W ubiegłym roku Prezes Urzędu Ochrony Danych Osobowych nałożył kary pieniężne za naruszenie przepisów dotyczących ochrony danych osobowych na kilkanaście podmiotów. Administratorzy danych osobowych powinni przeanalizować podjęte przez organ rozstrzygnięcia, aby uchronić się przed ewentualnymi konsekwencjami poczynań niezgodnych z przepisami RODO.

Obowiązek zgłaszania naruszeń

Przede wszystkim administratorzy danych osobowych muszą pamiętać o obowiązku zgłaszania naruszeń do Prezesa UODO.  Naruszenie należy zgłosić niezwłocznie, nie później niż w ciągu 72 godzin od jego stwierdzenia. Ponadto, gdy incydent wiąże się z wysokim ryzykiem naruszenia praw i wolności osoby, których dane dotyczą, również należy ją zawiadomić. W tym przypadku także należy działać bezzwłocznie.

• W decyzji nr DKN.5131.34.2021 z 6 lipca 2022 r. organ nałożył na Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego w Warszawie karę w wysokości 10.000 zł. Doszło do naruszenia poufności danych osoby wskazanej w treści skierowania do poradni specjalistycznej, które zostało wydane osobie nieuprawnionej (innemu pacjentowi). Ponadto, z uwagi na szeroki zakres ujawnionych danych (w tym nazwiska oraz numeru ewidencyjnego PESEL, a także informacji o stanie zdrowia) organ stwierdził, że wskutek zaistniałego incydentu, wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. To powoduje obowiązek poinformowania o naruszeniu osoby, której dane dotyczyły.
• Podobnie w decyzji nr DKN.5110.12.2021 z 6 czerwca 2022 r. organ uznał, że wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą następuje w sytuacji, gdy dojdzie do utraty przez administratora dokumentu w postaci świadectwa pracy pracownika. Taki dokument zawiera szeroki zakres danych o szczególnym charakterze np. dotyczący trybu i podstawy prawej rozwiązania lub wygaśnięcia stosunku pracy (w ramach przypomnienia – dane osobowe to wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej).

Skuteczne wdrożenie i uaktualnianie dokumentacji dot. danych osobowych

Samo opracowanie dokumentacji dotyczącej danych osobowych nie jest wystarczające. Konieczne jest jej wdrożenie i systematyczne uaktualnianie, wprowadzenie planowanych środków bezpieczeństwa odpowiadających ryzyku przetwarzania danych osobowych i ciągłe monitorowanie ich skuteczności.

Zwrócił na to uwagę Prezes UODO w decyzji nr DKN.5131.8.2022 z 2 listopada 2022 r. Organ nałożył na Wójta Gminy Dobrzyniewo Duże karę w wysokości 8.000 zł. Do naruszenia doszło na skutek kradzieży laptopa pracownika urzędu gminy, który zawierał dane osobowe. Z przeprowadzonego postępowania wynikało, że gmina miała opracowaną dokumentację dotyczącą ochrony danych osobowych. Przeprowadziła także analizę ryzyka procesów przetwarzania danych osobowych występujących w gminie. Stwierdzono, że korzystanie przez pracowników urzędu gminy z komputerów wynoszonych poza organizację, wiąże się z wysokim ryzykiem. Uznano je za ryzyko nieakceptowalne. Środkiem minimalizujący zdiagnozowane ryzyko miało być szyfrowanie dysku twardego komputera. Problem w tym, że nie wdrożono w praktyce tych zabezpieczeń, przynajmniej na komputerze, który został ukradziony. Komputer był jedynie zabezpieczony hasłem dostępowym. Prezes UODO uznał, że jest to niewystarczający środek bezpieczeństwa. W przypadku sprzętu wynoszonego poza organizację, na którym znajdują się dane osobowe, konieczne jest zastosowanie dodatkowych środków bezpieczeństwa, takich jak np. szyfrowanie.

Ta decyzja pokazuje, że nie wystarczy, aby dokumentacja w zakresie danych osobowych została opracowana przez administratora. Przede wszystkim musi być skutecznie wdrożona w organizacji.

Umowa powierzenia przetwarzania danych osobowych

Administrator może powierzyć przetwarzanie danych osobowych innemu podmiotowi. Musi jednak pamiętać o obowiązkowym podpisaniu umowy o przetwarzaniu danych osobowych. Ponadto należy zweryfikować, czy podmiot, któremu powierza dane spełnia gwarancje bezpieczeństwa przetwarzania danych osobowych, aby uchronić się od odpowiedzialności z tego tytułu.

W decyzji nr DKN.5131.29.2022 z  16 sierpnia 2022 r. Prezes UODO nałożył na Sułkowicki Ośrodek Kultury w Sułkowicach karę w wysokości 8.000 zł. Karę nałożono za powierzenie przetwarzania danych osobowych podmiotowi, z którym nie zawarto pisemnej umowy przetwarzania danych osobowych. Co więcej, administrator nie dokonał weryfikacji tzw. podmiotu przetwarzającego. Nie sprawdził, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych by przetwarzanie spełniało wymogi RODO  i chroniło prawa osób, których dane dotyczą.

Prezes UODO wskazał, że możliwymi sposobami zbadania, czy podmiot przetwarzający spełnia gwarancje bezpieczeństwa, są np.:

• wiedza fachowa podmiotu przetwarzającego,
• wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych,
• wiarygodność podmiotu przetwarzającego,
• zasoby podmiotu przetwarzającego oraz
• stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji, a także
• reputacja podmiotu przetwarzającego na rynku.

Weryfikacja może polegać na analizie posiadanej przez podmiot przetwarzający dokumentacji, np. polityki prywatności, warunków świadczenia usług, rejestru czynności przetwarzania, polityki zarządzania dokumentacją, polityki bezpieczeństwa informacji, sprawozdań  z zewnętrznych audytów ochrony danych, uznanych międzynarodowych certyfikatów, takich jak normy ISO 27000.

Dopiero po przeanalizowaniu powyższych kwestii, administrator powinien zawrzeć z kontrahentem umowę powierzenia przetwarzania danych osobowych. Umowa musi spełniać wymogi przewidziane w przepisach RODO. To jednak nie wszystko. Administrator przez cały okres trwania umowy powierzenia powinien monitorować, czy stosowane przez podmiot przetwarzający środki bezpieczeństwa są wystarczające, biorąc pod uwagę zakres i charakter powierzonych danych, np. poprzez audyty i inspekcje.

Trzeba pamiętać, że to administrator ponosi odpowiedzialność, zarówno za spełnienie obowiązku zawarcia umowy powierzenia przetwarzania danych osobowych w formie pisemnej, jak również za wybór odpowiedniego podmiotu przetwarzającego dane osobowe. Musi spełniać odpowiednie gwarancje ich bezpieczeństwa.

Monitoring nagrywający dźwięk

Nie można stosować monitoringu nagrywającego dźwięk, jeżeli nie ma do tego bezpośredniej podstawy prawnej. W zakresie, jaki jest niezbędny do realizacji celów administratora, możliwe jest nagrywanie jedynie obrazu.

W decyzji DKN.5131.51.2021 z 31 maja 2022 r. Prezes UODO nałożył karę na Stołeczny Ośrodek dla Osób Nietrzeźwych w Warszawie za stosowanie monitoringu rejestrującego obraz i dźwięk bez podstawy prawnej. Organ uznał, że żadne przepisy prawa nie dopuszczają możliwości nagrywania dźwięku przez ten podmiot w celu realizacji powierzonych mu zadań. Wystarczające i adekwatne jest nagrywanie jedynie obrazu. Z uwagi na to, że nagrywanie dźwięku istotnie ingeruje w prawa i wolności osób, jest to uprawnienie głównie służb państwa. Nie jest możliwe zatem stosowanie monitoringu dźwiękowego bez wyraźnej podstawy wskazanej w przepisach prawa.  

radca prawny, dr Katarzyna Siemion