Zdaje się, że pomimo stosowania przepisów rozporządzenia od 25 maja 2018 r., wielu administratorów zapomina o tym fakcie, a wymogi nałożone przez RODO traktowane są nadal jako przykre obowiązki, co przekłada się na „jakość” ich realizacji. W konsekwencji, Urząd Ochrony Danych Osobowych („UODO” lub „organ nadzorczy”) niejednokrotnie w swoich wytycznych i decyzjach wypowiadał się na temat prawidłowej komunikacji z podmiotem danych, realizującej zasadę rzetelności i przejrzystości.
Obowiązek informacyjny wciąż problematyczny
Stanowczo najmniej „lubianym” obowiązkiem wymaganym przez przepisy rozporządzenia, jest konieczność informowania podmiotów danych o przetwarzaniu ich danych osobowych, zgodnie z art. 13 RODO lub art. 14 RODO. Należy jednak podkreślić, że o ile początkowo, obowiązek ten często spotykał się wręcz z oporem (próby uregulowania tej kwestii np. w umowach łączących strony lub chociażby dołączenie klauzuli informacyjnej jako załącznika czasem było „blokowane” przez kontrahenta), o tyle aktualnie nawet rozbudowany, kilkustronicowy obowiązek informacyjny już nikogo nie dziwi.
Niemniej jednak, nadal u wielu podmiotów występują braki lub luki w zakresie realizacji obowiązku informacyjnego. Nie w każdej bowiem organizacji sprawdzi się zamieszczenie odesłania do obowiązku informacyjnego w stopce mailowej (co jest jedną z najprostszych metod „warstwowej” realizacji tego obowiązku). Ponadto, kanałów pozyskiwania danych osobowych może być wiele i każdy z nich powinien uwzględniać konieczność podania informacji określonych w art. 13 lub art. 14 RODO.
Wreszcie, liczba pozyskiwanych danych może powodować, że wywiązanie się z omawianego obowiązku będzie dość trudne (może to dotyczyć całkiem prozaicznych sytuacji, w których kontrahenci udostępniają dane swoich pracowników, którzy będą odpowiedzialni za realizację umowy, co w przypadku niemożności „załatwienia” obowiązku informacyjnego np. stopką w mailu, może oznaczać konieczność ręcznego wysyłania klauzuli informacyjnej do poszczególnych osób).
UODO może nakazać poprawienie, uzupełnienie lub wykonanie obowiązku informacyjnego
Kwestia realizacji obowiązku informacyjnego była przedmiotem kilku decyzji UODO. Przeważnie kończyły się one nakazaniem wykonania obowiązku informacyjnego wobec danej osoby lub poprawieniem treści klauzuli informacyjnej (uzupełnienia o brakujące informacje lub podania danych zgodnych ze stanem faktycznym). Co istotne, organ nadzorczy podchodzi do tego zagadnienia dość szeroko (np. nakazał podanie danych podmiotu przetwarzającego, mimo iż art. 13 i 14 RODO pozwala na podanie jedynie kategorii odbiorców danych, co jest często praktykowane chociażby dlatego, że dostawcy usług – procesorzy, mogą się zmieniać, a to powodowałoby każdorazowo konieczność aktualizacji treści klauzuli).
Istotnym zagadnieniem, na które należy zwrócić uwagę, jest art. 14 ust. 5 lit. b) RODO, pozwalający na odstąpienie od wykonania obowiązku informacyjnego w sytuacji, gdy jest to niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Przyjęcie przez administratora danych strategii niewykonywania obowiązku informacyjnego z powołaniem się na to wyłącznie (zbyt duży koszt poinformowania podmiotów danych), może mieć poważne konsekwencje, o czym świadczy jedna z najwyższych kar pieniężnych (równowartość 220 000 EUR) nałożona przez UODO w związku z przetwarzaniem danych pobranych z publicznych rejestrów (w wyniku częściowego uwzględnienia odwołania przez WSA w stosunku do osób, które zaprzestały już prowadzenia działalności gospodarczej, nałożona kara może ulec obniżeniu; postępowanie jest w toku).
Oczywiście mogą zdarzyć się sytuacje, kiedy przywołany przepis znajdzie zastosowanie, niemniej jednak należy pamiętać, że powinno mieć to miejsce wyjątkowo, a świadome podjęcie decyzji o nierealizowaniu obowiązku informacyjnego organ nadzorczy traktuje jako działanie lekceważące i umyślne, co stanowi okoliczność obciążającą, zaostrzającą odpowiedzialność administratora danych.
Szczegółowe informacje wymagane w przypadku naruszenia ochrony danych
Obowiązek informowania podmiotu danych może zaktualizować się nie tylko na etapie pozyskiwania danych, ale także w przypadku wystąpienia naruszenia ochrony danych, jeśli może ono powodować wysokie ryzyko naruszenia praw i wolności tej osoby. W takiej sytuacji, administrator danych jest zobowiązany poinformować o naruszeniu (np. o wycieku danych), wskazując m.in. możliwe konsekwencje naruszenia oraz proponowane środki w celu zminimalizowania negatywnych skutków zdarzenia.
W omawianym zakresie organ nadzorczy wydał szereg decyzji, w których wskazywał, jakie informacje administrator powinien umieścić w zawiadomieniu. Nieuwzględnienie uwag UODO w toku postępowania kończy się bowiem decyzją nakładającą obowiązek określonego działania po stronie administratora (tu: poinformowania podmiotu danych o naruszeniu z uwzględnieniem informacji wymaganych przez organ nadzorczy). W przypadku zatem wystąpienia incydentu ochrony danych, który wiązałby się z koniecznością zawiadomienia podmiotów danych, warto posłużyć się wytycznymi wynikającymi z dotychczasowych decyzji UODO. Zakres informacji, jakie należy podać, nie dla wszystkich bowiem może być oczywisty.
Przykładowo, w razie ujawnienia osobom nieuprawnionym zestawu danych zawierających m.in. numer PESEL, organ nadzorczy wymaga poinformowania, że dane te mogą zostać użyte do uzyskania kredytów w instytucjach pozabankowych, uzyskanie informacji na temat stanu zdrowia czy naruszenie praw obywatelskich (wyborczych) osoby, której dane dotyczą. Ponadto, jako proponowane środki minimalizujące skutki naruszenia należy wskazać możliwość założenia konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej oraz zasugerować osobie ostrożność przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu.
Nieoczywista kwalifikacja incydentu i ocena ryzyka
W przypadku wystąpienia incydentu ochrony danych, niejasności mogą pojawić się nawet na wcześniejszym etapie, tj. podczas kwalifikacji czy dane zdarzenie powoduje wysokie ryzyko dla praw i wolności podmiotów danych (a zatem – czy zawiadomienie osoby fizycznej, której dotyczy naruszenie jest w ogóle konieczne).
Jaskrawym przykładem takich wątpliwości jest decyzja UODO dotycząca omyłkowego wysłania fotoksiążki do innego adresata. W tym przypadku, administrator zawiadomił organ nadzorczy o naruszeniu, jednocześnie odstępując od poinformowania zainteresowanej klientki, argumentując że doszło do udostępnienia nieuprawnionej osobie jedynie danych zwykłych, takich jak dane personalne i adres zamieszkania.
Zdaniem organu nadzorczego powyższe podejście było nieprawidłowe, bowiem fotoksiążka zawierała zdjęcia z okresu ciąży klientki, narodzin dziecka, chrztu i innych imprez rodzinnych. Tym samym, doszło do ujawnienia danych osobowych szczególnych kategorii, jak stan zdrowia, czy przekonania religijne i światopoglądowe. Organ nadzorczy wskazał także na potencjalne ryzyka związane z udostępnieniem tych danych, jak chociażby możliwość wyłudzenia środków finansowych od najbliższej rodziny tzw. „metodą na wnuczka”.
Omawiana decyzja pokazuje, jak szeroką i szczegółową perspektywę przyjmuje niekiedy organ nadzorczy i jak nieoczywista może ona być dla administratorów danych.
Warunki wycofania zgody także pod lupą
Organ nadzorczy przywiązuje dużą wagę także do warunków udzielenia zgody. Nie można jednak zapominać, że zgoda może być zawsze wycofana, a dodatkowo art. 7 ust. 3 RODO wymaga, aby jej wycofanie było równie łatwe, jak jej wyrażenie.
Najczęściej z przetwarzaniem danych osobowych na podstawie zgody mamy do czynienia w przypadku marketingu, zapisów na newslettery. Dobrą praktyką jest, aby w wiadomości e-mail zawierającej informacje handlowe zamieścić link pozwalający na rezygnację z dalszego otrzymywania korespondencji. Co istotne, kliknięcie przez adresata w taki link powinno skutkować usunięciem adresu e-mail z bazy, o czym powinien on zostać poinformowany w jasny i przejrzysty sposób.
Zaprojektowanie mechanizmu wycofania zgody, zgodnie z ww. wytycznymi ma istotne znaczenie. W sprawie, w której po kliknięciu w link rezygnacji, użytkownik był obligatoryjnie proszony o podanie przyczyny wycofania zgody, organ nadzorczy uznał, że dochodzi do uniemożliwienia realizacji prawa do cofnięcia zgody i do „bycia zapomnianym” (bez podania przyczyny użytkownik nie mógł zakończyć procesu rezygnacji). Dodatkowo, po wypełnieniu formularza, użytkownik otrzymywał informację o przysługujących mu uprawnieniach, w tym o sposobie wycofania zgody – innym, poprzez kontakt mailowy. Zdaniem UODO, taka komunikacja wprowadzała użytkownika w błąd, ponieważ nie miał on pewności, czy jego zgoda już została wycofana. Uchybienia dotyczące omawianego procesu rezygnacji skutkowały nałożeniem kary pieniężnej o równowartości 47 000 EUR.
***
Przetwarzanie danych osobowych z naruszeniem praw osób, których dane dotyczą, stanowi jedno z cięższych przewinień w zakresie stosowania rozporządzenia. Z tego względu, sytuacje takie zagrożone są wyższą karą pieniężną (do 20 mln EUR lub 4% obrotu).
Dlatego też warto zadbać o prawidłową komunikację z podmiotami danych – zarówno na etapie gromadzenia danych, udzielania odpowiedzi i reagowania na żądania osób, których dane dotyczą, jak i w przypadkach „kryzysowych” (incydentów ochrony danych). Praktyka pokazuje, że organ nadzorczy wymaga nie tylko pełnej (zawierającej elementy wprost wskazane w art. 13 i 14 RODO) i jasnej informacji o przetwarzaniu danych osobowych, ale także dość dużej szczegółowości w formułowanej przez administratorów danych komunikacji.