Kary wynikające z RODO - można ich uniknąć

Milczenie czy udzielanie niejasnych lub niepełnych odpowiedzi może spowodować więcej szkód niż pożytku. Dlatego najważniejsze jest, by współpracować z organem, i to zarówno na etapie żądania wyjaśnień, jak i w trakcie kontroli.

Od 25 maja 2018 r. w krajach Unii Europejskiej obowiązują nowe zasady dotyczące przetwarzania danych osobowych wynikające z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

W wielu aspektach zasady te nie były rewolucją w zakresie ochrony danych osobowych – rewolucyjne było jednak wprowadzenie reżimu bardzo wysokich administracyjnych kar pieniężnych, które zgodnie z art. 83 ust. 5 RODO mogą sięgać aż 20 mln euro lub do 4 proc. całkowitego rocznego światowego obrotu podmiotu z poprzedniego roku obrotowego. Na ten moment w Polsce najwyższa kara wyniosła aż 4,9 mln zł i była konsekwencją znaczącego naruszenia ochrony danych osobowych. W skali europejskiej najwyższa administracyjna kara pieniężna miała wysokość 746 mln euro – przy czym dotyczyła ona naruszeń w zakresie zasad przetwarzania danych, w tym transparentności, a nie naruszenia ochrony danych (np. wycieku).

Po czterech latach stosowania RODO nie ulega wątpliwości, że jest to rozporządzenie, którego przestrzeganie jest nie tylko istotne ze względu na ochronę praw człowieka, ale również wymuszane przez aktywne działania zarówno obywateli Unii, organizacji pozarządowych, jak i samych unijnych organów nadzorczych. Jak wobec tego zmniejszyć ryzyko nałożenia takiej administracyjnej kary pieniężnej?

Po pierwsze: compliance

Na pierwszym miejscu, gdy chodzi o sposoby na uniknięcie administracyjnej kary pieniężnej z RODO, znajduje się po prostu zgodność z przepisami. Przepisy RODO są sformułowane w duchu neutralności technologicznej oraz podejścia opartego na ryzyku – są więc często bardzo ogólne i muszą zostać wyłożone i wdrożone przez samego administratora danych osobowych i na jego ryzyko. Z pomocą na gruncie polskim może nam przyjść analiza sprawozdania z działalności prezesa Urzędu Ochrony Danych Osobowych z 2021 r. Na podstawie sprawozdania możemy wysnuć wniosek, że istotnymi w 2021 r. kwestiami, z którymi nie zawsze radzili sobie administratorzy danych, były:

• kopiowanie dowodów osobistych – organ nadzorczy zajął ponownie wyraźne stanowisko w zakresie zakazu kopiowania dowodów osobistych – ze względu na zasadę minimalizacji danych, przy czym podobnych kontrowersji dotyczyło również transgraniczne postępowanie w sprawie jednej z litewskich spółek, która żądała zdjęć dowodów osobistych użytkowników; zdaniem organu kopiowanie dowodów osobistych jest sprzeczne z zasadą minimalizacji danych, gdyż na takich dokumentach znajduje się często więcej danych niż niezbędne do osiągnięcia celu przez administratora;

• odwołanie zgody – odwołanie musi być proste i łatwe, co najmniej tak samo, jak jej wyrażenie; znalazło to potwierdzenie w karze nałożonej na jedną ze spółek w kwocie ponad 200 tys. zł (obecnie na etapie skargi kasacyjnej), która w opinii organu nadzorczego znacząca utrudniała wycofywanie zgody;

• konieczność zapewnienia ram bezpieczeństwa przez administratora i egzekwowanie ich od pracowników – o czym przekonało się jedna z uczelni; podmiot ten próbował bezskutecznie przerzucić odpowiedzialność za niewdrożenie odpowiednich środków zabezpieczających (np. szyfrowanie dysku, pendrive) na swoich pracowników;

• jasne i jednoznaczne odpowiedzi na zapytania podmiotów oraz zwięzła komunikacja – o czym przekonali się administratorzy zarówno w kontekście udzielania dostępu do danych, w tym w nieodpowiedniej formie (np. pisemnie/elektronicznie) oraz podmioty udzielające informacji o przetwarzaniu danych w sposób niejasny (np. zbiorczy dla wszystkich kategorii osób, których dane przetwarzają);

• zapewnienie podstawy prawnej przetwarzania – czy to w zakresie marketingu, czy monitoringu wizyjnego (przepisy kodeksu pracy);

• zapewnienie bezpieczeństwa danych – w 2021 r. do organu nadzorczego wpłynęło aż 12 946 zgłoszeń naruszeń ochrony danych, z których wiele dotyczyło takich kwestii, jak błędne wysłanie korespondencji pisemnej czy elektronicznej, zagubienie korespondencji czy jej otwarcie przed zwrotem do adresata, ale także wynikające z ataków ransomware.

Długa lista wymogów

Jeżeli chodzi o kwestie środków zabezpieczających i ich regularnego testowania, przez dłuższy czas ustalenie zakresu oczekiwań organu nadzorczego było bardzo trudne. Jednak ze sprawozdania z działalności prezesa Urzędu Ochrony Danych Osobowych w 2021 r. możemy wnioskować, że następujące środki zabezpieczające są postrzegane jako kluczowe:

• wdrożenie polityk bezpieczeństwa,
• stosowanie odpowiednich polityk haseł,
• stosowanie środków kryptograficznych, w tym szyfrowanie plików i nośników, w tym załączników do e-maili,
• ciągłe monitorowanie bezpieczeństwa systemów teleinformatycznych, a także przeprowadzanie okresowych testów bezpieczeństwa,
• stosowanie systemów antyspamowych i antywirusowych,
• monitorowanie przepływu danych z i na nośniki danych,
• stosowanie dwuskładnikowego uwierzytelnienia,
• prowadzenie dokumentacji opisującej sposób przetwarzania danych i wdrożenie polityki ochrony danych, prowadzenie dokumentacji naruszeń i rejestrów czynności przetwarzania danych,
• wyznaczenie inspektorów ochrony danych,
• dbałość o odpowiednie udzielanie upoważnień do przetwarzania danych i dostępów do systemów z danymi osobowymi,
• wdrożenie procedur i wymaganie od podmiotów uzupełniania i aktualizowania ich danych osobowych, aby zapewnić ich prawidłowość,
• dokładna anonimizacja, która faktycznie będzie nieodwracalna; często nadal spotyka się na rynku błędne rozumienie anominizacji i mylenie jej z procesami odwracalnymi.

Compliance ma szczególne znaczenie z tego względu, że kontrole i następnie postępowania organu nadzorczego są inicjowane bardzo często w efekcie skargi osoby, której dane dotyczą. W 2021 r. takich skarg złożono 8318 (w 2020 r. tylko 1876). Szczególnie w tym zakresie narażone są takie sektory, jak bankowość, ubezpieczenia i telekomunikacyjny.

Po drugie: współpraca i kwestionowanie decyzji

W 2021 r. prezes Urzędu Ochrony Danych Osobowych przeprowadził kontrole w 22 podmiotach zainicjowanych zarówno przez skargi osób, jak i w ramach własnego działania, w tym zaplanowanych kontroli sektorowych. Przeprowadzono także 49 postępowań administracyjnych w sprawie naruszenia ochrony danych osobowych.

Niezwykle istotne jest, aby zarówno na etapie żądania wyjaśnień, w trakcie kontroli i po wszczęciu postępowania administracyjnego współpracować z organem nadzorczym. Praktyka pokazuje, że milczenie czy udzielanie niejasnych i niepełnych odpowiedzi może spowodować więcej szkody niż pożytku. W 2021 r. spośród 18 kar pieniężnych ze strony prezesa Urzędu Ochrony Danych Osobowych aż siedem zostało nałożonych właśnie za brak współpracy z organem. Utrudnianie działań kontrolnych jest również zagrożone sankcją karną wynikająca z art. 108 ustawy o ochronie danych osobowych.

Naprawa niezgodnych z prawem działań w trakcie kontroli czy postępowania administracyjnego nie jest niestety gwarancją uniknięcia kary, jednak może pozytywnie wpłynąć na jej wymiar. W uzasadnieniach decyzji prezesa Urzędu Ochrony Danych Osobowych można odnaleźć informacje o takich działaniach naprawczych w trakcie kontroli, które były oceniane pozytywnie. Warto także pamiętać, że wśród środków naprawczych przysługujących organowi nadzorczemu mamy nie tylko administracyjne kary pieniężne, lecz także upomnienia, które często są kierowane przez prezesa Urzędu Ochrony Danych Osobowych do podmiotów publicznych.

Warto także wspomnieć, że znaczenie mają również działania naprawcze administratorów w zakresie zmitygowania skutków zaistniałego już naruszenia ochrony danych, co potwierdził wojewódzki sąd administracyjny w wyroku uchylającym decyzję w sprawie jednego z operatorów sieci komórkowych. W przypadku kontroli warto pamiętać o zgłaszaniu zastrzeżeń do protokołu, które mogą być pomocne w przypadku kwestionowania decyzji organu.

Wreszcie, jeśli dojdzie już do wydania decyzji przez organ nadzorczy, należy pamiętać o możliwości jej zaskarżenia oraz fakcie, że każda kolejna decyzja ostateczna (czy to upomnienie, czy kara pieniężna) będzie miała negatywny wpływ na ewentualną kalkulację przyszłych kar. W 2021 r. wniesiono 225 skarg na decyzje prezesa Urzędu Ochrony Danych Osobowych, tj. ponad dwa razy więcej niż w roku poprzedzającym, a w zakresie 49 decyzji złożono skargi kasacyjne. Choć praktyka zarówno urzędu, jak i sądów administracyjnych jak na razie jest niejednolita, znacząca liczba administratorów odnosi sukces w sądzie, nawet jeśli tylko częściowy.

Prawo do ochrony

Kwestia zgodności z przepisami o ochronie danych osobowych powinna być istotna dla administratorów nie tylko ze względu na zagrożenie administracyjną karą pieniężną, ale przede wszystkim ze względu na ochronę prawa człowieka, jakim jest prawo do ochrony danych osobowych. W 2021 r. administratorzy borykali się z wieloma problemami, często o podstawowym znaczeniu – takimi jak dobór podstawy prawnej, jasne udzielanie informacji czy zapewnienie łatwego wycofania zgody. Wielu administratorów boryka się także z problemami związanymi z bezpieczeństwem danych. W 2021 r. wiele naruszeń ochrony danych dotyczyło błędów w obsłudze przesyłek papierowych przez pocztę i kurierów, ale także naruszeń wynikających z działań hakerskich, w tym z ataków ransomware. Zapewnienie bezpieczeństwa cyfrowego jest kluczowe dla każdej organizacji, a jego rosnące znaczenie widzimy również na poziomie legislacji unijnej, gdzie uchwalane są kolejne akty prawne dotyczące naszego bezpieczeństwa cyfrowego (np. Cyber Resilience Act, dyrektywa NIS 2, DORA). Zapewnienie zgodności z prawem w tych zakresach powinno znacząco zminimalizować ryzyko nałożenia administracyjnej kary pieniężnej przez organ nadzorczy. W przypadku jednak niepowodzenia, warto pamiętać zarówno o zgłaszaniu zastrzeżeń do protokołu pokontrolnego, jak i środkach zaskarżenia, takich jak skarga do wojewódzkiego sądu administracyjnego i skarga kasacyjna.