konieczności przeprowadzania regularnej oceny w czasie istnienia procesu przetwarzania.

Privacy by default

Zasada domyślnej ochrony danych polega na zagwarantowaniu, że w procesie przetwarzania danych osobowych „domyślnie”, czyli niejako „z automatu” przetwarzane będą dane jedynie w takim zakresie w jakim jest to niezbędne do zrealizowania celu przetwarzania. Jako przykłady, w wytycznych EROD wskazano kryteria analizy ilości zbieranych danych, ich zakresu, czasu retencji oraz dostępności. Przy czym wskazuje się, że jako ilość danych powinno się rozumieć nie tylko liczbę rekordów zawierających informacje o podmiotach danych, lecz także ich znaczenie (typy, kategorie danych). Ważnym kryterium jest ograniczenie dostępności do danych – czyli zagwarantowanie, że wgląd w dane osobowe będą miały tylko osoby, dla których jest to konieczne do zrealizowania celu przetwarzania. Jak wskazano w Wytycznych, przed opublikowaniem danych osobowych administrator ma obowiązek skonsultowania tego faktu z podmiotem danych.

Podobnie jak w przypadku Privacy by design, w art. 25 ust. 2 RODO opisującym zasadę Privacy by default wspomniano o obowiązku wdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych. EROD wskazuje, że takie środki należy rozumieć analogicznie jak w przypadku Privacy by design, pamiętając że odnosić się będą głównie do zasady minimalizacji danych.

 

Implementacja zasad zgodnie z zaleceniami

Oprócz szczegółowego omówienia zasad Privacy by default i Privacy by design, autorzy projektu wytycznych pokusili się o wskazanie kluczowych elementów dla przeprowadzenia oceny przetwarzania zgodnie z treścią art. 25. W ten sposób stworzono bardzo interesujący przewodnik po wspomnianych zasadach, na który składa się krótka analiza przeprowadzona pod kątem zasad przetwarzania danych – transparentności, zgodności z prawem, rzetelności, ograniczenia celu, minimalizacji danych, prawidłowości, dostępności i poufności podparta pomocnymi przykładami.

Projekt wytycznych został poddany konsultacjom społecznym. Do 16 stycznia 2020r. można podzielić się z autorami opinią na jego temat. Całość dostępna jest pod adresem:

https://edpb.europa.eu/

Źródło: Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Adopted on 13 November 2019, https://edpb.europa.eu/ – dostęp 02.12.2019

Pierwszy wyrok w sprawie zaskarżonej kary finansowej za naruszenie RODO w Polsce – jest uzasadnienie wyroku

Opublikowano uzasadnienie wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 11 grudnia 2019 r., o sygn. II SA/WA 1030/19, dotyczącego kary finansowej za naruszenie przepisów RODO (pisaliśmy o tym wyroku pod linkiem: https://rodoradar.pl/pierwszy-wyrok-w-sprawie-zaskarzonej-kary-finansowej-za-naruszenie-rodo-w-polsce/). Sąd w uzasadnieniu poruszył kilka istotnych kwestii, którym warto się przyjrzeć. Jeśli argumenty sądu znajdą uznanie Naczelnego Sądu Administracyjnego oraz innych sądów administracyjnych, będą miały praktyczne przełożenie na funkcjonowanie wywiadowni gospodarczych w Polsce.

1. Dane archiwalne.

Sąd nakazał Prezesowi Urzędu Ochrony Danych Osobowych zweryfikowanie wysokości nałożonej kary finansowej. Kara została nałożona przy założeniu, że naruszenie prawa do ochrony danych osobowych przez spółkę dotyczyło także danych osób, które już nie prowadzą działalności gospodarczej, w związku z tym, że zostali wykreśleni z publicznego rejestru. Prezes Urzędu Ochrony Danych Osobowych uznał w swojej decyzji, że obowiązek informacyjny należy spełniać względem wszystkich osób, których dane przetwarza administrator. Sąd jednak zwrócił uwagę, że Prezes UODO powinien był zbadać w trakcie postępowania, czy spółka posiada faktyczną możliwość spełnienia obowiązku informacyjnego wobec osób, które już nie prowadzą działalności gospodarczej, ponieważ ich dane korespondencyjne, które posiada spółka, mogą być dawno nieaktualne. Jest to najbardziej interesujący punkt orzeczenia, ponieważ sąd uzależnia spełnianie obowiązku informacyjnego od aktualności danych kontaktowych osoby, której dane dotyczą. RODO nie przewiduje takiego wyjątku od obowiązku spełniania obowiązku informacyjnego, dlatego interesujące będzie, czy inne sądy podzielą zdanie Wojewódzkiego Sądu Administracyjnego w Warszawie.

2. Kara jako odstraszenie?

Uzasadniając wysokość nałożonej kary, Prezes Urzędu Ochrony Danych Osobowych argumentował, że nałożona kara finansowa powinna skutecznie zniechęcać także inne podmioty do naruszania w przyszłości prawa ochrony danych osobowych. Sąd uznał taki argument za niedozwoloną przesłankę ustalania wysokości kary i podkreślił, że zgodnie z art. 83 ust. 1 RODO kara powinna być odstraszająca w indywidualnym przypadku, jedynie w stosunku do konkretnego podmiotu, na który zostaje nałożona. Organ nadzorczy nie może zatem tak podwyższać kary, aby odstraszyć także inne podmioty działające w tej branży na rynku.

3. Niewspółmiernie duży wysiłek.

Sąd przyznał rację Prezesowi UODO, że spełnienie obowiązku informacyjnego pocztą tradycyjną nie jest czynnością niemożliwą oraz nie wymaga niewspółmiernie dużego wysiłku, o którym mowa w art. 14 ust. 5 lit. b RODO, w sytuacji posiadania przez spółkę danych adresowych osób fizycznych prowadzących działalność gospodarczą. Zdaniem sądu pojęcie niewspółmiernie dużego wysiłku nie jest tożsame ze znacznym wysiłkiem organizacyjnym i finansowym spółki, związanym z wysyłką wielkiej ilości listów. Sąd uznał, że kwestie organizacyjne i finansowe nie przeważają nad prawami osób fizycznych, których dane osobowe są przetwarzane przez administratora, w tym także w przypadku, gdy pozyskane zostały ze źródeł powszechnie dostępnych, a przetwarzane są następnie przez administratora w celach komercyjnych. Dokonując wykładni pojęcia niewspółmiernie dużego wysiłku sąd podkreślił, że chodzi o sytuację, gdy spełnienie obowiązku informacyjnego jest obiektywnie możliwe, ale niebywale utrudnione (graniczące z brakiem możliwości udzielenia informacji). W przedmiotowej sprawie, zdaniem sądu, nie mamy do czynienia z sytuacją, w której wysiłek, jaki administrator musiałby ponieść, aby wypełnić obowiązek informacyjny, można byłoby uznać za niewspółmiernie duży w odniesieniu do korzyści uzyskanych przez osoby fizyczne, których dane osobowe spółka przetwarza.

 

Źródło:

http://orzeczenia.nsa.gov.pl/doc/30EDD316DA

Relacja administrator – procesor okiem EIOD

Cel wydania wytycznych

7 listopada 2019 roku Europejski Inspektor Ochrony Danych (European Data Protection Supervisor) wydał wytyczne dotyczące m.in. koncepcji administratora i podmiotu przetwarzającego. Wytyczne, w dużej mierze oparte na opinii Grupy Roboczej Art. 29 (obecnie Europejskiej Rady Ochrony Danych), przeznaczone są dla instytucji i organów Unii Europejskiej i dotyczą „specjalnej wersji RODO” dla tych podmiotów. Mimo to mogą być one pomocne również dla administratorów, których dotyczy RODO.

Kiedy podmiot jest administratorem?

Administrator to w skrócie podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. EIOD rozebrał to zdanie jednej z fundamentalnych definicji na czynniki pierwsze i przedstawił swoją interpretację kluczowych pojęć.

„…ustala…” – Według EIOD ten element odnosi się do faktycznego wpływu jaki administrator ma na operację przetwarzania danych. W przypadku instytucji i organów UE, dla których pisane były wytyczne, główna podstawa prawna do przetwarzania danych osobowych określona jest w prawie Unii Europejskiej. W przypadku braku wyraźnych przepisów uprawniających do przetwarzania danych osobowych EIOD wskazuje, że podstawa do przetwarzania danych osobowych może wynikać z domniemanych kompetencji organu lub instytucji. Jeżeli podmiotowi zostanie powierzone określone zadanie, które wymaga wykonania pewnych obowiązków, do realizacji których niezbędne jest przetwarzanie danych osobowych, rola administratora może wynikać z takiego zadania.

Odnosząc powyższe do sytuacji podmiotów prywatnych przy ocenie własnej roli można posiłkować się następującymi pytaniami:

  1. Dlaczego odbywa się przetwarzanie?
  2. Kto zainicjował przetwarzanie?
  3. Kto uzyskuje korzyści z przetwarzania?
  4. Czy firma spowodowała, że drugi podmiot przetwarza dane osobowe?

 „…cele i sposoby…” – Określenie celów i środków operacji jest istotą wpływu administratora na proces przetwarzania danych osobowych. Według EIOD identyfikacja dlaczego dane są przetwarzane i jak dane są przetwarzane jest decydującym czynnikiem dla podmiotu, który przyjmuje rolę administratora w rozumieniu przepisów o ochronie danych, ponieważ podczas przeprowadzania operacji przetwarzania to administrator decyduje o tych elementach. Nie jest konieczne, aby strona w równym stopniu określała środki i cele, dlatego kluczowym pytaniem jest, na jakim poziomie szczegółowości strona powinna je określić, aby uznać ją za administratora danych.

W kontekście celu przetwarzania podmiot określający powód, dla którego dane osobowe mają być przetwarzane jest administratorem danych w rozumieniu przepisów o ochronie danych. Administrator jest zatem podmiotem, który de facto decyduje o celu (dlaczego?) operacji przetwarzania.

Jeśli chodzi o określenie środków, które mają być zastosowane w konkretnym procesie przetwarzania, pociąga to za sobą rolę administratora tylko wtedy, gdy strona decyduje o istotnych elementach tych środków. EIOD odwołuje się do opinii Grupy Roboczej Art. 29 i zawartych w niej przykładów istotnych elementów środków przetwarzania:

  1. rodzaj danych,
  2. okres przetwarzania,
  3. od kiedy dane zaczną być przetwarzane,
  4. kto będzie miał dostęp do danych (listy kontroli dostępu , profile użytkowników itp.),
  5. odbiorcy danych.

Jako przeciwieństwo istotnych elementów środków przetwarzanie wskazane zostały inne niż istotne elementy i są to m.in. wybór sprzętu lub oprogramowania. Procesor, który określa tego typu elementy nie staje się automatycznie administratorem danych osobowych.

Pomocniczo EIOD przygotował listę kontrolną, na podstawie której można zidentyfikować podmiot jako administratora. Według EIOD jeśli większość odpowiedzi brzmi TAK, podmiot prawdopodobnie będzie administratorem w procesie przetwarzania danych osobowych:

Pytanie Tak Nie
Podmiot zdecydował się przetwarzać dane osobowe lub spowodował, że inny podmiot je przetwarza.
Podmiot określa jaki cel lub wynik powinna mieć operacja przetwarzania.
Podmiot określa podstawowe elementy operacji przetwarzania, tj. jakie dane osobowe będą gromadzone, o jakich osobach, okresie przechowywania danych, kto ma dostęp do danych, odbiorców itp.
Podmiotami danych operacji przetwarzania są pracownicy podmiotu.
Podczas przetwarzania danych osobowych kierujesz się profesjonalnym osądem.
Podmiot ma bezpośrednią relację z osobami, których dane dotyczą.
Podmiot ma autonomię i niezależność w zakresie przetwarzania danych osobowych.
Podmiot wyznaczył procesora w celu wykonywania czynności przetwarzania w swoim imieniu, nawet jeśli podmiot wybrany w tym celu wdraża określone środki techniczne i organizacyjne (elementy inne niż istotne).

Kiedy podmiot jest procesorem?

Procesor (a dokładnie podmiot przetwarzający) to podmiot, który przetwarza dane osobowe w imieniu administratora. Oznacza to, że procesor służy interesowi administratora w wykonywaniu określonego zadania i że w ten sposób postępuje zgodnie z instrukcjami określonymi przez administratora, przynajmniej w odniesieniu do celu i istotnych elementów środków przetwarzania danych osobowych.

EIOD zwraca jednak uwagę na fakt, że procesor działa w imieniu administratora nie musi podważać jego niezależności w wykonywaniu określonych zadań, które zostały mu powierzone. Procesor może korzystać ze znacznego stopnia autonomii w świadczeniu swoich usług i może określać pewne (inne niż istotne) elementy operacji przetwarzania.

Dla przeprowadzenia oceny występowania podmiotu jako procesor EIOD również przygotował listę kontrolną. Według EIOD jeśli większość odpowiedzi brzmi TAK, podmiot prawdopodobnie będzie procesorem:

Pytanie Tak Nie
Podmiot postępuje zgodnie z instrukcjami innej strony dotyczącymi przetwarzania danych osobowych.
Podmiot nie decyduje się na gromadzenie danych osobowych od osób fizycznych.
Podmiot nie decyduje o podstawie prawnej gromadzenia i wykorzystywania tych danych.
Podmiot nie decyduje o celu ani celach, dla których dane będą wykorzystywane.
Podmiot nie decyduje, czy ujawnić dane oraz komu je ujawnić.
Podmiot nie decyduje o okresie przechowywania danych.
Podmiot podejmuje określone decyzje dotyczące przetwarzania danych, ale wdraża je na podstawie umowy lub innego aktu prawnego lub wiążącego porozumienia z administratorem.
Podmiot nie jest zainteresowany końcowym wynikiem przetwarzania.

Pierwszy wyrok w sprawie zaskarżonej kary finansowej za naruszenie RODO w Polsce

Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 11 grudnia 2019 r., sygn. II SA/WA 1030/19, częściowo uchylił decyzję UODO w sprawie spółki Bisnode (o której informowaliśmy pod linkiem: https://rodoradar.pl/rodo-zaczyna-zbierac-swoje-zniwo-w-polsce/). Spółka w celach zarobkowych przetwarzała dane przedsiębiorców pozyskane z publicznych rejestrów, w tym z CEIDG, nie spełniając jednocześnie obowiązku informacyjnego wobec osób fizycznych prowadzących działalność gospodarczą. Prezes Urzędu Ochrony Danych Osobowych uznał, że naruszony został podstawowy obowiązek administratora i nałożył na spółkę karę finansową w wysokości 943 tys. zł. Spółka zaskarżyła decyzję do sądu administracyjnego, podnosząc, że wysyłka listów z klauzulą informacyjną do wszystkich podmiotów wiązałaby się z wydatkiem finansowym rzędu 30 milionów złotych, przez co zachodził wyjątek niewspółmiernie dużego wysiłku (art. 14 ust. 5 lit. b RODO), zwalniający z konieczności spełnienia obowiązku informacyjnego wobec indywidualnych osób.

WSA w Warszawie częściowo uchylił decyzję Prezesa UODO; jako najpoważniejszy zarzut wobec decyzji PUODO sąd wskazał, że część przetwarzanych przez spółkę danych miała charakter archiwalny, zatem obowiązku informacyjnego nie powinno się spełniać wobec osób, które już nie prowadzą działalności gospodarczej, ponieważ wiąże się to np. z tym, że ich adresy wskazane w CEIDG mogą nie być już aktualne. Kara nałożona przez Prezesa UODO dotyczy zatem zbyt dużego kręgu podmiotów, niż podmioty dotknięte naruszeniem, w związku z czym sąd uchylił karę finansową. Wyrok nie jest prawomocny.

Warto będzie zapoznać się z uzasadnieniem wyroku, na sporządzenie którego sąd ma dwa tygodnie. Najbardziej wyczekiwaną jego częścią będzie argumentacja dotycząca interpretacji pojęcia niewspółmiernie dużego wysiłku. Mając na uwadze, że RODO powinno być jednolicie interpretowane na terenie całej UE, można ubolewać, że polski sąd nie skorzystał z okazji do zadania pytania prejudycjalnego do Trybunału Sprawiedliwości Unii Europejskiej w tej precedensowej sprawie, aby ten miał okazję wypowiedzieć się co do wykładni tak istotnego dla wszystkich administratorów pojęcia.

 

Wytyczne EROD dotyczące przetwarzania danych na podstawie art. 6 ust. 1 lit. b RODO

Podczas 14. sesji Europejskiej Rady Ochrony Danych (EROD) mającej miejsce w dniach 8-9 października br. uchwalono Wytyczne dotyczące przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. b RODO (niezbędność przetwarzania do wykonania umowy z podmiotem danych) w kontekście usług zamawianych drogą online – Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects (org.) Dokument jest uaktualnioną wersją Wytycznych opracowanych w kwietniu br. po konsultacjach społecznych.

Celem uchwalenia Wytycznych było wskazanie niezbędnych elementów zgodnego z prawem przetwarzania danych na podstawie „niezbędności do wykonania umowy”  oraz analiza  samego pojęcia „niezbędności” przetwarzania do wykonania umowy.

Poniżej przedstawione zostały wybrane kwestie poruszone w Wytycznych.

1. Zgoda na zawarcie umowy, nie powinna być utożsamiana ze zgodą na przetwarzanie danych.

Rada stwierdziła, że w ramach zawierania umowy, ważne jest aby wyraźnie odróżnić akceptację warunków umowy (terms of service) od zgody na przetwarzanie danych (art. 6 ust 1 lit. a RODO). Zdarza się, że zarówno podmioty danych jak i administratorzy mylnie postrzegają zgodę akceptującą warunki umowy za zgodę na przetwarzanie danych w rozumieniu art. 6 ust. 1 lit. a RODO. Te pojęcia, jak wskazuje EROD nie powinny być ze sobą utożsamiane, jako że wiążą się z innymi wymogami oraz konsekwencjami prawnymi

2. Pojęcie „niezbędności”.

W Wytycznych przybliżono istotę pojęcia „niezbędności” przetwarzania danych. Nawiązując do wskazówek EDPS podkreślono, że ocena, czy konkretne działanie jest „niezbędne” w rozumieniu prawa unijnego obejmuje upewnienie się, czy zamierzony cel może być osiągnięty za pomocą mniej uciążliwych środków. Jeśli odpowiedź na powyższe pytanie jest twierdząca – należy wykluczyć istnienie „niezbędności”.

3. Umowy zawierane w Internecie a zastosowanie przesłanki z art. 6 ust 1 lit. b RODO.

Zgodnie z wytycznymi EROD o zastosowaniu przesłanki z art. 6 ust. 1 lit. b RODO można mówić w dwóch sytuacjach – „przetwarzanie musi być obiektywnie niezbędne do wykonania umowy z podmiotem danych, lub musi być obiektywnie niezbędne to podjęcia działań przedumownych na żądanie podmiotu danych”.

Administrator w celu powołania się na przesłankę przetwarzania danych z art. 6 ust. 1 lit. b Rozporządzenia musi wykazać, że:

  1. Istnieje zobowiązanie umowne.
  2. Umowa jest ważna zgodnie z obowiązującym prawem.
  3. Przetwarzanie jest obiektywnie niezbędne do wykonania umowy.

Dodatkowo należy pamiętać, że obowiązkiem administratora danych w związku z zasadą rozliczalności jest możliwość wykazania, że bez przetwarzania danych osobowych klienta nie byłby w stanie zrealizować zamawianej usługi lub innego zobowiązania będącego przedmiotem umowy.

W przypadku działań związanych z zawieraniem umów drogą elektroniczną przesłanka z art. 6 ust. 1 lit. b RODO może być zastosowana jeśli „przetwarzanie jest obiektywnie niezbędne do zrealizowania celu, który jest integralną częścią dostarczanej usługi.”

Jako przykład takich działań podano m.in. zamówienie produktu w sklepie internetowym. W tym wypadku przetwarzanie danych osobowych będzie niezbędne w celu realizacji płatności (np. dane dotyczące karty płatniczej oraz jej posiadacza) oraz wysyłki produktu na wskazany adres (np. adres domowy). Jednak w przypadku gdy zamawiający zdecyduje się na odebranie przesyłki w punkcie odbioru, przetwarzanie jego adresu domowego na podstawie niezbędności do wykonania umowy nie będzie już możliwe.

4. Niezbędność do zawarcia umowy, a odpowiedzialność za wady produktu.

Ciekawe spostrzeżenie, które znalazło się w wytycznych EROD dotyczy odpowiedzialności z tytułu rękojmi/gwarancji na sprzedany produkt. Rada stwierdziła, że działania podejmowane z tytułu gwarancji mogą zostać uznane za integralną część umowy, tak więc przechowywanie danych przez określony okres czasu w celu zabezpieczenia roszczeń może być uznane za przetwarzanie danych niezbędne do wykonania umowy. Oznaczałoby to możliwość zastosowania wspomnianej przesłanki z art. 6 ust. 1 lit. b RODO w miejsce zazwyczaj używanej w takich okolicznościach przesłanki prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO).

Podsumowanie

Chociaż sam dokument nie jest zbyt obszerny i w większości przypadków powołuje się na znane wcześniej wytyczne Grupy Roboczej ds. art. 29 lub opinie EDPS, pozwala on lepiej zrozumieć kwestię dopuszczalności powołania się na przesłankę niezbędności przetwarzania do wykonania umowy, odnosząc się do konkretnych przykładów oraz wskazując konkretne obowiązki administratorów danych.

Źródło: Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22019-processing-personal-data-under-article-61b_en, dostęp: 10.11.2019

RODO a dyrektywa o prywatności i łączności elektronicznej

Warto pamiętać że RODO nie obejmuje całości unijnych przepisów dotyczących ochrony danych osobowych. Szczególne przypadki przetwarzania danych osobowych w sektorze łączności elektronicznej regulowane są przepisami Dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), dalej zwaną „Dyrektywą”.

 

15 marca 2019 r. Europejska Rada Ochrony Danych (EROD) opublikowała Opinię 5/2019 w sprawie wzajemnego oddziaływania między dyrektywą o prywatności i łączności elektronicznej a RODO. Jak wskazuje EROD, w związku z krzyżowaniem się zakresu przedmiotowego RODO i Dyrektywy, mogą mieć miejsce następujące sytuacje:

  1. Przetwarzanie danych osobowych jest objęte zarówno przepisami RODO jak i Dyrektywy.
  2. Brak wzajemnych powiązań z uwagi na to, że przetwarzanie nie wchodzi w zakres RODO.
  3. Brak powiązań, ponieważ przetwarzanie nie wchodzi w zakres Dyrektywy, lecz jedynie RODO.

Dyrektywę stosuje się do przetwarzania danych osobowych w związku z dostarczaniem publicznie dostępnych usług łączności elektronicznej w publicznych sieciach łączności w UE. Przykładami procesów przetwarzania, które mogą wchodzić w zakres obu omawianych aktów prawnych są tzw. pliki cookies czy też wtyczki społecznościowe.

Zgodnie z art. 1 ust. 2 Dyrektywy, jej przepisy dookreślają i uzupełniają RODO. Na podstawie tego przepisu EROD wskazuje, że Dyrektywę należy traktować jako lex specialis w stosunku do RODO, czyli w konkretnym przypadku objętym zakresem zarówno RODO, jak i Dyrektywy, należy w pierwszej kolejności stosować przepisy Dyrektywy. Szczegółowe regulacje Dyrektywy polegają m.in. na tym, że zawężają możliwe podstawy prawne, które legalizują przetwarzanie danych osobowych. Taka sytuacja ma miejsce w odniesieniu do plików cookies, ponieważ na podstawie Dyrektywy korzystanie z nich wymaga uzyskania uprzedniej zgody użytkownika, zatem administrator nie może powołać się na inne, określone w RODO podstawy przetwarzania danych osobowych, jak np. jego prawnie uzasadniony interes.

Zgodnie z art. 95 RODO rozporządzenie nie nakłada dodatkowych obowiązków na osoby fizyczne ani prawne, co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii w sprawach, w których podmioty te podlegają szczegółowym obowiązkom mającym ten sam cel, określonym w Dyrektywie. Europejska Rada Ochrony Danych wskazuje, że powyższy przepis znajduje zastosowanie m.in. w odniesieniu do obowiązku zgłaszania naruszenia ochrony danych osobowych, który przewidziany jest zarówno w RODO, jak i w Dyrektywie. Art. 95 RODO należy rozumieć tak, że w razie zawiadomienia odpowiedniego organu o naruszeniu ochrony danych zgodnie z przepisami Dyrektywy oraz przepisami państwa członkowskiego wdrażającymi Dyrektywę, spełnienie obowiązku zawiadamiania organu nadzorczego w myśl art. 33 RODO nie będzie już konieczne.

Podsumowując, znajomość przepisów RODO nie jest wystarczająca, aby stwierdzić, czy dane procesy przetwarzania danych osobowych są zgodne z prawem. Należy zwracać uwagę na szczegółowe regulacje zawarte w innych aktach prawnych, które uszczegóławiają przepisy rozporządzenia, w pewnych sytuacjach stawiają zaś administratorom bardziej rygorystyczne wymogi do spełnienia, od tych określonych w RODO.

 

 

Źródła:

https://uodo.gov.pl/pl/138/766,

https://edpb.europa.eu/.

Licznik uśmiechów a PbD i DPIA – o czym pamiętać przed wdrożeniem nowinek technologicznych?

Prawo a technologia

Liczba dostępnych dziś technologii informacyjnych, które można wykorzystywać przy przetwarzaniu danych osobowych jest ogromna. Co roku powstają nowatorskie aplikacje, a te stworzone wcześniej rozwijane są o nowe funkcje i możliwości. Przepisy prawa starające się dogonić postęp technologiczny skazane są z góry na niepowodzenie. Fakt ten został odzwierciedlony w przepisach RODO, które nie próbują ścigać się z technologią i wybór konkretnych sposobów na zapewnienie zgodności projektu oraz ochrony danych osobowych pozostawiają ich administratorom.

Burza w Internecie

Pod koniec września 2019 roku polskie media obiegła informacja o tym, że bank PKO BP wdrożył w swoich oddziałach system, który liczy uśmiechy pracowników i klientów banku. W oddziałach banku zostały zainstalowane sensory, które umożliwiają w czasie rzeczywistym określenie emocji pracownika lub klienta, a każdy odnotowany uśmiech zasila konto zbiórki pieniędzy na cel charytatywny. Jak zapewniali przedstawiciele banku, celem wdrożenia systemu jest zachęcenie pracowników i klientów oddziałów banku do dzielenia się uśmiechem i przy okazji wspierać szczytny cel.

Niedługo po pierwszych publikacjach pojawiły się pierwsze głosy poddające pod wątpliwość zgodność tego systemu z przepisami RODO, czy wręcz zarzucające złamanie jego przepisów. Wskazywano m.in. na zbytnią ingerencję w prawo do prywatności klientów odwiedzających oddziały banku oraz na nierówną relację pracownik – bank, w odniesieniu do dobrowolności udziału pracowników w projekcie. Fala krytyki obiegła Internet ale czy była uzasadniona? Czy komentatorzy tego pomysłu mieli możliwość zapoznania się z jego szczegółami i zasadami działania?

Odpowiedzi na te pytania możemy się tylko domyślać, ponieważ nie znamy kulis pracy wykonanej przez PKO BP przy wdrażaniu systemu. Możemy natomiast wyciągnąć wnioski z doświadczeń PKO BP.

Co zatem zrobić aby uniknąć podobnego przypadku we własnej firmie?

PbD i DPIA na ratunek

W celu uniknięcia z jednej strony niepewności związanej z zapewnieniem zgodności projektu z przepisami, a z drugiej całkowitego jego zablokowania, przepisy RODO zawierają dwa mechanizmy, które pozwalają zminimalizować ryzyko.

Pierwszym mechanizmem jest tandem Privacy by Desing oraz Privacy by Default. Prawidłowo i skutecznie wdrożone zapewniają, że na etapie koncepcyjnym projekt będzie uwzględniał przepisy RODO. Dzięki nim firma uniknie trudnej sytuacji, w której np. po uruchomieniu projektu okazuje się, że zakres zbieranych danych jest zbyt szeroki w stosunku do realizacji celu biznesowego lub uruchomiony system informatyczny do zbierania zgód marketingowych nie posiada funkcji pozwalającej odwołać wcześniej wyrażoną zgodę.

Drugi to Data Privacy Impact Assessment (w języku polskim: Ocena skutków dla ochrony danych). Pogłębiona analiza ryzyka – wykonywana w określonych przypadkach – pozwala ocenić czy wdrażany sposób przetwarzania danych osobowych zapewni odpowiedni poziom bezpieczeństwa i nie wpłynie negatywnie na prawa i wolności osób, których dane osobowe będą przetwarzane. DPIA dodatkowo przewiduje konsultacje z Prezesem Urzędu Ochrony Danych Osobowych.

Korzystanie z obu powyższych elementów jest wymogiem nałożonym na każdego administratora, jednak warto nie traktować ich jako przykrego obowiązku. Zgodność z RODO jest dziś wartością dodaną, która może stanowić przewagę biznesową na konkurencyjnym rynku.

Podsumowanie

Celem RODO nie jest hamowanie biznesu czy spowalnianie rozwoju technologicznego. Oczywistym jest, że oba obszary w dużej mierze wykorzystują nasze dane osobowe i trudno sobie wyobrazić, abyśmy mogli wrócić do czasów, kiedy o danych osobowych nikt nawet nie wspominał. Dane osobowe są i będą nadal wykorzystywane, ale projektując nowe rozwiązania, warto zadbać o balans pomiędzy wzrostem firmy a prawami osób, których danymi dysponujemy. Pozwoli to uniknąć zarówno poważnych strat wizerunkowych, jak również wysokiej kary finansowej.

Marketing – pierwsza kara PUODO za utrudnianie wycofania zgody

Prezes UODO nałożył karę pieniężną w wysokości ponad 201 tys. zł na firmę świadczącą usługi marketingowe, w głównej mierze za stworzenie przez spółkę mechanizmu, który utrudniał wycofanie zgody. Karę należy potraktować jako sygnał, że urząd właściwy ds. ochrony danych osobowych będzie monitorował, czy firmy zajmujące się marketingiem w sieci, nie utrudniają możliwości wycofania zgód marketingowych w celu zachowania jak największej bazy kontaktów, naruszając tym samym prawa osób, które wyraziły zgodę, do jej wycofania w każdym czasie.

Podczas kontroli w lutym 2019 roku, wynikającej z licznych skarg na spółkę, Urząd Ochrony Danych Osobowych stwierdził, że spółka celowo opracowała taki mechanizm odwołania zgody, który zniechęca podmioty, których dane dotyczą, do odwołania zgody lub też wprowadza ich w błąd, poprzez sugerowanie, że zgoda została już skutecznie odwołana.

Prezes UODO w wyniku kontroli stwierdził, że Spółka kieruje sprzeczne komunikaty do osób, które podjęły działania w celu odwołania swojej  zgody na przetwarzanie swoich danych osobowych w celach marketingowych.  Po wejściu na stronę internetową ukaranej spółki, w zakładce dotyczącej odwołania zgody najpierw należało podać powód, dla którego chce się odwołać swoją zgodę. Według UODO, nie ma podstaw prawnych do zbierania takich informacji od osób, które chcą odwołać zgodę. Dopiero po udzieleniu przez żądającego odpowiedzi, następowało przekierowanie do następnej strony, na której znajdował się komunikat: „Pani odwołanie zgody dziś […]! Dziękuję za odpowiedź!” wraz z poinformowaniem o prawach podmiotu danych, w tym prawie do cofnięcia zgody. Organ zauważył, że po takim komunikacie osoby albo uznawały, że zgoda została skutecznie cofnięta albo, zniechęceni nieprzejrzystym mechanizmem odwoływania zgody, zaprzestawali dalszych działań. Natomiast według interpretacji ukaranej spółki, należało wówczas wysłać jeszcze jednego maila z odwołaniem zgody, tylko wtedy spółka uznawała takie odwołanie za skuteczne.

Dodatkowo, Urząd stwierdził, że spółka przetwarza bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania danych osobowych.

Należy pamiętać, że RODO dokładnie reguluje kwestię wycofania zgody. W art. 7 ust. 3 RODO stanowi, że osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, a także, że osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę, a wycofanie zgody musi być równie łatwe jak jej wyrażenie.

Dodatkowo trzeba mieć na uwadze, że nie tylko RODO reguluje tematykę zgód, które należy zbierać w związku z działalnością marketingową w sieci, występuje również konieczność uzyskania:

  • Zgody na przesyłanie informacji handlowej za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej (art. 10 ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną).
  • Zgody na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego (art. 172 ustawy z dnia 16 lipca 2004 roku Prawa telekomunikacyjne).

RODO, wbrew obiegowym opiniom, nie stoi na przeszkodzie prowadzeniu działalności gospodarczej przez firmy marketingowe w sieci. Jednak w  związku z dynamicznie rozwijającym się ustawodawstwem, zarówno na szczeblu unijnym, jak i krajowym, regulującym także działalność marketingową, administratorzy muszą dołożyć szczególnych starań, aby zapewnić zgodność swoich procesów z prawem ochrony danych osobowych. Stawką jest nie tylko zapewnienie zgodności z przepisami, ale również zdobycie sobie przewagi konkurencyjnej w dobie coraz większej świadomości osób odnośnie do swoich praw, a także rosnącej chęci, aby kontrolować to, co się dzieje z naszymi danymi, co przekłada się na coraz bardziej staranne wybieranie podmiotów, z których usług chcemy korzystać.

Szczegóły dot. decyzji o nałożeniu kary pieniężnej dostępne są na stronie Urzędu Ochrony Danych Osobowych: https://uodo.gov.pl/pl/138/1246