KARY ZA NIEPRZESTRZEGANIE RODO

kara ROD

KARY ZA NIEPRZESTRZEGANIE RODO TO NIE STRASZENIE

Kary za nieprzestrzeganie przepisów rozporządzenia o ochronie danych osobowych nie są straszeniem, a stają się rzeczywistością. Każdy pamięta, jak wyglądały zalane obowiązkami informacyjnymi skrzynki e-mailowe przed 25 maja 2018 r., ten czas był naprawdę gorący dla przedsiębiorców, którzy w obawie przed karami próbowali tworzyć zabezpieczenia przed ewentualną kontrolą. Był to również wzmożony czas audytów, opracowywania dokumentacji, procedur oraz szkoleń pracowniczych. Niektórych motywowało to do wdrożenia przepisów RODO do firm, zaś drudzy tę kwestię mocno bagatelizowali.

OCHRONA DANYCH OSOBOWYCH NIE JEST NOWOŚCIĄ

Tematyka ochrony danych w Polsce nie jest też nowością, sporo zmieniło się od wejścia w życie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Na kanwie ustawy z 1997 roku oczywiście również występowały informacje na temat konsekwencji w postaci sankcji za naruszenia ochrony danych osobowych. Aby nadążyć za tym, jak w praktyce dane są przetwarzane rozporządzenie wprowadziło wiele zmian i nowości. Przy obecnym ogromnym postępie technologicznym i fakcie, jak cenne stały się dane osobowe RODO nie jest wymysłem, a zwyczajnie potrzebą rynku. Chcemy wiedzieć gdzie wędrują nasze dane, jak, przez kogo, jak długi czas będą przetwarzane oraz do kogo można udać się kiedy pojawi się naruszenie. Chodzi zarówno o te dane związane z imieniem, nazwiskiem, wizerunkiem, ale także dotyczące lokalizacji, czy na przykład naszych preferencji zakupowych itp. Oczywiście jednorazowe wprowadzenie zmian w kierunku RODO będzie świetnym krokiem w stronę rzeczywistej ochrony danych, warto jednak pamiętać, że to długotrwały proces uświadamiania, zmiany mentalności w danej organizacji i podejścia do ochrony danych może przynieść zamierzony skutek dla ochrony danych osobowych. Być może nałożona przez Urząd kara stanie się impulsem do refleksji, że warto dbać o ochronę danych osobowych i robić to rozważnie.

KARY W EUROPIE

Jedną z pierwszych kar po wejściu przepisów w życie pojawiła się w portugalskim szpitalu, gdzie zbierano w sposób nieuprawniony dane pacjentów. Nałożona przez Urząd Comissão Nacional de Proteção de Dados (CNPD), czyli Komisję Ochrony Danych – Organ nadzorczy w Portugalii kara opiewała sumę 400 000 euro. Spowodował to między innymi nieuprawniony dostęp do danych klinicznych udzielony osobom, które nie powinny mieć takiej możliwości. Urząd uargumentował nałożenie tak wysokiej kary umyślnym działaniem administratora danych, który powinien był zastosować środki techniczne i organizacyjne niezbędne do identyfikacji i uwierzytelniania danych użytkowników. Przez ww. naruszenie szpitalowi zarzuca się naruszenie głównych zasad RODO takich jak integralność, poufność, czy minimalizacja danych.

KARY ZA NARUSZENIA W POLSCE

Czy warto bać się kar finansowych za naruszenia przepisów RODO w Polsce? Odpowiedź brzmi: i tak i nie. Tutaj najbardziej adekwatną byłaby znienawidzona, ale i często używana przez prawników odpowiedź „to zależy”. Prezes Urzędu Ochrony Danych Osobowych Edyta Bielak – Jomaa zapowiedziała potrzebę poprawy kwestii ochrony danych w świadomości polskich przedsiębiorców oraz kontrole i kary nie bez pokrycia. Od kilku tygodni w sieci pojawia się wiele opinii na temat kary, którą ma dostać przedsiębiorstwo. Jedno jest pewne – 26 marca oficjalnie ogłoszono informację na stronie Urzędu.

Decyzja dotyczy firmy, która tworzyła bazę danych prowadzących działalność na podstawie ogólnodostępnych informacji zawartych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, Krajowym Rejestrze Gospodarczym, a także w zestawieniach Głównego Urzędu Statystycznego. Takiego rodzaju dane były przekazywane tym użytkownikom, którzy chcieli sprawdzić wiarygodność przedsiębiorców. Proces kontroli UODO wskazał, że warszawska spółka o zbieraniu i przetwarzaniu danych na ich temat informowała wyłącznie tych, którzy na którymś z portali internetowym umieścili swoje adresy e-mail. Obowiązek informacyjny nie został wysłany pocztą do reszty ze względu na wysokie koszty. Firma informację o przetwarzaniu danych osobowych zamieściła na stronie internetowej. Wskazując na wysokość kary mówi się o kwocie około miliona złotych.

PRZYSZŁOŚĆ

Temat ochrony danych osobowych powinien pojawić się w świadomości absolutnie każdej firmy, a nałożenie kary przez Urząd w Polsce wzmocnią to przekonanie wśród przedsiębiorców. Jeśli przepisy rozporządzenia są przestrzegane nie ma potrzeby do obaw. Niejednokrotnie przedsiębiorcy wskazują, że RODO wyklucza, ogranicza bądź też utrudnia im działania marketingowe, sprzedażowe. Nie warto patrzeć na tę kwestię w negatywny sposób, ale tak, że dane klientów są bezpieczne, przetwarzane w sposób zgodny z przepisami i podstawowymi zasadami rozporządzenia. Sprawa ochrony danych osobowych na dzień dzisiejszy wydaje się o tyle ciekawa, że do Urzędu Ochrony Danych Osobowych wpłynęło ok. 4 tysiące skarg dotyczących przetwarzania danych osobowych, co będzie się działo dalej w kwestii kar, zobaczymy.

Autor: Monika Liwoch

Zaniechanie obowiązku usunięcia danych z BIK

Nowoczesne, systematycznie powiększane i udoskonalane przez podmioty publiczne i prywatne techniki gromadzenia, utrwalania i wykorzystywania informacji o osobach sprawiają, że niepomiernie wzrasta ryzyko naruszania interesów jednostki poprzez szerokie wkraczanie w sferę prywatności.

Sąd NajwyższyOchrona prywatności, która związana jest ściśle z ochroną danych osobowych, w istocie stanowi wyraz poszanowania autonomii informacyjnej jednostki. Punktem wyjścia wszelkich rozważań jest stwierdzenie, iż prawo do prywatności jest pojęciem nieostrym. Obejmuje ono w szerokim rozumieniu prawo do ochrony czci czy dobrego imienia. W konsekwencji zapewnia ono zabezpieczenie przed oszczerstwem, nieprawdziwymi informacjami czy wybiórczo podawanymi faktami. Konstytucyjny standard ochrony został sformułowany w art. 47 i 51 Konstytucji[1]. Art. 51 Konstytucji, musi być odczytywany łącznie z art. 47 gwarantującym prawo do prywatności, które w literaturze definiowane jest jako pewna sfera intymności jednostki. Prawa te podniesione zostały w Unii Europejskiej do rangi praw zaliczanych do praw podstawowych i umieszczone w Karcie Praw Podstawowych Unii Europejskiej[2], co wynika z uznania, że owe prawa mają szczególnych charakter i zasługują na szeroki standard ochrony. Na poziomie międzynarodowym wzorzec ten został uregulowany miedzy innymi w art. 17 Międzynarodowego Paktu Praw Obywatelskich i Politycznych[3].

Warto zauważyć iż zasady i tryb gromadzenia informacji musi szczegółowo określać ustawa. Pomocą wobec podmiotów gospodarczych jest uregulowanie w Konstytucji, które pozwala chronić człowieka jako konsumenta.

W dniu 11 lutego 2015 r. Sąd Najwyższy wydał wyrok o sygn. akt I CSK 868/14 [4], który z punktu widzenia obrotu gospodarczego i ochrony konsumenta okazał się niezwykle istotny. Okazało się, że z uwagi na zaniechanie obowiązku usunięcia danych może dojść do naruszenia prawa do prywatności. Banki będą musiały dokładać szczególnej staranności, aby wykreślać dane nieaktualne. Klienci uzyskali zaś podstawę dochodzenia roszczeń odszkodowawczych w przypadku nieaktualizowania danych w Biurze Informacji Kredytowej. Sąd Najwyższy w sentencji omawianego orzeczenia uznał iż, brak terminowego wykreślenia klienta z rejestru dokumentującego zadłużenia z tytułu udzielonego instrumentu finansowego może stanowić istotne naruszenie ochrony danych osobistych.

Wyrok zapadł na tle następującego stanu faktycznego. Powód w dniu 6 czerwca 2008 r. zawarł z pozwanym umowę kredytu konsumpcyjnego odnawialnego z kartą płatniczą. Jedna z klauzul zawartej umowy stanowiła, że bank uprawniony został do przekazywania informacji o wysokości zadłużenia klienta do Biura Informacji Kredytowej. W dniu 28 grudnia 2009 r. powód wypowiedział przedmiotową umowę i zobowiązał się do spłaty zadłużenia w wysokości nieprzekraczającej 300 zł. W niedługim odstępie czasu powód uregulował dług. Zaniechanie obowiązku aktualizacji danych po stronie pozwanego spowodowało, że klient nie mógł uzyskać kredytu na zakup sprzętu komputerowego. O zaistniałej sytuacji dowiedział się dopiero w czasie ubieganie się o kredyt w innej instytucji finansowej. Po pewnym czasie powód wystąpił z pismem, w którym wskazywał na liczne zaniedbania po strony banku. Domagał się on tym samym ochrony dóbr osobistych poprzez umieszczenie stosownych przeprosin na jednej ze stron internetowych, zadośćuczynienia w kwocie 5 850 zł i odszkodowania w wysokości 4 200 zł wraz z odsetkami ustawowymi. Tym samym sprawa trafiła na wokandę.

Sąd Okręgowy wyrokiem z 2013 r. uznał bezsprzecznie winę powoda i zobowiązał go do wypłaty stosownego odszkodowania tytułem nieterminowego usunięcia danych pozwanego z Biura Informacji Kredytowej S.A. w wysokości 100 zł wraz z ustawowymi odsetkami począwszy od dnia 22 grudnia 2011 r. Sąd oddalił natomiast powództwo o ochronę dóbr osobistych argumentując to brakiem spełnienia kumulatywnie przesłanek określonych w art. 24 Kodeksu Cywilnego.

Powód wniósł odwołanie do sądu apelacyjnego, który utrzymał w mocy decyzję sądu I instancji. W uzasadnieniu wskazał, że przedłużone pozostawanie w bazie danych nieaktualnych informacji o znikomym zadłużeniu powoda nie uchybiło jego czci ani godności.

Skargę kasacyjną od przedmiotowego wyroku wniósł Rzecznik Praw Obywatelskich. Zwrócił on szczególną uwagę na to, że dane dotyczące zawartej umowy kredytowej objęte są tajemnicą bankową uregulowaną w Prawie Bankowym[5] i stanowią jednocześnie dane osobowe w rozumieniu art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[6]. Rzecznik wielokrotnie podkreślał, że artykuł 26 ust. 1 nakazuje administratorowi danych, którym w tym wypadku był bank, przetwarzanie danych zgodnie z prawem, z zachowaniem ich merytorycznej poprawności i adekwatnie do celów, w jakich są przetwarzane, a art. 32 ust. 1 pkt 6 tej ustawy zobowiązuje go do zachowania szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Rzecznik wskazał, że obowiązkiem nadrzędnym administratora jest dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą.

Rzecznik oparł skargę kasacyjną na błędnej wykładni przepisów art. 23 i 24 Kodeksu Cywilnego i nieuwzględnieniu konstytucyjnego prawa człowieka i obywatela do ochrony danych osobowych przewidzianego w art. 51 Konstytucji. Wskazał on również na  naruszenie prawa do ochrony godności i dobrego imienia ujętego w art. 47 Konstytucji. Zdaniem Rzecznika zaniechanie uaktualnienia doprowadziło do utrwalenia na dłuższy czas obrazu powoda jako niewypłacalnego, a co więcej niewiarygodnego w przeprowadzanych transakcjach. Konkludując, obok naruszenia ochrony danych osobowych pojawia się problem kształtowania negatywnego wizerunku.

Sąd Najwyższy wskazał, że prawo do ochrony danych osobowych jest wywodzone w piśmiennictwie z takich dóbr osobistych, jak godność człowieka oraz prawo do prywatności. Rzecznik Praw Obywatelskich stanowczo stoi na stanowisku, że zbudowanie negatywnego wizerunku jako osoby niewiarygodnej naruszyło jego godność i naraziło tym samym na szereg przykrości i rozczarowań.

Mając na uwadze powyższe zastrzeżenia sprawa została przekazana do ponownego rozpatrzenia.

[1] Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r., Dz.U. 1997 nr 78 poz. 483

[2] Karta Praw Podstawowych Unii Europejskiej, Dz.U.UE.C.2007.303.1

[3] Międzynarodowy Pakt Praw Obywatelskich i Politycznych otwarty do podpisu w Nowym Jorku dnia 19 grudnia 1966 r., Dz.U.1977.38.167

[4] Wyrok Sądu Najwyższego z dnia 11 lutego 2015 r., o sygn. akt I CSK 868/14

[5] Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe, Dz.U.2015.128 j.t.

[6] Ustawa  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz.U.2014.1182 j.t.

Aplikacje mobilne, a ochrona danych osobowych

aplikacje_mobilne_0Większość z nas posiada ten lub inny model smartphon’a. Coraz powszechniejsze stają się również tablety. Każdy zaś smartphon czy tablet jest wyposażony w aplikacje mobilne. Są to najczęściej gry, aplikacje służące do przetwarzania zdjęć, robienia zakupów czy zaplanowania treningów. Rynek aplikacji mobilnych rozwija się bardzo dynamicznie. Obecnie w samej tylko Unii Europejskiej ten segment rynku generuje 17,5 mld euro rocznie i jest w nim zatrudnionych już 1 mln programistów i 800 tys. osób zajmujących się marketingiem i funkcjami pomocniczymi. Unijne badania wskazują na to, że w 2018 r. gospodarce Unii może przybyć 5 mln miejsc pracy, a przychód jaki ma generować branża osiągnie 63 mld euro.

Warto pamiętać, że większość aplikacji mobilnych jest darmowa. Obecnie zaledwie 9 proc. ściągnięć dotyczy płatnych aplikacji mobilnych. W jaki więc sposób są generowane te wszystkie pieniądze? Przede wszystkim aplikacje mobilne są wykorzystywane do zbierania informacji na nasz temat. Proces wygląda mniej więcej następująco. Instalujemy na naszym smart fonie/tablecie jakąś darmową grę. Podczas instalacji akceptujemy regulamin (oczywiście nie czytając go) i w ten sposób zgadzamy się na pozyskiwanie informacji z naszego telefonu. Obecnie, instalując aplikacje mobilne za pomocą np. Sklepu Google Play widzimy do jakich informacji będzie miała dostęp określona aplikacja. W tym miejscu pojawia się pytanie dlaczego „gra X” ma mieć dostęp do naszych zdjęć, informacji o połączeniu wi-fi, zakupów dokonywanych w innych aplikacjach, lokalizacji itp. Jest to prawdziwa cena instalowanej gry. Aplikacje mobilne zwierają ukryte logarytmy śledzące nasze zachowania i tworzące profil naszej osoby. W skład profilu wchodzą takie dane jak preferencje zakupowe, jakie strony internetowe są przez nas odwiedzane i wiele innych informacji na nasz temat. Następnie tego typu informacje są sprzedawane firmom marketingowym, które mogą wysyłać już sprofilowane reklamy.

Pierwszym pytaniem na jakie powinniśmy odpowiedzieć, to czy wskazany wyżej zakres informacji stanowi dane osobowe. Zgodnie z ustawą o ochronie danych osobowych, dane osobowe to  wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. W mojej ocenie, informacje przetwarzane przez aplikacje mobilne mogą stanowić dane osobowe w rozumieniu ustawy o ochronie danych osobowych.

Czy więc opisane działania są zgodne z polskimi przepisami (co prawda z 1997 roku)? Analizując wybrane aplikacje mobilne muszę stwierdzić, że niestety ale nie. Naruszeniu ulega wiele przepisów ustawy o ochronie danych osobowych.

Przede wszystkim nie wiemy – jako użytkownicy do jakich dokładnie danych będzie miała dostęp aplikacja i w jaki sposób zostanę te dane wykorzystane. Czyli nie jest spełniony obowiązek informacyjny w rozumieniu artykułu 24 ustawy o ochronie danych osobowych. Kolejnym uchybieniem jest udostępnianie danych na nasz temat innym podmiotom. I w tym miejscu pojawia się nowe pytanie – kto ma właściwie dostęp do danych osobowych pozyskiwanych z aplikacji mobilnych? Istnieją cztery główne podmioty, które mogą być wyróżnione. Są to: twórcy aplikacji (włączając właścicieli aplikacji), producenci urządzeń oraz systemów operacyjnych („producenci OS oraz urządzeń), sklepy z aplikacjami (dystrybutorzy aplikacji) oraz inne strony zaangażowane w przetwarzanie danych osobowych.[1] Warto pamiętać, iż zgodnie ze stanowiskiem GIODO i wyrokami sąd udostępnienie danych osobowych w celach marketingowych innym podmiotom może się odbyć wyłącznie za naszą zgodą. Z własnego doświadczenia mogę powiedzieć, że żadna aplikacja nie poprosiła mnie o wyrażenie takiej zgody. Kolejnym naruszeniem jakie może mieć miejsce to transfer danych do kraju trzeciego. Dane pochodzące z aplikacji mobilnych mogą być przechowywane na serwerach w krajach tzw. trzecich jak np. Indie, Chiny czy USA.  Zgodnie z polskimi przepisami jeżeli taki transfer ma miejsce to powinny zostać spełnione określone wymagania np. zgodę na transfer powinien wyrazić GIODO. Problematyczne jest również przestrzeganie zasady adekwatności.

Problem ochrony danych osobowych został zauważony przez  rzeczników ochrony danych i prywatności biorących udział w 35 Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności. Twórcy oprogramowania mają się zastanawiać, czy ich produkty nie naruszą prywatności użytkowników. Zobaczymy na ile branża wytwarzająca aplikacje mobilne weźmie sobie do serca uwagi i postulaty rzeczników …

[1] Opinia 2/2013 w sprawie aplikacji mobilnych Grupy Roboczej art. 29 ds. Ochrony Danych