Wyłączenia od RODO

Na początku maja 2018 roku, dosłownie cały Internet został objęty swoistą gorączką „ochrony danych osobowych”. Zdecydowana większość komentarzy skupiała się oczywiście na wysokości kar, które mogą być nakładane na administratorów danych przez organ nadzorczy.

 

Codziennie w mediach bombardowano nas informacjami pokazującymi, że każdy aspekt życia jest objęty ochroną danych osobowych i jak wiele obowiązków należy spełnić, żeby ustrzec się milionowych kar. Dziś, po ponad roku od rozpoczęcia obowiązywania rozporządzenia UE 2016/679, wiemy, że medialny „marketing RODO” nie odzwierciedla jego rzeczywistych wymogów, a i od stosowania samego Rozporządzenia istnieją wyłączenia.

W pewien odrębny od ogólnych zasad sposób, zostały w RODO potraktowane kościoły oraz związki wyznaniowe. Dostały one możliwość stosowania własnych, szczegółowych zasad ochrony danych osób fizycznych, pod warunkiem jednak, że zostaną one do RODO dostosowane. W związku z  tymi regulacjami, Kościół katolicki wydał Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim, oraz powołał Kościelnego Inspektora Ochrony Danych. Wspomniany Dekret sprowadza ochronę danych w Kościele katolickim, praktycznie do tego samego poziomu, który wprost wynika z RODO. Kością niezgody pozostają tu dane osób dokonujących aktów apostazji. Występujący z Kościoła często domagają się usunięcia swoich danych m.in. z rejestru ochrzczonych, jednak Kościół twierdzi, iż pomimo wystąpienia wiernego, nadal posiada podstawę do przetwarzania jego danych np. do celów statystycznych.

Nieco odrębne uregulowania prawne dotyczą również rynku prasowego. Zarówno w treści artykułu 85 RODO, jak i w 153 motywie Rozporządzenia, wskazano na wysoką ważność wolności pracy dziennikarskiej oraz obowiązku pogodzenia prawa do ochrony danych osobowych z prawem do wolności wypowiedzi i informacji. Ustanowienie prawa spełniającego oba te założenia zostało pozostawione lokalnemu ustawodawstwu wszystkich państw członkowskich. W Polsce ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych wprowadzono szereg wyjątków, zgodnie z którymi wiele przepisów RODO nie obowiązuje w stosunku do Prawa prasowego. Zniesione zostały między innymi konieczność spełnienia obowiązku informacyjnego wynikającego z art. 13 oraz 14 RODO, wskazania podstawy prawnej przetwarzania z art. 6 RODO, prawo do ograniczenia przetwarzania czy też prawo do sprzeciwu, co pokazuje, jak szeroki jest zakres zwolnienia w stosunku do przepisów Prawa prasowego. Widać tu wyraźnie, iż autorzy regulacji zauważyli, jak wielkim utrudnieniem w pracy dziennikarza byłby przymus spełnienia wszystkich obowiązków wynikających z RODO, co w praktyce sparaliżowałoby ten  model wykonywania pracy.

Przepisy Rozporządzenia nie dotyczą też, co nie zawsze jest oczywiste, osób zmarłych. Oznacza to w praktyce, że spółki lub uczelnie publikujące nekrologi np. swoich pracowników, nie muszą czuć się zagrożone nałożeniem kary przez Prezesa Urzędu Ochrony Danych Osobowych.

„Lubię to” – spory problem z małą wtyczką, czyli jak Trybunał Sprawiedliwości UE ocenia relację Facebook’a z firmami korzystającymi z narzędzi serwisu

29 lipca br. TSUE wydał wyrok w sprawie, której stan faktyczny powinien interesować wszystkich administratorów danych prowadzących swoje firmowe strony na Facebook’u. Niemiecki sklep internetowy Fashion ID zamieścił na swojej stronie wtyczkę „Lubię to” Facebook’a i został pozwany przez niemieckie stowarzyszenie broniące praw konsumentów.

Stowarzyszenie zarzuciło Fashion ID, że stosowany mechanizm bez wiedzy i zgody użytkowników odwiedzających stronę internetową przesyła ich dane osobowe do spółki Facebook w Irlandii. W ramach prowadzonego postępowania rozpatrywano dwie istotne kwestie: status Fashion ID w odniesieniu do danych osobowych przekazywanych Facebook’owi oraz kwestię podstawy prawnej do przetwarzania tych danych.

Tło faktyczne

Jak w wielu innych podobnych przypadkach Fashion ID nie miał wpływu na to jakie dane są zbierane i przesyłane do Facebook’a przy użyciu wtyczki. Najczęściej firmy korzystające z tej możliwości chcą w ten sposób zwiększyć zasięg swojej strony na Facebook’u oraz budować wokół niej społeczność użytkowników tego serwisu. Realnie nie mają one jednak wpływu na to jakie dane są przez Facebook’a rejestrowane – najczęściej jest to adres IP, dane techniczne dotyczące przeglądarki użytkownika lub jego aktywność na stronie internetowej. Bez połączenia tych danych z danymi osobowymi konkretnego klienta w bazie sklepu trudno mówić o możliwości jego identyfikacji przez Fashion ID.

Niestety przedmiotem wyroku Trybunału nie było udzielenie odpowiedzi na pytanie, czy z punktu widzenia Fashion ID zestaw danych przesyłanych do Facebook’a można uznać za zestaw danych osobowych, a więc informacji, które pozwalają na identyfikację użytkownika. Wyrok nie zawiera również informacji o ustaleniu zakresu przekazywanych danych w tej konkretnej sprawie. W mojej ocenie są to pytania bardzo istotne, aby dobrze zrozumieć „charakterystyczne cechy Internetu”, na które powołuje się Trybunał w treści wyroku.

Co to znaczy „ustalić z kimś wspólne cele przetwarzania danych”?

Trybunał uznał, że z uwagi na szeroką definicję „administratora” oraz w świetle definicji „przetwarzania danych” Fashion ID wspólnie z Facebookiem ustalają cele przetwarzania danych, polegające na gromadzeniu danych osób odwiedzających stronę internetową sklepu oraz ujawnianiu ich poprzez transmisję. Z samego faktu, że Fashion ID poprzez instalację wtyczki na swojej stronie internetowej umożliwił Facebook’owi zbieranie danych osobowych użytkowników strony wynika – w ocenie Trubunału – że Fashion ID jest administratorem danych i wspólnie z Facebookiem określa cele ich przetwarzania: Co się tyczy celów wspomnianych operacji przetwarzania danych osobowych, wydaje się, że umieszczenie przez Fashion ID przycisku „Lubię to” Facebooka w jej witrynie internetowej pozwala jej na optymalizację reklamy jej produktów poprzez uczynienie ich bardziej widocznymi w serwisie społecznościowym Facebook, gdy osoba odwiedzająca jej witrynę internetową klika na wspomniany przycisk. To właśnie po to, aby skorzystać z tej korzyści handlowej polegającej na takich wzmożonych działaniach reklamowych w odniesieniu do swoich produktów, Fashion ID, umieszczając taki przycisk w swojej witrynie internetowej, wyraziła – jak się zdaje – zgodę, przynajmniej w sposób dorozumiany, na gromadzenie danych osobowych osób odwiedzających jej witrynę internetową i ich ujawnianie poprzez transmisję, jako że te operacje przetwarzania są dokonywane w interesie gospodarczym zarówno Fashion ID, jak i Facebook Ireland, dla której możliwość dysponowania tymi danymi we własnych celach komercyjnych stanowi rekompensatę za korzyść zaoferowaną Fashion ID.

W takich okolicznościach można uznać – z zastrzeżeniem ustaleń, których dokonanie należy do sądu odsyłającego – że Fashion ID i Facebook Ireland określają wspólnie cele operacji gromadzenia danych osobowych rozpatrywanych w postępowaniu głównym i ich ujawniania poprzez transmisję.

Niestety Trybunał nie wziął pod uwagę realnej możliwości wpływania przez Fashion ID na ustalanie tych celów z Facebookiem. Nie ma dla Trybunały znaczenia, czy firma korzystająca z wtyczki jest w stanie zidentyfikować użytkownika, którego dane są zbierane przez Facebook’a. Z powyższego wynika, że wystarczy istnienie wspólnego, a właściwie podobnego, celu gospodarczego aby określić firmę jako administratora danych osobowych. Z treści wyroku nie wynika również czy firmy korzystające z wtyczki „Lubię to” spełniają wspólnie z Facebookiem definicję współadministratorów w rozumieniu art. 26 RODO, a w związku z tym czy powinny wspólnie z Facebookiem ustalić odpowiednie zakresy swojej odpowiedzialności (wyrok został wydany jeszcze na podstawie Dyrektywy 95/46/WE). W tym kontekście należy zwrócić uwagę, że wszelkie umowy zawierane przez firmy z Facebook’iem mają charakter umów adhezyjnych i w praktyce nie ma możliwości wpływania na ich treść – firma albo przyjmuje postanowienia i modele proponowane przez Facebook’a, albo nie korzysta z narzędzi dostarczanych przez serwis. Można mieć zatem słuszne wątpliwości czy taki model spełnia przesłanki wspólnego ustalania celów przetwarzania danych.

Prawnie uzasadniony interes, a może jednak zgoda?

Istotną kwestią dla administratorów danych jest podstawa prawna, na której mogą przetwarzać dane. Trybunał odpowiedział na pytanie czy w tym stanie faktycznym należy wziąć pod uwagę uzasadnione interesy firmy prowadzącej stronę internetową, czy też uzasadnione interesy Facebook’a. Niestety treść wyroku w tym zakresie nie daje administratorom jednoznacznej odpowiedzi na pytanie o właściwą podstawę prawną przetwarzania danych.

Z jednej strony Trybunał wskazuje, że: Przy uwzględnieniu powyższych rozważań na pytanie czwarte należy odpowiedzieć, że w sytuacji takiej jak rozpatrywana w postępowaniu głównym, w której operator witryny internetowej umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu rzeczonemu dostawcy danych osobowych osoby odwiedzającej, jest konieczne, by w ramach tych operacji przetwarzania zarówno operator ten, jak i dostawca dążyli do realizacji uzasadnionych interesów w rozumieniu art. 7 lit. f) dyrektywy 95/46, aby operacje te były względem każdego z nich uzasadnione.

Z drugiej strony, na kolejne pytanie sądu powszechnego Trybunał odpowiada, że przepisy należy interpretować w ten sposób, że Fashion ID powinno zarówno zebrać zgodę na przetwarzanie danych użytkownika przy użyciu wtyczki, jak również spełnić obowiązek informacyjny – oba obowiązki mają dotyczyć tylko operacji, którymi Fashion ID administruje (gromadzenie i transmisja).

Pojawia się zatem pytanie czy podstawą prawną Fashion ID do przetwarzania tych danych jest prawnie uzasadniony interes, czy jednak wymagana jest zgoda użytkownika strony?

Podsumowanie

W mojej ocenie wyrok Trybunału, choć wpisuje się w dotychczasową linię orzeczniczą, to nadal nie odpowiada na kluczowe pytania i sprawia wrażenie (również ze względu na częste sformułowania „wydaje się, że…”, „można uznać…”), że sąd niezbyt szczegółowo zbadał aspekty techniczne przetwarzania danych przy użyciu wtyczki Facebook’a. Powoduje to, że trudno wydedukować z treści wyroku stwierdzenia, które mogłyby mieć praktyczne przełożenie na dotychczasowy sposób korzystania przez firmy z narzędzi Facebooka, zakres udostępnianych danych lub zwiększenie ochrony prywatności użytkowników Internetu.

Świadomość pracownika jako klucz do utrzymania zgodności z RODO – część II

Postrzeganie RODO wyłącznie przez pryzmat przygotowania dokumentacji jest niewystarczające. RODO wymaga, aby administrator jako organizacja podjął środki zapewniające działanie systemu ochrony danych osobowych, którego elementem jest dokumentacja. Elementem ważnym, ale nie wystarczającym, bo bez świadomości i zaangażowania pracowników cel ten nie zostanie zrealizowany. Dlatego też przeznaczenie nakładów czasowych i finansowych w budowanie świadomości pracowników powinno być postrzegane jako forma inwestycji w skuteczne działanie przyjętego systemu ochrony danych.

Jakimi działaniami budować świadomość pracowników?

1. Szkolenia.

Obserwując wiele wdrożeń zarówno RODO, jak i wcześniejszej ustawy o ochronie danych osobowych, widać bardzo różne podejścia do realizacji szkoleń dla pracowników.  Forma w większości jest bardzo podobna i ogranicza się do szkoleń stacjonarnych lub sesji e-learning. Wątpliwości w skuteczność szkoleń mogą budzić zawartość merytoryczna oraz właściwe dopasowanie szkolenia do grupy docelowej. Na tego rodzaju braki narażone są często organizacje międzynarodowe, które zdecydowały się na wdrożenie RODO na poziomie globalnym. Organizowane w tym trybie szkolenia często narzucają treści bez dostosowania ich do lokalnej rzeczywistości czy specyfiki organizacji.

Z doświadczenia wynika, że aktywność pracowników jest znacznie większa w organizacjach, gdzie szkolenia polegały na zwięzłym przedstawieniu odpowiedzialności i zadań przewidzianych w procedurach dla osób na poszczególnych stanowiskach niż szkoleń zawierających ogólne informacje o wymogach jakie stawia RODO.

Nie da się ukryć, że szkolenia o tematyce organizacyjno-administracyjnej, a do tej grupy można zaliczyć szkolenia z ochrony danych osobowych, często są traktowane przez pracowników jako przykry obowiązek. Dlatego najskuteczniejsze są szkolenia kierowane do poszczególnych grup odpowiedzialności, np. kierowników działów, pracowników działu HR, pracowników działu digital marektingu. Model ten pozwala skupić się na problemach, z którymi konkretna grupa spotyka się na co dzień oraz wyjaśnić w szczegółach na czym polegają ich obowiązki. Warto postarać się o szkolenia dedykowane kierownikom działów, którzy są odpowiedzialni za konsultacje nowych projektów w ramach podejścia privacy by design i privacy by default, dbałości o aktualizację uprawnień podległych pracowników w systemach IT czy instruowanie i przypominanie podległym pracownikom jakie są zasady bezpieczeństwa stosowane w dziale.

2. Infografiki.

Czytanie wielostronicowych procedur czy uczestnictwo w szkoleniach wymagają od pracowników poświęcenia  zbyt dużo czasu oraz utrzymania odpowiedniej uwagi przez ten czas. Zapisy wewnętrznej dokumentacji są bardzo ogólne, nie zawsze zrozumiałe. Dlatego warto pracownikom tłumaczyć te zasady na język ich codziennej pracy i prezentować w krótkiej, łatwej do przyswojenia
i zrozumiałej formie. Idealnie nadają się do tego infografiki, gdyż opisywanie obrazami upraszcza przekaz. Ponadto materiał atrakcyjny wizualnie przyciąga uwagę, zachęca do zapoznania się z nim
i ułatwia zapamiętywanie. Infografikę dedykowaną chociażby najważniejszym 10 zasadom bezpieczeństwa danych osobowych każdy pracownik może umieścić na swoim stanowisku pracy. Infografiki możemy rozsyłać pracownikom drogą mailową, umieszczać, np. w okolicy urządzeń drukujących, gdzie pracownicy oczekujący na wydruk mogą się z nią zapoznać, czy wyświetlać na telewizorach umieszczonych w korytarzach.

3. Newslettery.

Przez ostanie lata bardzo modne stało się prowadzenie newslettera wewnętrznego. Celem takiego działania jest głównie promowanie wizerunku organizacji, również jako pracodawcy. Tematyka newslettera często zawiera informację o nowościach w organizacji, nowych członkach zespołu lub zakończonych z sukcesem projektach. Newslettery wewnętrzne można z powodzeniem wykorzystać do budowania świadomości pracowników czy przypominania im o panujących w organizacji zasadach. Aby posty w newsletterze był czytane, muszą być pisane prostym i zrozumiałym językiem, nie mogą być długie i zbyt częste. Posty opisujące ciekawe przypadki, np. wycieku danych, a przemycające wskazówki jak się przed takimi działaniami zabezpieczać, będą budziły większą ciekawość niż suche wskazówki.

4. Dzień ochrony danych osobowych.

Wiele korporacji promując wdrożenie wymagań RODO i chcąc rozpowszechnić wiedzę i treść wprowadzonych procedur, organizowało wewnętrzny dzień dedykowany ochronie danych osobowych. Podczas takiego wydarzenia możemy przekazywać pracownikom materiały edukacyjne, np. na powitanie w biurze, organizować warsztaty tematyczne, quizy i konkursy. Niejednokrotnie do promocji samego wydarzenia i RODO wykorzystywane są plakaty, ulotki i banery.

5. Dostępność IOD.

Dla pracy nad rozwijaniem wiedzy pracowników w zakresie ochrony danych osobowych newralgiczna jest dostępność Inspektora Ochrony Danych lub innej osoby w organizacji odpowiedzialnej za ten obszar, czy posiadającej niezbędną wiedzę merytoryczną. Jeśli pracownicy wiedzą do kogo skierować swoje pytania i jednocześnie wiedzą, że sprawnie uzyskają rzeczową i pomocną odpowiedz, będą korzystali z takiej pomocy. W dłuższej pespektywie ich wiedza będzie coraz większa, gdyż
z każdym pytaniem zdobywają nowe informacje.

Jeśli nie jesteśmy w stanie skutecznie dotrzeć z działaniami uświadamiającymi do wszystkich pracowników, to warto rozważyć powołanie w poszczególnych działach czy zespołach osób wspierających Inspektorów Ochrony Danych, nazywanych często Privacy Steward. Nakierowujemy wtedy nasze działania na pracę nad ich wiedzą i świadomością. Jeśli cokolwiek zadzieje się na poziomie jednostki organizacyjnej, mamy lokalną osobę, która stoi na straży zgodności z RODO i wewnętrznymi procedurami.

Budowanie świadomości nie zawsze musi wiązać się z tym, aby pracownicy czy nawet wyżej zaproponowani Pivacy Stewardzi, posiadali rozległą merytoryczną wiedzę w zakresie przepisów prawa, przyjętych w organizacji procedur czy mechanizmów bezpieczeństwa. Celem realizacji działań budujących świadomość w zakresie ochrony danych osobowych jest to, aby w odpowiednich momentach pracownicy potrafili rozpoznać konieczność reakcji, która będzie polegała na:

  • Zajrzeniu do procedury w celu zweryfikowania jak należy dalej postępować.
  • Przekierowaniu sprawy do innej osoby w celu realizacji zadania (np. osoba z zespołu customer service przekieruje żądanie dotyczące realizacji praw podmiotów danych do Inspektora Ochrony Danych).
  • Dopytaniu kogoś innego w organizacji, np. Inspektora Ochrony Danych, dział prawny czy IT, którzy dostarczą wiedzy specjalistycznej.

Wiedza i świadomość pracowników w zakresie ochrony danych osobowych są newralgicznym elementem każdego systemu ochrony danych osobowych. Nawet jeśli administrator wdrożył najbardziej zaawansowane techniczne czy fizyczne środki bezpieczeństwa, to wciąż rola pracownika jako osoby zarządzającej nimi i monitorującej skuteczność ich działanie jest kluczowa. W związku z tym warto w ramach podejmowanych prac usprawniających wdrożone przez administratorów systemy ochrony danych osobowych, podejmować liczne działania, dzięki którym wzrośnie zaangażowanie pracownika i poczucie jego odpowiedzialności.

Świadomość pracownika jako klucz do utrzymania zgodności z RODO – część I

Pomimo że minął rok stosowania Rozporządzenia o ochronie danych osobowych (RODO), wielu administratorów wciąż boryka się z wdrożeniem jego przepisów. Firmy, które już zakończyły prace wdrożeniowe, nie powinny spoczywać na laurach. Wdrożenie wymagań prawnych w zakresie ochrony danych osobowych nie polega na jednorazowej implementacji stanu zgodnego z prawem i mówiąc potocznie – odłożeniu tematu do szuflady. Zapewnienie zgodności z RODO jest procesem ciągłym.

System ochrony danych podlega regularnym przeglądom i poprawkom wynikającym z tych przeglądów. Aby zapewnić zgodność organizacji z przepisami, zaimplementowane przez administratorów systemy ochrony danych osobowych muszą być dynamiczne i nieustannie doskonalone. Ostanie miesiące pokazują, że zarówno zmiany przepisów jak też decyzje i wytyczne PUODO czy organów kontrolnych innych krajów, rodzą konieczność modyfikacji wdrożonych dokumentów czy przebiegu procesów biznesowych. Jednym z kluczowych elementów prawidłowo funkcjonującego systemu ochrony danych oraz zapewnienia jego organicznego rozwoju jest świadomość i zaangażowanie pracowników. Niniejszy artykuł przybliża powody, dla których warto podejść do tego elementu z odpowiednią uwagą.

Interpretacja przepisów RODO często sprawia trudność nawet osobom profesjonalnie zajmującym się tematyką danych osobowych. Tym bardziej pracownicy, którzy przy wykonywaniu swoich obowiązków mają dostęp do danych, nie zawsze posiadają odpowiednią wiedzę jak przetwarzać je bezpiecznie
i zgodnie z zasadami. Obowiązkiem pracodawcy jest stałe podnoszenie wiedzy pracowników w tym zakresie – zarówno poprzez okresowe szkolenia jak i możliwość kontaktu z Inspektorem Ochrony Danych lub inną osobą odpowiedzialną za ochronę danych osobowych w organizacji. Nie ulega wątpliwości, że pracownicy muszą znać zasady bezpieczeństwa przetwarzania, gdyż to pracownik może być najsłabszym elementem systemu bezpieczeństwa przetwarzania danych (np. jeżeli jest źle przeszkolony). Jest też pierwszym ogniwem w organizacji, które ma bezpośredni dostęp do danych
i często od jego prawidłowej reakcji zależy, m.in. sprawne zarządzanie incydentami bezpieczeństwa. Świadomy pracownik może okazać się zatem pierwszą zaporą przed nieuprawnionym dostępem do danych osobowych lub kluczowym zasobem dla wypełnienia wymogów wynikających z RODO, chociażby szybko reagując na incydent.

Jakie sytuacje świadczące o braku wiedzy na temat zasad przetwarzania danych osobowych
u pracowników administratorów występują najczęściej?

  • Brak umów powierzenia przetwarzania danych osobowych – nie wszystkie podmioty działające na rynku mają w swojej strukturze organizacyjnej prawnika czy dział prawny, który czuwa nad treścią podpisanych z dostawcami umów. Przeważa model, w którym właściciele biznesowi sami zawierają umowy z dostawcami, których wybrali. Niejednokrotnie nie mają świadomości, że w przypadku konkretnej współpracy dochodzi do powierzenia przetwarzania danych osobowych i istnieje obowiązek zawarcia z dostawcą umowy powierzenia przetwarzania, która w dodatku będzie zawierała odpowiednie postanowienia wymagane przez RODO.

 

  • Brak konsultacji w ramach realizacji podejścia privacy by design i privacy by default – niejeden dział marketingu doświadczył przykrej sytuacji, kiedy dział prawny zakomunikował mu, że zebrana przez niego baza kontaktów nie może zostać wykorzystana w żadnych działaniach marketingowych i należy ją usunąć, gdyż dane zostały zebrane w sposób nieprawidłowy. W podobnych przypadkach świadomość pracowników, którzy na etapie planowania swoich działań będą pamiętać o konsultowaniu ich z działam prawnym lub Inspektorem Ochrony Danych pozwoli unikać takich sytuacji.

 

  • Brak reakcji lub nieterminowa reakcja na żądania podmiotów danych – RODO kładzie duży nacisk na sprawną realizację praw podmiotów danych przez administratorów, wyznaczając m.in. miesięczny termin realizacji żądań. Żądania podmiotów danych wpływają do administratorów różnymi drogami, niekoniecznie bezpośrednio do Inspektora Ochrony Danych czy osoby dedykowanej do obsługi tych żądań. Osoby składają żądania
    w najbardziej wygodny dla siebie sposób. Przykładowo, zgłaszają je bezpośrednio do pracownika, z którym współpracują lub aktualnie załatwiają swoją sprawę. Jeśli Ci pracownicy nie nadadzą takiemu zgłoszeniu odpowiedniego biegu zgodnego z procedurą, organizacja ryzykuje brak prawidłowego postępowania, a w konsekwencji ryzyko skargi podmiotu danych do PUODO, co z kolei może skończyć się kontrolą lub nawet sankcją finansową.

 

  • Powodowanie incydentów bezpieczeństwa danych – brak znajomości lub niestosowanie przyjętych zasad bezpieczeństwa takich jak obowiązek szyfrowania załączników, zawierających dane osobowe, przesyłanych pocztą elektroniczną lub brak wiedzy czego nie można udostępniać, są najczęstszą przyczyną incydentów. Wiele incydentów wynika z braku roztropności pracowników. Na przykład wysłanie do klienta dokumentu, który dotyczy innego klienta. Wiedząc, że jest to częsty przypadek w naszej organizacji, możemy kłaść nacisk na to, aby pracownicy dokonywali dodatkowego sprawdzenia poprawności załączonego dokumentu.

 

  • Niezgłaszanie incydentów – częstą bolączką systemów bezpieczeństwa danych osobowych czy systemów bezpieczeństwa informacji jest brak zgłoszeń podejrzenia wystąpienia incydentów, a w konsekwencji puste rejestry incydentów. Nie zawsze brak zgłoszeń jest odzwierciedleniem rzeczywistego braku incydentów. Nagminnie występującym incydentem jest kradzież lub zagubienie służbowego laptopa czy smartphone’a. Na urządzeniach, w zależności od pełnionej w organizacji roli, zapisanych jest wiele danych. Dodatkowo może istnieć możliwość uzyskania z nich dostępu do systemów informatycznych firmy, np. CRM. Tylko niewielki procent pracowników traktuje takie zdarzenie jako incydent bezpieczeństwa i powiadamia pracodawcę. Robią to raczej w kontekście utraconego mienia i niemożności wykonywania swoich obowiązków. A przecież szybka reakcja pracownika pozwoli administratorowi na minimalizację strat. W omawianym przypadku administrator mógłby zablokować dostęp do urządzenia lub treści na nim zawartych wykorzystując do tego rozwiązania typu mobile device management, czy po prostu poprzez zmianę danych służących do autoryzacji.

 

  • Nieterminowe zgłaszanie incydentów – zdarza się, że pracownicy wiedzą, że mają obowiązek zgłosić incydent, jednak z uwagi na inne obowiązki odkładają to w czasie. Zgodnie z RODO
    incydenty skutkujące wysokim ryzykiem powinny być zgłoszone do PUODO w terminie 72 godzin od stwierdzenia ich wystąpienia. Natychmiastowa reakcja pracownika jest więc kluczowa dla szybkiej oceny wagi incydentu, wprowadzenia działań naprawczych i dokonania ewentualnego zgłoszenia do PUODO, czy zawiadomienia podmiotów danych. Najbardziej skrajny, znany nam przypadek niedotrzymania terminu to incydent, który został zgłoszony z kilkutygodniowym opóźnieniem. Opóźnienie wynikało z braku reakcji pracowników działu marketingu na sygnały o incydencie otrzymywane od podwykonawcy zajmującego się bazą danych administratora oraz z braku postrzegania zdarzenia jako incydentu, mającego wpływ na bezpieczeństwo przetwarzania danych osobowych. Nie ulega wątpliwości, że przy wyższym poziomie wiedzy i świadomości pracowników incydent zostałby obsłużony zdecydowanie szybciej.

 

To tylko niektóre z występujących konsekwencji braku świadomości pracowników. Patrząc na nie przez pryzmat art. 83 RODO, każdy z tych przypadków jest naruszeniem przepisów i może skutkować nałożeniem na administratora danych kary pieniężnej.

 

 

 

Zmiany w kodeksie pracy w związku z ustawą dostosowującą do przepisów RODO

Rozporządzenie o ochronie danych osobowych wymusiło nowelizację 162 aktów prawnych, aby dostosować je do nowych przepisów dot. ochrony danych osobowych. Jednym z nich jest Kodeks pracy, którego zmiany były długo oczekiwane i szeroko komentowane. Jak czytamy w uzasadnieniu do ustawy dostosowującej, ich celem było przede wszystkim dostosowanie przepisów prawa pracy do art. 6 ust. 1 lit. c RODO, czyli wprowadzenia „obowiązku prawnego” jako podstawy prawnej przetwarzania danych kandydatów do pracy.

W art. 22 1 § 1 zostały wskazane kategorie danych, których pracodawca żąda (nie jak dotychczas „mógł żądać”) od osoby ubiegającej się o zatrudnienie. Należą do nich:

  1. Imię (imiona) i nazwisko.
  2. Data urodzenia.
  3. Dane kontaktowe wskazane przez kandydata.
  4. Wykształcenie.
  5. Kwalifikacje zawodowe.
  6. Przebieg dotychczasowego zatrudnienia.

Należy zaznaczyć, że danych dotyczących wykształcenia, kwalifikacji zawodowych i przebiegu zatrudnienia pracodawca żąda jedynie w sytuacji, kiedy są one niezbędne do wykonania pracy na danym stanowisku. Oznacza to, że pracodawcy rozpoczynając nowy proces rekrutacyjny, powinni wyważyć czy rzeczywiście pozyskanie powyższych danych jest konieczne do obsadzenia  określonego stanowiska pracy.

Oprócz danych wskazanych powyżej pracodawca żąda od pracownika dodatkowo poniższych danych:

  1. Adres zamieszkania.
  2. Numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
  3. Inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne jeśli pracownik korzysta ze szczególnych uprawnień przewidzianych w prawie pracy.
  4. Wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa
    do żądania tych danych na etapie rekrutacji.
  5. Numer rachunku płatniczego, jeśli pracownik nie złożył wniosku o wypłatę wynagrodzenia
    w kasie.

Pracodawca będzie mógł prosić o podanie również innych danych niż te wskazane w powyższych katalogach, jeśli będzie to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku prawnego wynikającego z przepisu prawa. Przykładem stanowisk, na których niezbędne jest spełnienie wymogu niekaralności przez kandydatów są nauczyciele czy policjanci. Osoby te muszą zatem dostarczyć zaświadczenie o niekaralności.

Istotne jest, że dane osobowe osoby ubiegającej się o pracę czy pracownika mogą zostać udostępnione pracodawcy jedynie w formie oświadczenia w/w osób, co oznacza, że pracodawca nie przechowuje kopii dokumentów w aktach osobowych.  Natomiast może on żądać ich potwierdzenia, np. poprzez okazanie oryginałów dyplomu ukończenia studiów czy zaświadczenia ukończenia stosownego szkolenia.

Kolejna zmiana to możliwość przetwarzania danych osoby ubiegającej się o zatrudnienie
lub pracownika na podstawie ich zgody (art. 6 ust. 1 lit. a RODO). Wyjątkiem jest przetwarzanie danych dotyczących wyroków skazujących i naruszeń prawa, które mogą być przetwarzane przez pracodawcę tylko na podstawie przepisów prawa. Ponadto zgoda może stanowić podstawę przetwarzania przez pracodawcę szczególnej kategorii danych tylko w sytuacji, kiedy dane te zostały przekazane z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika (art. 9 ust. 2 lit. a RODO).

W związku z powyższymi zmianami pracodawcy muszą zweryfikować wszystkie formularze, zarówno w formie papierowej, jak i elektronicznej, za pomocą których zbierane są dane osobowe kandydatów do pracy czy pracowników pod kątem minimalizacji zakresu przetwarzanych danych i ich adekwatności oraz dokonać stosownych zmian w klauzulach informacyjnych wykorzystywanych w procesie rekrutacji.

Od 1 stycznia 2019 obowiązuje również nowe Rozporządzenie dot. dokumentacji pracowniczej. Niestety, nie określa ono wprost jakie dokumenty pracodawca może przechowywać w aktach osobowych pracownika. Dlatego też należy zweryfikować dotychczasową praktykę przechowywania kopii dokumentów w aktach osobowych i ograniczyć ich wykonywanie opierając się na oświadczeniu pracownika, jeśli tylko pozwolą na to przepisy księgowe czy przepisy ZUS.

Publikacja danych Inspektora Ochrony Danych – część II

Zakres danych kontaktowych Inspektora Ochrony Danych administratora lub podmiotu przetwarzającego został wyraźnie określony w art. 10 ust. 1 ustawy o ochronie danych osobowych. Art. 11 wspomnianej ustawy nakłada na podmioty, które wyznaczyły w swojej organizacji IOD obowiązek publikacji jego danych kontaktowych na swoich stronach internetowych lub w innym miejscu prowadzenia swojej działalności.

Weźmy zatem pod lupę ten drugi przypadek: administrator danych lub podmiot przetwarzający nie prowadzą strony internetowej. Tak, nawet obecnie zdarza się, że mamy do czynienia z takimi  podmiotami, które zobowiązane są do powołania Inspektora Ochrony Danych, a nie są przecież zobowiązane do prowadzenia strony internetowej.

Jak w takim przypadku zrealizować ustawowy wymóg?

Spójrzmy na ten problem pod kątem celu, który przyświecał prawodawcy podczas konstruowania przepisu. Inspektor Ochrony Danych ma być osobą łatwo dostępną dla podmiotów danych. Zapewnienie dostępności IOD powinno polegać na ujawnieniu jego danych kontaktowych osobom, które będą zainteresowane kontaktem z nim. Jeśli więc podmiotami danych zainteresowanymi kontaktem z IOD będą osoby, które np. odwiedzają jego siedzibę lub jego lokalizacje, to warto zamieścić dane IOD w miejscu dla nich łatwo dostępnym w tych lokalizacjach, np. na tablicy informacyjnej. Jeśli podmiot realizuje swoje usługi zdalnie, i nie posiada swojej siedziby w miejscu, które przewiduje odwiedziny podmiotów danych, to warto wykorzystać drogę kontaktu, którą stosuje w ramach świadczenia usług. W każdym przypadku, przeanalizowanie miejsca publikacji danych Inspektora Ochrony Danych pod kątem możliwości zapoznania się z tymi danymi przez podmioty danych, powinno przynieść zamierzony skutek.

Ustawa nakłada obowiązek publikacji danych IOD, a w konsekwencji nierealizowania tego obowiązku, nakłada sankcje. A właściwie sankcję nałożyć może Prezes Urzędu Ochrony Danych Osobowych, powołują się na art. 83 ust. 4 RODO. Zgodnie ze wskazanym przepisem, podmioty niewywiązujące się z nałożonych na nie obowiązków, mogą spodziewać się administracyjnej kary pieniężnej w wysokości do 10 mln euro lub do 2% rocznego globalnego obrotu organizacji z ubiegłego roku.

Publikacja danych Inspektora Ochrony Danych – część I

Inspektor Ochrony Danych ze względu na swoje obowiązki ma być osobą jawną – dostępną w organizacji administratora lub podmiotu przetwarzającego dla jego pracowników, dostępną dla organu nadzorczego, a przede wszystkim – łatwo dostępną dla podmiotów danych.

Ogólne Rozporządzenie o Ochronie Danych w art. 37 ust. 7 zobowiązuje administratora do publikacji danych kontaktowych IOD. Ustawa o ochronie danych osobowych znacznie dokładniej precyzuje to zobowiązanie.

Administratorzy, ale też podmioty przetwarzające, którzy w wyniku przeprowadzonej analizy podlegania obowiązkowi wyznaczenie Inspektora Ochrony Danych zgodnie z art. 37 ust. 1 RODO takiego Inspektora Ochrony Danych powołali, w kolejnym kroku zobowiązani są poinformować o wyznaczonym Inspektorze Prezesa Urzędu Ochrony Danych Osobowych. Podmioty, które nie są zobowiązane do powołania IOD, jednak powołali Inspektora dla pewności utrzymania zgodności z przepisami o ochronie danych osobowych, także podlegają obowiązkowi zgłoszenia tego faktu do PUODO.

To nie koniec obowiązków związanych z ujawnieniem personaliów IOD. Administratorzy i podmioty przetwarzające zobowiązani są opublikować dane kontaktowe swojego Inspektora Ochrony Danych na swojej stronie internetowej. O jakich danych kontaktowych mówimy? Art. 10 ust. 1 ustawy o ochronie danych osobowych definiuje nam ten zakres jako:

  • Imię i nazwisko.
  • Adres poczty elektronicznej lub numer telefonu inspektora.

Powyższe oznacza, że powołany przez administratora lub podmiot przetwarzający Inspektor Ochrony Danych powinien dysponować narzędziami, pozwalającymi skontaktować się z nim bezpośrednio – telefonem, lub urządzeniem do obsługiwania poczty elektronicznej. W dzisiejszych czasach wyposażenie pracownika w komputer czy telefon służbowy uznajemy niejako za standard, ale czy faktycznie IOD nie mógłby się obejść bez tych urządzeń? RODO mówi o danych kontaktowych, do których pewnie moglibyśmy też zaliczyć adres pocztowy, gdyby nie fakt, że polska ustawa doprecyzowując obowiązek ujawnienia danych kontaktowych IOD, pomija tę drogę komunikacji.

Skoro już wiemy jakie dane Inspektora Ochrony Danych zobowiązani jesteśmy publikować, zastanówmy się teraz gdzie opublikować je prawidłowo. Przepisy RODO zobowiązują do publikacji danych kontaktowych wyznaczonego Inspektora Ochrony Danych. Ale oto polska ustawa śpieszy z pomocą, precyzując, iż chodzi o publikację na stronie internetowej, a jeśli administrator lub podmiot przetwarzający takiej strony nie prowadzi, zobowiązany jest opublikować dane swojego IOD w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności.

Pierwszy przypadek: strona internetowa administratora lub podmiotu przetwarzającego – niby wiadomo gdzie publikować, a jednak nie do końca. Co zrobić np. w sytuacji, kiedy podmiot prowadzi kilka stron internetowych? Kiedy jest częścią globalnej grupy przedsiębiorstw, i jego strona jest właściwie zakładką strony innej spółki? Albo kiedy każdy produkt czy usługa podmiotu mają swoje dedykowane strony? Albo też kiedy strony internetowe podmiotu tworzone są stale, pod każdy nowy konkurs czy wydarzenie organizowane przez administratora?

Wczytując się w sens przepisów RODO i ustawy o ochronie danych osobowych należy stwierdzić, że dane IOD należy publikować na każdej z możliwych stron internetowych, na którą może zajrzeć osoba fizyczna. Zgodnie z zaleceniem Prezesa Urzędu Ochrony Danych, Inspektor Ochrony Danych jest osobą, z którą łatwo można się skontaktować i złożyć żądanie lub uzyskać informacje na temat zasad przetwarzania przez administratora lub podmiot przetwarzający danych osobowych. Zatem każda strona internetowa, za pomocą której podmiot zbiera dane osobowe osób fizycznych, a także każda strona internetowa, która należy do administratora danych lub podmiotu przetwarzającego i za pomocą której można uzyskać o tym podmiocie informacje, powinna dawać możliwość zapoznania się z wymaganymi do opublikowania danymi kontaktowymi Inspektora Ochrony Danych.

PUODO proponuje, aby łatwość w dostępie do danych kontaktowych IOD była zrealizowana poprzez umieszczenie tych informacji np. w zakładce „Kontakt”. Jednocześnie PUODO odradza umieszczanie danych kontaktowych IOD w politykach prywatności lub innych miejscach na stronie internetowej, które wymagałyby uciążliwego dla podmiotów danych przeszukiwania strony. Jak w tej sytuacji potraktować klauzule informacyjne umieszczane np. pod formularzami kontaktowymi, zawierające dane IOD? Można się pokusić o stwierdzenie, że osoba chcąca się skontaktować z administratorem lub podmiotem przetwarzającym, skorzysta z formularza kontaktowego i zapozna się z treścią obowiązku informacyjnego zawierającego dane kontaktowe Inspektora. Należy jednak wziąć pod uwagę, że nie każdy podmiot danych będzie chciał korzystać ze wspomnianego formularza, zatem może go pominąć i tym samym nawet nie dostrzec klauzuli informacyjnej. Wniosek: dane IOD zamieszczone w klauzuli informacyjnej nie stanowią wystarczającego spełnienia wymogu ustawowego.

Zobowiązanie administratorów i podmiotów przetwarzających do publikacji danych IOD na stronach internetowych jest o tyle ciekawe, że stanowi wyjątek – z żadnych innych przepisów prawa nie wynika konieczność ujawniana na stronach internetowych z imienia i nazwiska osób pełniących konkretne funkcje w organizacji, np.: funkcji księgowego, z którym bezpośredni kontakt ułatwiałby wyjaśniania kwestii rozliczeniowych między kontrahentami, czy też szefa HR, do którego kontakt przydałby się np. w trakcie aplikowania na stanowisko pracy w procesie rekrutacji, albo pracownikowi, który pilnie potrzebuje wyjaśnienia kwestii swojego ubezpieczenia zdrowotnego.

Pozostaje do wyjaśnienia jeszcze jedna trudność, która pojawia się w sytuacji, kiedy strona internetowa administratora lub podmiotu przetwarzającego ma swój pewien stały układ, określany np. przez globalną politykę prowadzenia stron internetowych w grupie przedsiębiorstw. Układ ten zostanie oczywiście zaburzony poprzez publikację danych Inspektora Ochrony Danych i będzie w przypadku polskich spółek odróżniał się od pozostałych. Biorąc pod uwagę, że Polska zalicza się do krajów-wyjątków, w których lokalne ustawodawstwo tak mocno uszczegółowiło sposób publikacji danych kontraktowych IOD, globalni DPO (Data Protection Officer) bywają mocno zdziwieni, że ich nazwiska mają znaleźć się na stronie internetowej polskiej spółki z grupy. Chcąc, nie chcąc, podlegając polskiemu porządkowi prawnemu, obowiązek publikacji danych kontaktowych IOD należy realizować.

Hiszpański organ nadzorczy nakłada karę na LaLiga, jedną z najsilniejszych lig piłkarskich na świecie

Charakter naruszenia przepisów RODO jest w tym przypadku nieco przerażający. Spółka reprezentująca rozgrywki ligi hiszpańskiej, w której uczestniczą takie kluby jak Real Madryt i FC Barcelona, udostępniła kibicom aplikację, za pomocą której mogą oni np. śledzić wyniki meczów, przy czym okazało się, że działanie aplikacji ma również drugie dno – szpiegujące.

Na początek warto wspomnieć, że w chwili prowadzenia postępowania sprawdzającego z aplikacji korzystało ok. 4 milionów kibiców, więc potencjalna liczba osób dotkniętych naruszeniem jest względnie duża.

LaLiga walcząc z procederem wykorzystywania nielegalnych transmisji meczów, wpadła na pomysł wykorzystania smartfonów użytkowników do walki z „piratami”. Aplikacja uzyskując dostęp do mikrofonu smartfona oraz jego lokalizacji w trakcie transmisji meczów, raz na minutę zbierała dźwięk „słyszany” przez mikrofon urządzenia i w połączeniu z lokalizacją namierzała piracki sygnał. Na tej podstawie LaLiga mogła zidentyfikować bary i restauracje, które wyświetlały mecze w swoich lokalach, korzystając z nielegalnego sygnału.

Agencia Española de Protección de Datos (AEPD) – hiszpański organ nadzorczy orzekł, że informacja o takim działaniu i wykorzystaniu aplikacji była nieprzejrzysta dla użytkowników, którzy nie mieli świadomości do czego wykorzystywane są ich smartfony. Dodatkowo organ stwierdził, że użytkownik powinien być proszony o zgodę na wykorzystanie mikrofonu za każdym razem, gdy aplikacja chce z niego skorzystać, a nie – jak miało to miejsce – tylko podczas instalacji aplikacji.

LaLiga poinformowała, że nie zgadza się z interpretacją AEPD i odwoła się od wydanej decyzji. „(…) szczerze wierzymy, że AEPD nie podjęła koniecznych wysiłków, aby zrozumieć, jak to działa.” – podano w komunikacie.

Argumentacja LaLigi opiera się na charakterze działania aplikacji. Spółka przyznała, że pojawiająca się ikona mikrofonu może wprowadzać w błąd, a nawet powodować obawy użytkownika, że aplikacja czegoś słucha, jednak zapewniła, że ta technologia nie może przechwycić ludzkiej rozmowy. System za pomocą algorytmów ma porównywać wzorce dźwiękowe zarejestrowane przez mikrofon urządzenia użytkownika z określonymi plikami audio. Rejestrowany przez aplikację sygnał ma być konwertowany na kod binarny, który jest porównywany z kodem sygnału transmisji przez automatyczny system, który wykonuje operację w czasie krótszym niż jedna sekunda. Sygnał nie jest nagrywany, ani zapisywany. Sprawdzenie ma polegać wyłącznie na tym, czy kod pasuje do oryginalnego kodu emitowanego sygnału. La Liga zapewnia, że tym sposobem nie jest w stanie zarejestrować rozmów lub innych dźwięków.

Jako przykład zastosowania technologii podano mechanizm działania aplikacji Shazam – popularnej „wyszukiwarki” utworów muzycznych, działającej poprzez nasłuchiwanie dźwięku wydobywającego się np. z radia samochodowego, gdy użytkownik aktywuje mikrofon.

W konsekwencji postępowania AEPD nałożyło na spółkę 250 tysięcy euro kary.

 

Źródło:

https://www.eldiario.es/tecnologia/Agencia-Proteccion-Datos-Liga-microfono_0_908859408.html

Odpowiedzialność karna za nieuprawnione przetwarzanie danych osobowych

Przetwarzanie danych osobowych bez podstawy prawnej lub odpowiedniego upoważnienia może rodzić konsekwencje nie tylko w postaci kar administracyjnych, lecz także o charakterze odpowiedzialności karnej. Przepis wyrażony w art. 107 ustawy o ochronie danych osobowych przewiduje, że przetwarzanie danych w sytuacji, gdy jest ono z mocy prawa niedopuszczalne lub podmiot przetwarzający nie jest do niego uprawniony, rodzi odpowiedzialność karną w postaci kary grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch, bądź – w przypadku danych wrażliwych – aż trzech.

 

RODO A ODPOWIEDZIALNOŚĆ KARNA

Przepisy unijnego rozporządzenia same w sobie nie przewidują wyciągania konsekwencji prawnokarnych z tytułu niestosowania się do wyrażonych w nim zasad ochrony danych. Istnieje jednak przepis umożliwiający państwom członkowskim UE wprowadzenie takiego rodzaju odpowiedzialności. Jest to art. 84 ust. 1 RODO, zgodnie z którym państwa członkowskie zobowiązane są do przyjęcia wewnętrznych przepisów prawa określających inne niż zawarte w rozporządzeniu sankcje za naruszenia postanowień RODO.  Jak stwierdzono: Sankcje  te muszą być skuteczne, proporcjonalne i odstraszające. Dodatkowo na możliwość zastosowania sankcji karnych w prawie krajowym wskazuje wprost motyw 149 rozporządzenia – „Państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie niniejszego rozporządzenia(…)”.

KIEDY PRZETWARZANIE DANYCH STAJE SIĘ PRZESTĘPSTWEM?

Konstrukcja art. 107 ustawy o ochronie danych pozwala wyodrębnić dwa rodzaje sytuacji rodzące odpowiedzialność karną:

  • Gdy przetwarzanie danych osobowych odbywa się pomimo tego, że jest niedopuszczalne.
  • Gdy osoba przetwarzająca dane nie jest do tego uprawniona.

Z sytuacją pierwszą będziemy mieli do czynienia, gdy przetwarzanie danych osobowych odbywać się będzie bez istnienia podstawy prawnej wyrażonej w art. 6 RODO lub gdy nie znajdzie zastosowania żadne z wyłączeń zakazu przetwarzania danych szczególnych kategorii opisanych w art. 9 rozporządzenia. W zakresie opisanego typu czynu zabronionego mogą również mieścić się sytuacje, w których administrator zlekceważy odwołanie zgody podmiotu na przetwarzanie danych, bądź nie zaprzestanie przetwarzania po wniesieniu sprzeciwu wobec działań polegających na prowadzeniu marketingu bezpośredniego.

Druga sytuacja polega na przetwarzaniu danych przez osobę nieuprawnioną, czyli nieposiadającą odpowiedniego upoważnienia do przetwarzania danych osobowych nadanego przez administratora lub podmiot przetwarzający. Uprawnienie do przetwarzania danych może również wynikać bezpośrednio z przepisów prawa (np. w przypadku organów kontrolnych administracji publicznej).

KTO MOŻE ODPOWIADAĆ ZA BEZPRAWNE PRZETWARZANIE DANYCH?

Przestępstwo opisane w art. 107 u.o.d.o. ma charakter powszechny, oznacza to, że do odpowiedzialności na jego podstawie może zostać pociągnięty każdy kto umyślnie przetwarza dane bez odpowiedniego upoważnienia lub w sytuacji gdy przetwarzanie danych jest niedopuszczalne. Zakres podmiotów, które potencjalnie mogą zostać pociągnięte do odpowiedzialności może zawierać więc między innymi pracowników przetwarzających dane niezgodnie z zakresem wydanego upoważnienia przez pracodawcę oraz podwykonawców pełniących rolę procesora, przetwarzających dane niezgodnie z umową powierzenia. Fakt, że omawiane przestępstwo można popełnić tylko umyślnie sprawia, że art. 107 nie będzie miał zastosowania do pracowników bądź podwykonawców, którzy nie mają świadomości, że polecenie przetwarzania wydane im przez administratora danych jest bezprawne.

W uzasadnieniu do projektu ustawy o ochronie danych wskazano, że przepisy karne powinny być stosowane w przypadku najcięższych naruszeń przepisów ochrony danych. Miejmy nadzieję, że praktyka orzecznicza podzieli to stanowisko i podstawowymi sankcjami za nieuprawnione przetwarzanie danych pozostanie pozostaną środki administracyjne. Jednak wprowadzenie przepisów karnych do ustawy o ochronie danych osobowych jest mocnym argumentem przemawiającym za dołożeniem należytej staranności do określenia podstaw przetwarzania danych oraz wyznaczeniem precyzyjnych reguł wydawania upoważnień.

 

Przekazywanie danych osobowych do państwa trzeciego na podstawie art. 45 RODO

Zgodnie z art.45 RODO przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie, terytorium, określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.

W celu sprawdzenia czy transfer poza EOG jest legalny, należy sprawdzić na stronie internetowej Komisji Europejskiej i w Dzienniku Urzędowym Unii Europejskiej wykaz państw trzecich, terytoriów i określonych sektorów w państwie trzecim oraz organizacji międzynarodowych, co do których Komisja przyjęła decyzję stwierdzającą odpowiedni stopień ochrony.

Do transferu danych poza EOG może dochodzić kiedy mieszkańcy EOG kupują np. towary w Internecie lub korzystają z mediów społecznościowych (np. Facebook), podczas gdy sprzedawca lub usługodawca jest zlokalizowany np. w Stanach Zjednoczonych. Do transferu może dochodzić także gdy  dane pracowników firmy mającej siedzibę w UE, przesyłane są poza EOG (np. do spółki matki), gdzie  weryfikowana jest poprawność rozliczeń pracowniczych. W takich przypadkach spółki z grup kapitałowych lub usługodawcy świadczący usługę na terenie EOG starają się o wpis na wspomnianą listę tworzoną przez Komisję.

Komisja Europejska w dniu 12 lipca 2016 roku przyjęła decyzję w sprawie odpowiedniej ochrony danych osobowych (Program Tarcza Prywatności UE-USA „Privacy Shield”). Zgodnie z wytycznymi dotyczącymi Tarczy Poufności UE-USA, Tarcza prywatności UE-USA zezwala na przekazywanie danych osobowych z UE przedsiębiorstwu z USA pod warunkiem, że będzie ono przetwarzało te dane zgodnie z przepisami i gwarancjami ochrony danych. Natomiast obowiązki mające zastosowanie wobec firm stosujących zasady powyższego programu są określone w „Zasadach ochrony prywatności”  (ang. Privacy Principles).

Żeby dowiedzieć się, czy konkretna spółka zlokalizowana w USA uczestniczy w programie Tarczy Prywatności, można sprawdzić wykaz podmiotów na stronie internetowej https://www.privacyshield.gov/welcome. W wykazie są zawarte informacje na temat wszystkich firm uczestniczących w programie Tarczy Prywatności, a także rodzajów danych osobowych z jakich firmy korzystają i charakteru ich usług.

Komisja, w związku ze stałym monitorowaniem stosowanych przez przedsiębiorstwa z listy zasad przetwarzania danych, może usunąć z zatwierdzonej listy firmy, które uchybiają „Zasadom Ochrony Prywatności” i przetwarzają dane w sposób niespełniający wymogów.  W związku z tym, pod wskazanym wyżej adresem prowadzony jest także wykaz firm, które przestały uczestniczyć w programie Tarczy Prywatności.