Prawie rok temu Urząd Ochrony Danych Osobowych nałożył na Bisnode Polska Sp. z o.o. karę w wysokości ok. miliona złotych. Decyzja UODO dotyczyła w głównej mierze braku wykonania przez Bisnode obowiązku informacyjnego, o którym mowa w art. 14 RODO.
Bisnode to firma gromadząca dane z publicznie dostępnych rejestrów, która na ich podstawie tworzy raporty gospodarcze itp. W związku z powyższym, zgodnie z art. 14 RODO, na Bisnode ciąży obowiązek poinformowania osób o przetwarzaniu ich danych. W tym miejscu należy przypomnieć, że w przypadku, gdy administrator nie pozyskuje danych bezpośrednio od osób, może zrezygnować z wykonywania obowiązku informacyjnego, o ile udzielenie informacji jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Wówczas konieczne jest powzięcie odpowiednich środków by chronić prawa i wolności oraz prawnie uzasadnione interesy osób, których dane są przetwarzane, w tym udostępnienie informacji publicznie.
Jak można się domyślić, Bisnode wyszedł z założenia, że poinformowanie wszystkich osób, których dane pozyskał z dostępnych rejestrów, pociągnęłoby za sobą ogromne koszty. Według prezesa spółki, w celu spełnienia obowiązku informacyjnego w bezpośredni sposób, firma musiałaby wydać ok. 22 mln złotych. Interpretacji Bisnode nie podzielił UODO, który nałożył na spółkę karę. Co było do przewidzenia, firma wniosła do WSA skargę na decyzję organu nadzorczego. Niedawno poznaliśmy wyrok sądu oraz jego uzasadnienie.
Sąd zaaprobował wykładnię urzędu dotyczącą pojęcia niewspółmiernego dużego wysiłku. Zdaniem WSA, z niewspółmiernie dużym wysiłkiem mamy do czynienia, gdy udzielenie informacji, o których mowa w art. 14 ust. 1 i 2 RODO jest obiektywnie możliwe, ale niebywale utrudnione (graniczące z brakiem możliwości udzielenia informacji). Administrator, aby udzielić tych informacji, zmuszony byłby do podjęcia szeregu działań, które zmierzałyby dopiero do tego, aby udzielenie informacji stało się możliwe. Zakres tych działań (czynności) musiałby mieć przy tym olbrzymią skalę. Ponadto WSA stwierdził, że przez niewspółmiernie duży wysiłek nie można na gruncie RODO rozumieć kosztu (tak organizacyjnego, który stanowi w istocie o sposobie zorganizowania przez administratora w ramach prowadzonej działalności, wykonania tego zadania, jak i finansowego) dopełnienia w pełni możliwego do realizacji obowiązku z art. 14.
Trudno jest pogodzić się z podejściem WSA. W przypadku administratorów danych, którzy prowadzą działalność gospodarczą, w rzeczywistości każdy wysiłek jest wysiłkiem finansowym. Wydaje się, że dla WSA niewspółmiernie duży wysiłek stanowi pojęcie abstrakcyjne i zupełnie oderwane od zasadniczego celu podmiotu prowadzącego działalność gospodarczą, którym jest osiąganie zysków. Oczywiście konieczność poniesienia jakiegokolwiek wydatku nie może być sposobem na obejście obowiązku określonego w art. 14. Jednak oprócz uwzględnienia interesów osób, których dane są przetwarzane, sąd powinien rozważyć możliwości finansowe administratora danych oraz koszty, z jakimi wiązałoby się bezpośrednie poinformowanie osób. Jeśli dotychczasowe podejście UODO oraz WSA utrwali się na dobre, racjonalny wyjątek dotyczący niewspółmiernie dużego wysiłku stanie się w Polsce martwym przepisem. Świadomie wspominam o naszym kraju, ponieważ jak twierdzi w jednym z wywiadów prezes Bisnode Polska Sp. z o.o., organy nadzorcze w innych państwach nie miały zastrzeżeń, co do sposobu przetwarzania danych przez spółki prowadzące podobną działalność.
RODO wprowadziło nieznany dotąd obowiązek zgłaszania naruszeń ochrony danych osobowych. Od 25 maja 2018 roku administratorzy danych zobowiązani są bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, do zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych. Od powyższego obowiązku można odstąpić, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Kwestia zgłaszania naruszeń budzi wiele pytań, na które trudno odpowiedzieć w jednym miejscu. Dlatego w niniejszym wpisie chciałbym skupić się na wybranym zagadnieniu, a mianowicie na ocenie naruszenia.
Oceny można dokonywać według wielu rozmaitych kryteriów, korzystając z mniej lub bardziej skomplikowanych metodologii czy algorytmów. W efekcie nie ma jednoznacznej odpowiedzi, jak przeprowadzać taką ocenę. Pomocne mogą być zatem wytyczne Grupy roboczej art. 29 numer WP250rev.01, które dotyczą tematyki zgłaszania naruszeń.
Oto lista kryteriów, które zgodnie z wytycznymi administrator powinien brać pod uwagę podczas przeprowadzania analizy ryzyka wynikającego z naruszenia.
Rodzaj naruszenia – czy naruszenie wiąże się z utratą poufności, dostępności, integralności danych itp. Inną wagę może mieć naruszenie polegające na ujawnieniu danych, a inną na utracie dostępu do danych.
Charakter, wrażliwość i ilość danych – czy naruszenie dotyczy danych zwykłych czy szczególnych kategorii danych np. dotyczących zdrowia lub orientacji seksualnej? Ponadto znaczenie ma ilość danych – ryzyko naruszenia praw lub wolności wzrasta, gdy naruszenie dotyczy całego zestawu danych.
W przypadku tego kryterium możemy posłużyć się przykładem sklepu internetowego. Inaczej oceniany byłyby wyciek danych dotyczących zakupów ubrań czy artykułów gospodarstwa domowego, a inaczej listy leków zamówionych w aptece internetowej, w szczególności dotyczących nietypowych chorób.
Łatwość identyfikacji osób – jak łatwo można dokonać identyfikacji osoby, której dotyczy naruszenie. Czy identyfikacji można dokonać bezpośrednio czy pośrednio?
Cechy szczególne danej osoby fizycznych – czy mamy do czynienia z osobą, której nietypowe cechy lub sytuacja, w której się znajduje, zwiększa ryzyko naruszenia jej praw lub wolności? Można śmiało założyć, że ujawnienie danych adresowych znanego polityka rodzi większe zagrożenie dla jego praw lub wolności niż w przypadku opublikowania danych osoby, która nie jest powszechnie znana.
Liczba osób fizycznych, na które naruszenie wywiera wpływ – zazwyczaj potencjalny wpływ naruszenia wzrasta wraz z liczbą osób, których ono dotyczy. Kradzież listy zawierającej adresy mejlowe 20 klientów banku rodzi mniejsze zagrożenie niż wyciek listy z danymi tysięcy osób. Zagrożeniem może być na przykład nielegalna sprzedaż listy w celu wykonywania działań marketingowych.
Waga konsekwencji naruszenia – czy w wyniku naruszenia może dojść do zagrożenia życia lub zdrowia osoby, cierpień psychicznych, szkody finansowej, naruszenia jej dobrego imienia itp. Ponadto, jak trwałe są konsekwencje naruszenia?
Jak widać, dokonując oceny naruszenia, należy wziąć pod uwagę wiele czynników. W skrócie można stwierdzić, że przeprowadzając analizę incydentu, z którym wiąże się naruszenie ochrony danych osobowych, musimy odpowiedzieć sobie na pytanie, jaką krzywdę może wyrządzić naruszenie oraz jakie jest prawdopodobieństwo, że taka krzywda wystąpi.
Oczywiście tak jak w przypadku i innych przepisów RODO, musimy poczekać na orzeczenia sądów oraz decyzje organów nadzorczych. Możemy być jednak pewni, że ocena naruszeń jeszcze długo będzie powodować wiele problemów, gdyż każdy podmiot, który przetwarza dane może interpretować określone zdarzenie w różny sposób.
Nie spotkałem się z przedsiębiorcą, który dyskutując o RODO, nie poruszyłby kwestii kar za nieprawidłowe przetwarzanie danych osobowych oraz ich ewentualnych wysokości. Na szczęście dla wszystkich ciekawych pojawiają się już pierwsze decyzje organów nadzorczych, na podstawie których na administratorów nakładane są kary pieniężne. Jedną z nich jest decyzja Comissão Nacional de Proteção de Dados (Komisja Ochrony Danych) – odpowiednika polskiego Urzędu Ochrony Danych Osobowych.
Organ ten postanowił nałożyć 400 000 EUR kary na szpital, który nieprawidłowo zarządzał dostępami do danych swoich pacjentów, w tym zawierających informacje o ich zdrowiu. Okazało się, że w systemie informatycznych założonych było 985 kont umożliwiających dostęp do danych, mimo że liczba osób uprawnionych wynosiła 296.
Szpitalowi zarzucono brak odpowiednich procedur tworzenia kont oraz regulowania dostępu do danych. Ponadto według Komisji Ochrony Danych szpital nie dokonywał weryfikacji, czy konta byłych lekarzy zostały usunięte.
Oczywiście nie jest to decyzja ostateczna, zaś władze szpitala kwestionują jej zasadność. Niemniej orzeczenie portugalskiego organu daje nam pewne wyobrażenie o wysokości kar i może mieć wpływ również na podejście innych organów.
