RODO – NAJCZĘSTSZE BŁĘDY ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH cz. I
Pomimo tego, że przepisy dotyczące ochrony danych osobowych nie są nowością, a unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych (zwane dalej jako „RODO”) obowiązuje od 25 maja 2018 r., to w dalszym ciągu nie wszystkie podmioty przetwarzające dane osobowe wprowadziły odpowiednie procedury i rozwiązania związane z ochroną danych osobowych, a wynikające z tych przepisów. Ponadto, pomimo znacznego upływu czasu od wejścia w życie tych przepisów, ze strony administratorów danych osobowych – czyli organów, jednostek organizacyjnych, podmiotów lub osób decydujących o celach i środkach przetwarzania danych osobowych – zdarzają się niewłaściwe praktyki, czy błędy, które zostaną omówione szerzej w niniejszym artykule.
Brak wiedzy
Pierwszym, najpoważniejszym błędem dotyczącym ochrony danych osobowych, z którego wynikają kolejne jest brak odpowiedniej świadomości, czym właściwie są dane osobowe, na czym polega ich ochrona, jakie podmioty są zobowiązane do przestrzegania przepisów o ochronie danych osobowych, a także jakie są konsekwencje niewdrożenia i nieprzestrzegania RODO. Problem ten dotyczy zarówno administratorów danych osobowych, jak również ich pracowników, którym nie zostały zapewnione odpowiednie szkolenia, czy też współpracowników. Taki brak świadomości co do ciążących na administratorze obowiązków oraz co do zasad ochrony może skutkować nieumyślnym naruszeniem przepisów oraz nałożeniem wysokiej administracyjnej kary pieniężnej, czy też nawet odpowiedzialnością karną.
Uznanie, że ochrona danych osobowych obowiązuje tylko w stosunku do konsumentów
Wymaga podkreślenia, iż chociaż RODO wyraźnie definiuje pojęcie danych osobowych – są to bowiem informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, przy czym ta identyfikacja może mieć charakter bezpośredni, jak również pośredni – to wśród podmiotów przetwarzających panuje mylne przeświadczenie, że przepisy dotyczące ochrony danych osobowych mają zastosowanie wyłącznie w stosunku do danych osobowych konsumentów.
Biorąc pod uwagę przytoczoną wyżej definicję danych osobowych, nie ma najmniejszego znaczenia, w jakim charakterze osoba, której dane osobowe dotyczą występuje w relacji z podmiotem przetwarzającym jej dane, a tym samym, czy jest konsumentem, pracownikiem, czy też kontrahentem (szczególnie w przypadku osób fizycznych prowadzących jednoosobową działalność gospodarczą). Dla uznania, że mamy do czynienia z danymi osobowymi najważniejsze jest zatem to, czy przetwarzanie danych osobowych dotyczy osoby, którą można zidentyfikować, przykładowo chociażby poprzez nazwisko, wizerunek, czy numer identyfikacyjny. Przepisy dotyczące ochrony danych obowiązują też niezależnie od sposobu, w jaki sposób podmiot przetwarzający wszedł w posiadanie tych danych, w tym nawet w przypadku gdy dane mu przekazane przez inny podmiot, niż osoba, której dane dotyczą.
Przekonanie, że RODO nie ma zastosowania w przypadku przekazywania danych osobowych innym firmom
Wielu administratorów danych osobowych, pozostaje w błędnym przekonaniu, że jeśli przekazują dane osobowe innym podmiotom, nie mając przy tym samemu dostępu do danych, to nie ciążą na nich żadne dodatkowe obowiązki związane z RODO i często pomijają tak kluczową kwestię, jaką jest zawarcie z tymi podmiotami umowy powierzenia przetwarzania danych osobowych, na podstawie której takie przekazanie danych przez administratora będzie w ogóle możliwe. Administratorzy także często nie podejmują działań w celu zapewnienia przekazywanym danym odpowiednich zabezpieczeń technicznych, czy informatycznych, które zapobiegałyby przed ich ujawnieniem osobom do tego nieuprawnionym. Wskazać przy tym należy, że najczęściej takie dane są przekazywane podmiotom świadczącym usługi zewnętrzne, przykładowo z zakresu kadrowości i księgowości, marketingu, rekrutacji czy obsługi prawnej.
Stosowanie zgody osoby, której dane dotyczą jako jedynej podstawy przetwarzania danych
Bardzo często popełnianym błędem jest stosowanie zgody osoby, której dane dotyczą jako jedynej, uniwersalnej podstawy przetwarzania danych, i to pomimo tego, iż bardziej odpowiednia byłaby inna podstawa prawna przetwarzania. Administratorzy zdają się błędnie przyjmować, że uzyskanie zgody jest najłatwiejszą podstawą przetwarzania danych, podczas, gdy podstawa ta powinna mieć zastosowanie, dopiero wówczas, gdy żadna inna postawa przetwarzania danych nie zaistnieje. Ponadto, osoba, której dane osobowe są przetwarzane na podstawie zgody, może właściwie
w każdym czasie zgodę wycofać, co może rodzić po stronie administratora danych związane z tym problemy.
Zgodnie z art. 6 RODO przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy –
i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Tak więc, w zależności od okoliczności i konkretnej sytuacji, administrator będzie mógł przetwarzać dane osobowe na innych, bardziej adekwatnych podstawach prawnych, niż tylko zgoda osoby, której dane dotyczą, a która to – wymaga podkreślenia – nie jest podstawą uniwersalną. Tym samym, należy uznać, że pozyskiwanie nadmiarowych zgód na przetwarzanie danych jest niewłaściwą praktyką. Dlatego też bardzo ważne jest przeprowadzenie analizy procesów przetwarzania przez dany podmiot, co umożliwi ocenę zasadności pozyskiwania zgód i ustalenie właściwych podstaw przetwarzania danych.
Niewypełnianie obowiązku informacyjnego
RODO nakłada na administratorów danych osobowych wiele wymogów, jednakże właściwe wypełnienie obowiązku informacyjnego zdaje się być obowiązkiem dość często niewłaściwie realizowanym lub nierealizowanym w ogóle.
Celem tego obowiązku jest przekazanie osobie, której dane są przetwarzane o celach tego przetwarzania, jak i o samym fakcie przetwarzania, przy czym powinien on być zrealizowany zarówno nie tylko w przypadku pozyskania danych bezpośrednio od osoby, której dane dotyczą, ale także wtedy, gdy dane zostały przekazane pośrednio, z innych źródeł. Należy zaznaczyć, o czym często administratorzy zdają się zapominać, że obowiązek informacyjny trzeba także spełnić w przypadku zmiany lub dodania nowego celu przetwarzania. Taka informacja powinna zostać przekazana w jasny, zrozumiały i rzetelny sposób, przy czym administrator może wybrać, w jakiej formie zostanie ona przekazana.
Klauzula informacyjna powinna zawierać m.in. takie informacje jak:
- cel przetwarzania danych,
- podstawy prawne przetwarzania danych,
- okres przechowywania danych,
- prawa jednostek,
- dane kontaktowe do administratora danych osobowych,
- informacje dotyczące przekazywania danych,
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,
- informacje o prawie wniesienia skargi do organu nadzorczego
Brak reakcji na naruszenia ochrony danych osobowych
Za naruszenie ochrony danych osobowych uważane jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Wśród wielu podmiotów istnieje przekonanie, że kiedy już dojdzie do naruszenia ochrony danych osobowych, to najprostszym rozwiązaniem jest przemilczenie tej sytuacji z obawy na potencjalnie konsekwencje. Wymaga podkreślenia, że przyjęcie takiej postawy nie pozwoli na zidentyfikowanie przyczyn naruszenia i wprowadzenie rozwiązań, które pozwolą na uniknięcie ich w przyszłości. Należy jednakże zaakceptować fakt, iż tam, gdzie dane są przetwarzane, może dojść do naruszenia ochrony danych osobowych i najkorzystniejsza postawą jaką można przyjąć, jest identyfikacja możliwych zagrożeń oraz podjęcie środkowi działań, które będą prowadziły do minimalizacji tego ryzyka.
Kiedy już dojdzie do naruszenia danych osobowych administrator jest zobowiązany do:
- powiadomienia organu nadzorczego;
- zawiadomienia osoby, której dane zostały naruszone o ich naruszeniu;
- dokumentowanie sytuacji naruszenia ochrony danych osobowych.
Odnosząc się do pierwszego obowiązku, należy zaznaczyć, że podmiotem, któremu należy zgłosić naruszenie jest Prezesowi Urzędu Ochrony Danych Osobowych, przy czym jeśli jest mało prawdopodobne, by naruszenie do którego doszło, miało skutkować ryzkiem naruszeniem praw osób, których dane zostały naruszone, to ten obowiązek nie istnieje. Administrator jest zobowiązany do zgłoszenia naruszenia bez zbędnej zwłoki, ale nie później, niż w terminie 72 godzin od stwierdzenia naruszenia. Jeśli zgłoszenie nastąpi po tym terminie, to administrator musi uzasadnić przyczyny opóźnienia.
Ponadto, jeśli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator musi zawiadamiać osobę, której dane dotyczą, o takim naruszeniu i to bez zbędnej zwłoki.
Obowiązek dokumentowanie sytuacji naruszenia ochrony danych osobowych jest niezależny od tego, czy naruszenie, do którego doszło podlega zgłoszeniu organowi nadzorczemu, czy też nie, przy czym ewidencja taka powinna zawierać skutki i konsekwencje takiego naruszenia oraz co bardzo ważne – działania naprawcze, które zostały podjęte przez administratora, aby uniknąć takich, czy podobnych naruszeń w przyszłości
Konsekwencje naruszeń przepisów RODO
Należy podkreślić, iż administratorzy powinni zwrócić szczególną uwagę na wyeliminowanie przestawionych wyżej błędów, czy nieprawidłowych praktyk w zakresie ochrony danych osobowych nie tylko z samego faktu, że jest to ich nałożony przez przepisy obowiązek, ale też dlatego, że ich nieprzestrzeganie może się wiązać z nałożeniem na nich określonych, często dotkliwych sankcji.
I tak, za nieprzestrzeganie przepisów RODO grozi chociażby administracyjna kara pieniężna w wysokości – w zależności od tego, do jakiego naruszenia doszło – do 10 lub 20 milionów euro lub do 2 lub 4% całkowitego rocznego obrotu z poprzedniego roku obrotowego.
Co więcej, osoby fizyczne, które przetwarzają dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie są uprawnione mogą ponieść odpowiedzialność karną, a osoba, której prawa zostały naruszone w wyniku nieprzestrzegania przez administratora danych przepisów oprócz żądania zaniechania naruszeń może dochodzić na drodze postępowania cywilnego odszkodowania za poniesione szkody, czy też zadośćuczynienia za doznaną krzywdę.
/oprac.: Kinga Mercik-Świerczek/
Jeżeli potrzebują Państwo wsparcia w obszarze RODO – zapraszamy do kontaktu z Kancelarią.