Po 3 latach od wejścia w życie RODO przepisy tego unijnego rozporządzenia nie były ani razu nowelizowane. Nie oznacza to jednak, że nie nastąpiły żadne zmiany w ich interpretacji. W orzecznictwie sądów administracyjnych w sprawie ochrony danych osobowych pojawiło się kilka nowych judykatów. Warto wziąć je pod uwagę w bieżącej działalności. Pojawiły się też nowe możliwości w zakresie transferu danych osobowych poza Europejski Obszar Gospodarczy – co ma szczególne znaczenie w kontekście konsekwencji orzeczenia „Schrems II”.
Przetwarzanie danych osobowych niezgodne z umową powierzenia – na procesora można nałożyć karę jak na administratora
Co do zasady za naruszenia RODO dokonane przez podmiot przetwarzający dane odpowiada ich administrator, który powierzy je do przetwarzania. Jednak w niedawnym wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie (sygn. akt II SA/Wa 310/20) potwierdzono stanowisko Urzędu Ochrony Danych Osobowych, zgodnie z którym podmiot przetwarzający dane osobowe (procesor) może odpowiadać za naruszenia ochrony danych osobowych jak administrator.
W omawianej sprawie UODO nałożył na procesora karę, ponieważ ten wykonywał operacje na danych osobowych, które nie wynikały z umowy powierzenia przetwarzania danych osobowych ani innych ustaleń z administratorem (powierzającym dane do przetwarzania). Każde naruszenie przepisów RODO może doprowadzić do nałożenia kar administracyjnych. Co do zasady administrator i procesor za naruszenia ochrony danych osobowych odpowiadają solidarnie. Jeżeli jednak procesor zostanie uznany za administratora, jak miało to miejsce w tym przypadku– sam będzie odpowiadał za naruszenia.
Z perspektywy administratora danych osobowych istotne jest odpowiednie sformułowanie umowy powierzenia przetwarzania danych osobowych, ponieważ to administrator odpowiada za przestrzeganie wszystkich zasad dotyczących ich ochrony. Administrator musi więc być w stanie wykazać zgodność tego przetwarzania z przepisami prawa, w tym w szczególności prawidłową podstawę ich przekazywania oraz zagwarantować ich poufność i integralność. Brak możliwości wykazania takiej zgodności może prowadzić do nałożenia kary również na administratora.
Można uniknąć ryzyka naruszenia przepisów o ochronie danych osobowych poprzez precyzyjne określenie celów i metod przetwarzania danych w umowie powierzenia przetwarzania, a następnie przestrzeganie tych zapisów (i aneksowanie umów powierzenia, jeżeli zajdzie taka potrzeba).
Wycofanie zgody na przetwarzanie danych osobowych
W innym wyroku (sygn. II SA/Wa 2378/20) WSA w Warszawie jako pierwszy spośród polskich sądów podjął się rozważań w temacie wycofania zgody na przetwarzanie danych osobowych. W przytoczonym wyroku wskazano, że obowiązek zapewnienia osobie (której dane dotyczą), możliwości wycofania zgody musi być zapewniony w sposób równie łatwy jak jej wyrażenie. Przy wykorzystaniu formy elektronicznej, np. „checkboxu” w formularzu rejestracyjnym, proces odwołania zgody powinien przebiegać również w takiej formie np. przez zamieszczenie na stronie internetowej formularza odwołania zgody (lub odpowiedniej zakładki na stronie).
Sąd uznał, iż wyświetlanie podczas próby wycofania zgody komunikatów mylących i wprowadzających w błąd stanowi naruszenie zawartych w RODO zasad przejrzystości i rzetelności. W analizowanej sprawie takim naruszeniem było pokazanie komunikatu sugerującego skuteczne wycofanie zgody, jeszcze przed jej wycofaniem.
Nadto WSA w Warszawie wskazał, iż formułowanie pytań dotyczących przyczyny wycofania zgody jest pozbawione jakiejkolwiek podstawy prawnej i jest działaniem umyślnym mającym na celu utrudnienie czy wręcz uniemożliwienie realizacji praw osób, których dane dotyczą.
Nowe standardowe klauzule umowne
W początku czerwca br. Komisja Europejska przyjęła dwa nowe zestawy standardowych klauzul umownych (klauzule w relacji administrator – podmiot przetwarzający i do przekazywania danych do państwa trzeciego). Nowe narzędzia wyróżnia dostosowanie do wymagań wskazanych w przepisach RODO, ale także do aktualnego i szeroko komentowanego wyroku ws. Schrems II (o którym pisaliśmy wcześniej). Standardowe klauzule mają na celu zapewnienie bezpiecznego transferu danych osobowych pomiędzy przedsiębiorcami. Do listy praktycznych korzyści wynikających z tej decyzji można zaliczyć zapewnienie przedsiębiorcom m.in. większej elastyczności transferu danych, szeroki zakres scenariuszy przetwarzania danych oraz spełnienie wymagań prawnych dotyczących transferu danych osobowych.
Stosowane nowych klauzul powinno zmniejszyć niepewność związaną z transferem danych osobowych poza obszar EOG wywołany orzeczeniem Schrems II.
Nieprawidłowa ocena ryzyka naruszenia ochrony danych osobowych
14 października br. decyzją Prezesa Urzędu Ochrony Danych Osobowych (dalej jako: „PUODO”) na jeden z podmiotów gospodarczych sektora finansowego została nałożona kara wysokości 363 tysięcy złotych. Przyczyną kary było zdarzenie związane ze zgubieniem dokumentacji klientów, która była przesyłana za pośrednictwem firmy kurierskiej pomiędzy oddziałami podmiotu.
W kontekście wystąpienia takiego zdarzenia podmiot ten dokonał oceny ryzyka naruszenia i stwierdził, że pomimo tego, że zgubiona dokumentacja zawierała m.in. takie dane osobowe jak numery PESEL klientów, nie występuje wysokie ryzyko naruszenia ochrony danych osobowych klientów. Z uwagi na powyższe, odstąpił on od realizacji obowiązku wskazanego w art. 33 ust. 1 RODO i nie zawiadomił o naruszeniu organu nadzorczego (tj. PUODO).
W decyzji PUODO, który o naruszeniu został poinformowany w zgłoszeniu od jednej z osób dotkniętych naruszeniem, znajdujemy szerokie uzasadnienie, które w sposób szczególny zwraca uwagę na istotność naruszeń danych związanych z ujawnieniem numeru PESEL osoby, której dane dotyczą – jako stanowiące wysokie ryzyko naruszenia praw i wolności osób fizycznych. W przypadku wystąpienia wysokiego ryzyka naruszenia praw i wolności osób, których dane dotyczą, konieczna jest realizacja obowiązku zawiadomienia organu nadzorczego zgodnie z art. 33 ust. 1 RODO, z uwzględnieniem informacji, o których mowa w art. 33 ust. 3 RODO. PUODO dodatkowo podkreśla, że w ocenie ryzyka naruszenia praw i wolności osób, których dane dotyczą nie jest istotne, czy nastąpiła materializacja ryzyka wystąpienia negatywnych konsekwencji (w tym wypadku ujawnienie danych osobowych), ale samo potencjalne ryzyko naruszenia tych praw i wolności.
Przywołana decyzja PUODO wskazuje, iż organ niezwykle poważnie traktuje incydenty, w których doszło lub mogło dojść do ujawnienia danych osobowych takich jak numer PESEL. Należy się spodziewać, iż odstępowanie od zgłoszenia takich incydentów może skutkować nakładaniem kolejnych kar.