26.01.2021

RODO – co działo się w 2020 roku?

RODO – co działo się w 2020 roku?

Rok 2020 był rokiem wyzwań, ale i ciekawych wydarzeń pod kątem ochrony danych osobowych. Przedstawiamy subiektywne podsumowanie tego, co w kwestiach RODO przykuło naszą uwagę w 2020 roku nie tylko w Polsce, ale i za granicą.

 

  1. RODO w obliczu COVID- 19.

W marcu wielu przedsiębiorców zrezygnowało z pracy stacjonarnej w biurach, aby przejść na pracę w trybie home office. W niektórych branżach przyzwyczajonych do takiego systemu pracy (np. gamedev, IT) poszło to „gładko”. Ale wiele firm nie było na to gotowych. Dokumenty zawierające często dane klientów / kontrahentów opuściły siedziby wielu przedsiębiorstw. Tym samym po wielokroć zwiększeniu uległo ryzyko dotarcia danych do osób trzecich – współlokatorów, znajomych, członków rodziny pracownika, co w świetle przepisów RODO jest niedopuszczalne. Pracownicy musieli często wykonywać swoje obowiązki służbowe na własnym, domowym sprzęcie komputerowym, często nie przystosowanym do standardów ochrony danych przewidzianych przez RODO. Konieczne okazało się szkolenie pracowników oraz wdrażanie nowych systemów ochrony danych w wielu przedsiębiorstwach.

Z kolejnymi miesiącami pojawiały się kolejne wątpliwości – dot. możliwości kontrolowania kierunków podróży pracowników, weryfikowania temperatury ciała osób wchodzących do budynku firmy, czy też kwestia informowania zespołu o kolejnych zakażeniach wirusem COVID i danych osób, których zakażenia dotyczą.  Okazało się, że podstawą zapytania pracownika o kierunek podróży może być art. 6 ust. 1 lit. f) RODO, tj. prawnie uzasadniony interes administratora, na podstawie art. 9 RODO ust. 1 lit. h RODO (niezbędność dla celów medycyny pracy i oceny pracownika zdolności do pracy) możliwe jest zmierzenie temperatury ciała pracownika a ze względu na treść art. 9 ust. 2 lit b) oraz i) pracodawca może informować swój zespół o zakażeniu współpracownika nie ryzykując tym samym wielomilionowej kary za naruszenie obowiązku ochrony danych.

  1. Nie każdy marzy o miejscu na liście Forbesa.

Odchodząc od kwestii dotyczących COVID-19, a jednocześnie spoglądając na sprawy dotyczące RODO poza granicami RP, warto zwrócić uwagę na sprawę, która znalazła swój finał w 2020 roku na terenie Węgier – 23 lipca 2020 r. NAIH (z węg. Nemzeti Adatvédelmi és Információszabadság Hatóság – Krajowy Urząd Ochrony Danych i Wolności Informacji) ogłosił nałożenie dwóch administracyjnych kar pieniężnych za naruszenie przepisów RODO przez wydawcę węgierskiej edycji czasopisma „Forbes”. Naruszenie dotyczyło w obydwu przypadkach kwestii listy najbogatszych obywateli Węgier.

Właściciel firmy produkującej napoje energetyczne HELL Energy – Ernő Barabás zdecydował się podjąć kroki prawne zmierzające do usunięcia z treści czasopisma Forbes wszelkich informacji o jego rodzinie oraz firmie Hell Energy. Nazwisko Barabás pojawiło się w treściach takich artykułów węgierskiego Forbesa jak zestawienie 33 najbogatszych Węgrów czy lista 25 największych rodzinnych przedsiębiorstw na Węgrzech. Ernő Barabás wnioskował o usunięcie informacji o jego rodzinie, sytuacji finansowej oraz prowadzonej firmie z list.

Wydawca bronił się tym, że rankingi najbogatszych Węgrów i ich firm należy zaliczyć do zakresu prawnie uzasadnionego interesu „Forbesa”, koniec końców taka linia obrony okazała się nieskuteczna i konflikt zakończył się triumfem rodziny Barabás.

  1. RODO w obliczu Brexitu

Oprócz tego, co wydarzyło się w 2020 roku i jest już za nami, warto spojrzeć w przyszłość i przypomnieć o fakcie, jakim stał się BREXIT. Transfer danych osobowych okazuje się rzecz jasna jednym z kluczowych problemów jakie pojawiają się w związku z opuszczeniem UE przez Wielką Brytanię.

Wielka Brytania nie będzie traktowana jako państwo trzecie w kontekście swobody przepływu danych do 1 lipca 2021 r., w związku z tym nie będzie konieczne poszukiwanie w RODO podstaw prawnych do transferu danych.  Do lipca kwestie RODO w odniesieniu do Wielkiej Brytanii będą zatem wyglądać tak, jakby Wielka Brytania wciąż była państwem członkowskim UE.

Na ten moment wciąż nie wiadomo jak kwestie związane z przetwarzaniem danych będą wyglądać po 1 lipca 2021 roku. Komisja Europejska zadeklarowała chęć niezwłocznego zastosowania procedury w zakresie uznania Wielkiej Brytanii za państwo zapewniające odpowiedni poziom ochrony danych osobowych. Jeżeli procedura nie zostanie wdrożona i decyzja w kwestii bezpieczeństwa danych na terenie Zjednoczonego Królestwa nie zapadnie w odpowiednim momencie, transfer danych będzie oczywiście możliwy, ale będzie się wiązać z dodatkowymi zabezpieczeniami, obowiązkami informacyjnymi oraz będzie traktowany jako transfer o charakterze sporadycznym.

Na ten moment deklaracje KE dotyczące planowanego uznania Wielkiej Brytanii za państwo zapewniające odpowiednią ochronę danych pozostają jedynie zapowiedzią, dlatego przedsiębiorcy, mający do czynienia z transferem danych do Zjednoczonego Królestwa powinni przygotować się na możliwość wystąpienia dwóch scenariuszy, zarówno lepszego, jak i gorszego.

Aktualne traktowanie Wielkiej Brytanii w kwestii RODO na zasadach państwa członkowskiego jest możliwe dzięki wyjątkowemu i ostatniemu przedłużeniu okresu przejściowego w tym zakresie. Jeżeli Komisja Europejska podejmie decyzję o uznaniu Wielkiej Brytanii za państwo zapewniające odpowiednią ochronę danych przed 1 lipca 2021, okres przejściowy zostanie odpowiednio skrócony. Aktualnie kwestia przetwarzania danych pomiędzy krajami członkowskimi UE a Wielką Brytanią jest regulowana przez Artykuł FINPROV.10A [Interim provision for transmission of personal data to the United Kingdom] Umowy o handlu i współpracy między Unią Europejską i Europejską Wspólnotą Energii Atomowej z jednej strony a Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej z drugiej.

  1. Najsłynniejsze kary

W roku 2020 r. pomimo trudności związanych z wykonywaniem kontroli przez PUODO na skutek pandemii, pojawiło się wiele ciekawych postepowań, z których znacząca część zakończyła się karami. Poniżej krótkie subiektywne zestawienie.

LP Ukarany Wys. Przedmiot naruszenia Opis i uwagi
1 TUiR Warta S.A. 85.588 zł Niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych które miało miejsce. Anonimowa osoba zgłosiła naruszenie polegające na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla TUiR Warta, polisy ubezpieczeniowej do nieuprawnionego adresata. Załączony dokument zawierał dane osobowe m.in. imiona, nazwiska, adresy zamieszkania, numery PESEL oraz informacje dotyczące przedmiotu ubezpieczenia (samochód osobowy).
2 Virgin Mobile Polska  1,9 mln zł Brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych. Możliwe, że wyciekły dane ponad 100 tys. osób. Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Działania w tym zakresie były podejmowane jedynie przy okazji pojawiających się podejrzeń zaistnienia podatności, czy w związku ze zmianami organizacyjnymi. Ponadto, nie były przeprowadzone testy weryfikujące zabezpieczenia związane z przekazywaniem danych między aplikacjami.
3 Szkoła Podstawowa nr 2  w Gdańsku 20.000 zł Niezgodne z prawem przetwarzanie danych biometrycznych uczniów. W szkole wykorzystywano biometryczne skanery linii papilarnych do uwierzytelnienia uczniów w procesie płatności w szkolnej stołówce. Przy pomocy czytnika identyfikowano dzieci pobierające posiłki, aby potem zweryfikować uiszczenie opłaty za posiłek w danym dniu. Dane były zbierane na podstawie pisemnej zgody rodzica – w efekcie z takiego sposobu weryfikacji korzystało 680 uczniów, a czterech uczniów posługiwało się alternatywnym systemem identyfikacji. Zdaniem prezesa UODO dane uczniów o charakterystycznych punktach linii papilarnych palców przetworzone do postaci zapisu cyfrowego stanowią dane biometryczne w rozumieniu art. 4 pkt 14 RODO, a szkoła nie ma podstaw aby takie dane gromadzić i wykorzystywać.
4  Śląski Uniwersytet Medyczny 25.000 zł Naruszenia obowiązku ochrony danych, oraz niepowiadomienie o naruszeniu organu nadzoru i osób, których dotyczyło naruszenie. Podczas egzaminów, odbywających się pod koniec maja 2020 r., w formie wideokonferencji, miała miejsce identyfikacja studentów. Po zakończonym egzaminie nagrania z niego były dostępne nie tylko dla osób egzaminowanych, ale i innych – mających dostęp do systemu. Ponadto wykorzystując bezpośredni link każda osoba postronna mogła mieć dostęp do nagrań z egzaminów i przedstawionych podczas identyfikacji danych egzaminowanych studentów.
5  ID Finance Poland sp. z o.o., właściciel serwisu pożyczkowego MoneyMan.pl 1 mln zł Niewdrożenie odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności danych osobowych. Do wycieku doszło w marcu 2020 r. po tym, jak po restarcie serwera nie przywrócono właściwej konfiguracji zabezpieczeń. Podatność na atak wykrył jeden ze specjalistów ds. cyberbezpieczeństwa, który przekazał administratorowi przykłady dostępnych publicznie informacji. Administrator zamiast sprawdzić, czy z zabezpieczeniami jest wszystko w porządku, uznał, że to próba wyłudzenia danych i zlekceważył doniesienie. Wykorzystał to haker, który po skopiowaniu plików usunął je z sieci i za ich odzyskanie zażądał okupu.
6 Spółka administrująca wspólnotą mieszkaniową – WSA w Warszawie oddalił skargę na decyzję prezesa UODO 8.000,00 zł Przetwarzanie danych osobowych pochodzących z monitoringu zainstalowanego na terenie wspólnoty bez zawartej w tym celu umowy. Brak odpowiednich środków organizacyjnych i technicznych do kontroli udostępniania nagrań. Choć spółka uwzględniła zarzuty i zawarła stosowne umowy, nie uniknęła kary. Prezes UODO podkreślił, że kara ma charakter odstraszający, ma zapobiec przyszłym naruszeniom.
7 Główny Geodeta Kraju

 

100.000 zł (kara maksymalna dla jednostki sektora finansów publicznych) Udostępnianie na portalu o nazwie „GEOPORTAL” („geoportal.gov.pl”) bez podstawy prawnej danych osobowych w zakresie numerów ksiąg wieczystych pozyskanych z ewidencji gruntów i budynków. Jest to druga kara nałożona przez organ nadzorczy na GGK w przeciągu niespełna dwóch miesięcy i w obu przypadkach wysokość kary jest maksymalna. Obie kary związane są z funkcjonowaniem GEOPORTALU. Organ nadzorczy ustalił, że GGK publikuje informacje pozyskane z ewidencji gruntów i budynków (w tym numery ksiąg wieczystych) z 90 starostw powiatowych, które nie posiadają jeszcze własnej infrastruktury technicznej. Dane osobowe udostępniane są za pośrednictwem portalu przynajmniej od 2019 r. GGK podczas postępowania nie wskazał przepisu prawa, który stanowiłby podstawę prawną jego działania. Jednocześnie żaden z przepisów regulujących kwestie związane z działalnością GGK nie daje mu możliwości publikowania w ramach GEOPORTAL danych pozyskanych ze starostw.

 

  1. Prewencja przede wszystkim

Wyliczenie  (jedynie części) naruszeń danych osobowych, z którymi mieliśmy  do czynienia w ubiegłym roku warto zakończyć wskazówką – jak uniknąć ryzyka padnięcia ofiarą naruszenia ochrony, czy nawet kradzieży, danych w nadchodzącym roku. Oprócz stosowania ogólnych zasad bezpieczeństwa – warto rozważyć zastrzeżenie numeru PESEL poprzez serwis bezpiecznypesel.pl. Serwis został uruchomiony w 2017 r. we współpracy CRIF Sp. z o.o. z Polskim Związkiem Instytucji Pożyczkowych jako środek edukacji społeczeństwa w zakresie bezpieczeństwa finansowego i przeciwdziałania zjawisku nadmiernego zadłużania Polaków. Od tego czasu serwis zapobiegł wyłudzeniom na łączną kwotę ponad 50 mln PLN. Zastrzeżenie numeru PESEL poleca się w szczególności w celu ochrony przed kradzieżą tożsamości, a co za tym idzie w celu zapobiegania możliwości wyłudzania pożyczek w instytucjach pożyczkowych. Zastrzeżenie może być kluczowe szczególnie w sytuacji utraty dokumentów – uniemożliwia działanie na naszą szkodę osób, które dokumenty mogły ukraść bądź znaleźć. Zastrzegane dane trafiają do Systemu CRIF (baza danych) i służą weryfikacji konsumentów zaciągających pożyczki. Raz zastrzeżony numer PESEL jest chroniony w naszej bazie do czasu, kiedy samodzielnie cofnięte zostanie zastrzeżenie numeru PESEL lub zgłoszenie utraty dokumentów. Zastrzeżenia numeru PESEL można dokonać łatwo i szybko korzystając z komputera lub smartfona.