WNIOSKI Z PIERWSZYCH DOŚWIADCZEŃ FUNKCJONOWANIA NOWEGO SYSTEMU OCHRONY DANYCH OSOBOWYCH
Minęło już półtora roku od dnia wejścia w życie RODO, czas zatem na małe podsumowanie wniosków z pierwszego okresu stosowania RODO w praktyce.
Zapewne wszyscy pamiętają gorączkę wiosny 2018 r., tymczasem zamiast spodziewanego Armagedonu, kolejne 12 miesięcy upłynęło pod znakiem marazmu: brak było informacji na temat postępowań, nie mówiąc o decyzjach Prezesa Urzędu Ochrony Danych Osobowych („PUODO”). Sytuacja ponownie nabrała dynamiki za sprawą głośnej decyzji PUODO z 10 września 2019 r. nakładającej na Morele.Net sp. z o.o. karę w wysokości niemal 3 milionów złotych. Dla przypomnienia: chodziło o uzyskanie przez osobę nieuprawnioną dostępu do danych osobowych klientów realizujących zakupy w sklepach internetowych, których administratorem była ukarana spółka. Casus ten pokazuje, jak niezmiernie istotne jest stosowanie odpowiednich zabezpieczeń systemów informatycznych, w których przetwarzane są dane. Wdrożenie każdego rozwiązania informatycznego wymaga uprzedniego jego przetestowania, zwłaszcza na poziomie kontroli dostępu do danych i uwierzytelniania, a następnie regularnego aktualizowania.
Na uwagę zasługują także kolejne decyzje PUODO z października 2019 r. Przykładowo, w decyzji nr ZSPR.421.7.2019 z dnia 16 października 2019 r. PUODO nałożył na ClickQuickNow Sp. z o.o. administracyjną karę pieniężną w kwocie ponad 200 tys. złotych z powodu stosowania przez spółkę nieprzejrzystego procesu wycofywania zgody klienta na przetwarzanie danych osobowych, co zostało uznane za naruszenie szeregu przepisów RODO w tym art. 17 wprowadzającego tzw. prawo do bycia zapomnianym. W praktyce powyższe naruszenia polegały na kierowaniu przez spółkę sprzecznych komunikatów, co skutkowało tym, że osoba odwołująca zgodę na przetwarzanie swoich danych osobowych przekonana była, że swoją zgodę skutecznie odwołała, tymczasem do takiego odwołania w rzeczywistości nie dochodziło. Spółka bowiem, po wysłaniu ww. komunikatu kierowała do tej samej osoby kolejny komunikat, w którym informowała o sposobie skutecznego odwołania zgody. W rezultacie, zdaniem PUODO spółka jako administrator nie zapewniała możliwości skutecznego skorzystania z prawa do odwołania zgody na przetwarzanie danych osobowych; nie spotkała się ze zrozumieniem argumentacja spółki, iż stosowany model powtórzonego oświadczenia wynikał z intencji zapobieżenia skutkom omyłkowych kliknięć oraz działaniu botów.
Kolejne dwie decyzje PUODO: nr ZSPU.421.3.2019 z dnia 18 października 2019 r. oraz ZSPU.440.296.2019 z dnia 8 października 2019 r. tym razem dotyczyły naruszeń dokonanych przez podmioty sektora publicznego. W pierwszej z ww. decyzji PUODO nałożył na Burmistrza Aleksandrowa Kujawskiego karę w wysokości 40.000 zł m.in. z powodu zlecenia podmiotom zewnętrznym obsługi informatycznej Biuletynu Informacji Publicznej bez uprzednio zawartej umowy powierzenia, a więc udostępnienia danych osobowych bez podstawy prawnej. Zdaniem PUODO powyższe skutkowało naruszeniem przez Burmistrza zasady zgodności z prawem, zasady poufności oraz zasady rozliczalności z art. 5 RODO. Dopuścił on bowiem do braku kontroli nad prawidłowością przetwarzania danych zawartych w BIP.
Z kolei decyzją z dnia 8 października 2019 r. PUODO udzielił upomnienia komornikowi sądowemu, który w wyniku omyłki Wierzyciela polegającej na wskazaniu błędnego nr PESEL dłużnika we wniosku o wszczęcie egzekucji, pozyskał z systemu PESEL-Net dane osobowe właściciela numeru PESEL niebędącego w rzeczywistości dłużnikiem, i – nie weryfikując ich z treścią pozostałych danych osobowych wskazanych we wniosku i tytule wykonawczym – bezprawnie przetwarzał je jako dane dłużnika w postępowaniu egzekucyjnym. W wyniku powyższego, zdaniem PUODO, Komornik naruszył zasadę prawidłowości i poufności wyrażoną w art. 5 RODO.
Dzięki przywołanym powyżej decyzjom, można już stwierdzić, że kluczowe znaczenie dla zapewnienia wymogu zgodności działalności z RODO mają następujące działania:
- Dopracowane, precyzyjne procedury wewnętrzne
- Szkolenie personelu w celu zapewnienia przestrzegania procedur
- Stałe monitorowanie adekwatności przyjętych rozwiązań organizacyjnych
i informatycznych
Bartosz Jankowski
Adam Morawski
