W dniu 28 stycznia przypada szesnasty Dzień Ochrony Danych Osobowych. Data jest nieprzypadkowa – 28 stycznia 1981 roku sporządzono Konwencję Rady Europy nr 108 w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych.

Z tej okazji warto zwrócić uwagę na kluczowe decyzje oraz interpretacje przepisów w zakresie ochrony danych osobowych z minionego roku. Przyjrzymy się też wybranym karom nałożonym przez polski organ nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych.

Imienna skrzynka e-mail byłego pracownika

Bardzo często pracownik danej firmy posługuje się adresem poczty elektronicznej w formacie imię.nazwisko@firma.com, lub zbliżonym. Jednakże co zrobić, gdy taka osoba – która często kontaktowała się z ważnymi partnerami przedsiębiorstwa – odejdzie z pracy?

Firma z Norwegii podjęła decyzję o dalszym korzystaniu z takiej skrzynki, w celu utrzymania kontaktów handlowych. Działanie to zostało uznane za naruszenie przepisów o ochronie danych osobowych i skutkowało nałożeniem kary w wysokości 15.000 Euro (ok. 68.000 zł). Norweski organ ochrony danych osobowych uznał, iż postępowanie norweskiej firmy było bezprawne, a nadto wiązało się z naruszeniem przepisów o zakazie monitorowania korzystania przez pracownika ze sprzętu elektronicznego.

W Norwegii obowiązują tożsame przepisy RODO, co w Polsce, stąd należy się spodziewać, że w zbliżonym stanie faktycznym Prezes polskiego Urzędu Ochrony Danych Osobowych również może skorzystać z możliwości nałożenia kary administracyjnej. Dlatego ważne jest przygotowanie i egzekwowanie stosownych procedur postępowania z przyznanymi pracownikom adresami e-mail na wypadek zakończenia współpracy. Dla skrzynek wykorzystywanych szczególnie często, warto rozważyć ustanowienie adresów niezawierających danych osobowych (np. dzial.handlowy@firma.pl, czy też sprzedaz@spółka.com).

Czy można ukryć się przed UODO?

Niektórzy przedsiębiorcy chcąc uniknąć odpowiedzialności za zaniedbania w zakresie ochrony danych osobowych zakopują pisma od Prezesa Urzędu Ochrony Danych Osobowych na dnie szuflady, w nadziei, że brak reakcji spowoduje, iż PUODO straci zainteresowanie ich działalnością. Niestety, najprawdopodobniej – nie straci.

Co więcej, brak odpowiedzi na zadane administratorowi pytania wyjaśniające stanowi przewinienie i może wywołać wręcz odwrotny skutek, a nawet prowadzić do nałożenia kary porządkowej w wysokości 5.000 Euro (odrębnie od samej kary za naruszenie – kara za milczenie ma bowiem na celu przyspieszenie toku właściwego postępowania). Brak współpracy z organem na wczesnym etapie może prowadzić do wyższych kar za samo naruszenie.

Niezależnie od motywów administratora, należy wskazać, że takie postępowanie jest dla przedsiębiorcy zdecydowanie niekorzystne. Brak odpowiedzi na pisma PUODO z jednej strony może prowadzić do kar porządkowych, z drugiej nie wyłącza możliwości ukarania administratora za samo naruszenie. Co więcej, w przypadku, gdy przedsiębiorca unika współpracy, właściwa kara, jaką finalnie będzie musiał opłacić, najprawdopodobniej będzie wyższa.

Wybrane kary w 2021 r.

Milczenie nie jest złotem

Przekonała się o tym Anwara Sp. z o.o., która została ukarana karą porządkową w wysokości 4.600 euro za brak współpracy z UODO. Spółka postąpiła tak, jak opisani wyżej przedsiębiorcy nie przekazując organowi wszystkich niezbędnych do prowadzenia dochodzenia informacji, a także nie podała powodów ich nieudzielenia. W sposób naturalny doprowadziło to do nałożenia na spółkę kary dyscyplinującej.

Ile kosztuje zgubienie danych?

W tym przypadku odpowiedź na to pytanie nie jest jednoznaczna, ponieważ zależy ona przede wszystkim od rozmiarów potencjalnej szkody i chęci administratora do współpracy z organem. Kary nałożone w roku ubiegłym zawierają się w przedziale: od 2.200 do 70.000 euro.

Karę w najniższej wskazanej wysokości musiał uiścić prezes Sądu Rejonowego w Zgierzu. Sprawa dotyczyła incydentu, w którym zgłosił on do UODO zgubienie przez kuratora sądowego niezaszyfrowanej pamięci USB z danymi 400 osób będących pod nadzorem kuratora. Nośnika do czasu nałożenia kary nie udało się odnaleźć. Prezes sądu błędnie założył, że wydane kuratorom pamięci przenośne powinni oni zabezpieczać we własnym zakresie. Organ był jednak innego zdania, w jego opinii – nośniki te stanowiły własność sądu i zawierały dane, których administratorem był prezes sądu, toteż on jako osoba odpowiedzialna za bezpieczeństwo danych miał obowiązek zabezpieczyć sprzęt powierzany kuratorom.

Znacznie dotkliwszą karą został objęty jeden z podmiotów sektora finansowego (70.000 euro). Do UODO wpłynęła skarga na jego działanie. Mianowicie firma kurierska, której podmiot ten zlecił przesłanie korespondencji zawierającej dane osobowe (imię, nazwisko, PESEL, adres zamieszkania, numery kont i numery identyfikacyjne klientów) zgubiła dokumenty. Administrator nie zgłosił tego do organu i podobnie jak prezes sądu nie powiadomił osób, których dane dotyczą. W tym przypadku, z oczywistych względów, kara była znacznie wyższa.

Wpisując dane adresata, upewnij się, że są prawidłowe. Dwukrotnie

Pozwoli to uniknąć błędu, który kosztował Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. 35.300 euro. Spółka omyłkowo wysłała dane klienta do niewłaściwego odbiorcy, ujawniając tym samym: imię i nazwisko, adres osoby, której dane dotyczą i dane ubezpieczenia. W razie przesłania danych osobowych pod błędny adres, w żadnym wypadku nie należy zakładać, że w gruncie rzeczy nic się nie stało. Konieczne jest powiadomienie UODO oraz osób, których dane dotyczą.

Podsumowanie roku 2021

Miniony rok potwierdził, iż dla zachowania zgodności z RODO (a więc i dla uniknięcia ewentualnych kar) niezbędne jest ustanowienie i stosowanie odpowiednich wewnętrznych procedur. Właśnie te procedury są szczególnie istotne w sytuacji wystąpienia incydentu – gdyż 72 godziny przewidziane na jego zgłoszenie upływa niezwykle szybko. Przy minimalizowaniu ryzyka pomoże nam ostrożność i ciągłe uświadamianie pracowników. Po raz kolejny Prezes Urzędu Ochrony Danych Osobowych dał też do zrozumienia, że w razie wystąpienia incydentu administrator, który go niezwłocznie zgłosi i podejmie współpracę z organem, znajdzie się w dużo lepszej sytuacji.