Kto przeklina słynne RODO? Nasz raport po dwóch latach

I. Co to są dane osobowe
To są informacje o konkretnej, zindywidualizowanej osobie fizycznej bądź Informacje w oparciu o które można osobę fizyczną zidentyfikować. Przykłady danych osobowych: imię, nazwisko, pesel, adres zamieszkania, zameldowania, NIP, REGON. Ponadto, danymi osobowymi mogą być np.: hobby, wysokość zarobków. Dane osobowe szczególne to informacje o pochodzeniu rasowym, etnicznym, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz o danych genetycznych, danych biometrycznych – np. odcisk palca.

„Szkoła podstawowa nr 2 w Gdańsku została ukarana przez UODO za pozbawione podstawy prawnej gromadzenie danych biometrycznych uczniów. Szkoła zbierała odciski palców po to, by wyrobić uczniom specjalne legitymacje uprawniające do odbioru posiłków” (kara pieniężna w wysokości 20.000 zł).

II. Co to znaczy przetwarzać dane osobowe
Wykonywanie jakichkolwiek czynności w stosunku do danych osobowych jest ich przetwarzaniem. Przetwarzaniem danych osobowych jest np. zbieranie danych osobowych, utrwalanie danych osobowych, przechowywanie danych osobowych, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Każde przetwarzanie danych musi być zgodne z prawem, mieć swoją podstawę. Jeżeli tego zabraknie, mamy do czynienia z naruszeniem ochrony danych osobowych

„Burmistrz Aleksandrowa Kujawskiego nie zawarł umów powierzenia przetwarzania danych z podmiotami, którym przekazywał dane osobowe, a co za tym idzie udostępniał je bez podstawy prawnej” (kara pieniężna w wysokości 40.000 zł).

III. Kto przetwarza dane osobowe
Każdy, kto dokonuje czynności na danych osobowych np. zbiera je, utrwala, przechowuje, wykorzystuje, ujawnia itd. - przetwarza dane. Ważne jest to, że przetwarzać dane osobowe może każdy, bez względu na formę prawną. Obojętne jest zatem czy ten kto przetwarza dane jest np. spółką, spółdzielnią, gminą czy też osobą fizyczną.

„Dolnośląski Związek Piłki Nożnej z siedzibą we Wrocławiu został ukarany za działania polegające na niezapewnieniu bezpieczeństwa i poufności przetwarzanych danych osobowych osób, którym przyznano licencje sędziowskie w roku 2015, w zakresie numeru PESEL oraz adresu zamieszkania poprzez ich nieuprawnione ujawnienie na stronie internetowej Dolnośląskiego Związku Piłki Nożnej” (kara pieniężna 55.750 zł).

IV. Kto powinien znać i stosować przepisy RODO
Każdy, kto przetwarza dane osobowe, a zatem nie tylko duże firmy, spółki, spółdzielnie, gminy, szpitale, ale i „zwykli” przedsiębiorcy. Prowadzący jednoosobową działalność gospodarczą bez względu jakie generują obroty i ile zatrudniają pracowników, mają obowiązek stosować przepisy RODO. A znać prawa wynikające z ochrony danych osobowych powinien każdy kto jest ich właścicielem – prawo do bycia zapomnianym, prawo do sprzeciwu, żądanie informacji na temat przetwarzania danych przez Administratora.

Click Quick Now Sp. z o.o. została ukarana za utrudnianie wycofania zgody na przetwarzanie danych osobowych (kara pieniężna 201.559 zł).

V. Co powinien zrobić przedsiębiorca
1. Obowiązki w zakresie zabezpieczenia technicznego.
Każdy przedsiębiorca, który przetwarza dane osobowe zobowiązany jest dbać o to by dane te były chronione. Musi zadbać przede wszystkim o bezpieczeństwo fizyczne, tj zabezpieczenie siedziby firmy, budynku, lokalu, drzwi, okien. Zabezpieczenie techniczne komputerów, serwerów, szaf, kluczy, archiwum, pomieszczeń gdzie obsługiwani są klienci np. sala obsługi, sekretariat, kancelaria.

„Morele.net Sp. z o.o. została ukarana karą pieniężną za brak zabezpieczeń systemowych przez co wyciekły dane osobowe ok 2,2 milinów klientów (kara pieniężna 2.800 000 zł).
„Panek S.A. jest podmiotem analizy zdarzenia polegającego na tym, że podczas  procesu uruchamiania nowej witryny www zostały skopiowane pliki starej witryny do nowego folderu, który powinien być ukryty, a został udostępniony. Zostało to zrobione przez pracownika firmy informatycznej bez wcześniejszej konsultacji i weryfikacji zawartości plików starej witryny. Pracownik firmy informatycznej popełnił błąd i nie ukrył plików."
„Atak hakerski na SWPS Uniwersytet Humanistycznospołeczny (SWPS) który współpracuje ze szkołą wyższą Collegium Da Vinci w Poznaniu. Obie uczelnie wykorzystują w działalności budynek należący do Collegium Da Vinci. Szkoła ta jest jednocześnie administratorem sieci komputerowej w budynku. Do zdarzenia doszło w wyniku uzyskania loginu i hasła administratora przez atakującego. Według dostępnych administratorowi na dzień zgłoszenia naruszenia informacji incydent polegał na ataku z wykorzystaniem oprogramowania typu ransomware. Naruszenie dotyczy studentów, słuchaczy studiów podyplomowych, pracowników oraz współpracowników.

2. Obowiązki w stosunku do pracowników
Każdy przedsiębiorca, jeżeli zatrudnia pracowników, a ci mają dostęp do danych osobowych, zobowiązany jest upoważnić ich do przetwarzania danych osobowych. Powinien dać wszystkim swoim pracownikom upoważnienia z których musi wynikać, co dany pracownik może zrobić z danymi osobowymi w miejscu pracy. Zatem upoważnianie dla pracownika księgowości, będzie inne niż upoważnienie dla pracownika sekretariatu, czy też działu kadr.
Ponadto, każdy kto zatrudnia pracowników, musi poinformować pracowników o tym jak dane osobowe pracowników będą przetwarzane przez pracodawcę, np. jakie i które dane będą wykorzystywane przez pracodawcę, przez jaki czas będą wykorzystywane, jak długo będą archiwizowane, komu pracodawca udostępni dane osobowe pracownika. Obowiązek informacyjny jest bardzo ważny, brak informacji w tym zakresie, rodzi odpowiedzialność administracyjną w postaci wysokich kar pieniężnych. Brak wykonania obowiązku informacji, rodzi ryzyko nałożenia kary pieniężnej do wysokości 20.000.000 euro.
Rejestracja czasu pracy za pomocą danych biometrycznych nie jest zgodna z RODO, „Przetwarzanie przez pracodawcę danych biometrycznych pracowników nie może służyć celowi, jakim jest ewidencja czasu pracy. Pracodawca legalnie przetwarza dane biometryczne swoich pracowników, jeżeli wynika to ze szczególnych przesłanek określonych w RODO oraz znajduje podstawę w obowiązujących przepisach prawa”. Stanowisko Prezesa Urzędu Ochrony danych Osobowych z 11.05.2020 r
05.05.2020 r. - Sprawdzanie temperatury w celu zapobiegania rozprzestrzeniania się COVID-19. „Prezes Urzędu Ochrony Danych Osobowych wskazał, że przepisy o ochronie danych osobowych nie przeciwstawiają się podejmowanym działaniom związanym z przeciwdziałaniem COVID-19. Podkreślił natomiast, że podejmowane rozwiązania przez przedsiębiorców, pracodawców i inne podmioty będą legalne, jedynie w sytuacji, jeżeli administrator będzie realizował je na podstawie przepisów prawa – zgodnie z zasadą legalności określoną w art. 5 ust. 1 RODO. Podstaw prawnych należy niewątpliwie doszukiwać się w rozwiązaniach wyznaczanych przez Głównego Inspektora Sanitarnego”.

3. Obowiązki w stosunku do kontrahentów
Każdy przedsiębiorca jeżeli zleca działania (outsourcing) np. księgowej w biurze rachunkowym, informatykowi, prawnikowi, powinien z nimi zawrzeć (oprócz umowy cywilnoprawnej) dodatkowy dokument zwany umową powierzenia przetwarzania danych osobowych, która musi być pisemna.
Zawarcie umowy powierzenia przetwarzania danych osobowych jest bardzo ważnym obowiązkiem każdego przedsiębiorcy, a brak takiej umowy rodzi ryzyko nałożenia znacznych kar pieniężnych do 10.000.000 euro.
Ponadto, przedsiębiorca powinien wyjaśnić każdemu swojemu kontrahentowi, który jest osobą fizyczną jak jego dane osobowe będą przetwarzane przez firmę, np. jakie i które dane będą wykorzystywane przez firmę, przez jaki czas będą wykorzystywane, jak długi będą archiwizowane, komu dane osobowe będą udostępniane .

4. Obowiązki w zakresie RODO w firmie
Każdy przedsiębiorca, a także każdy kto przetwarza dane osobowe, powinien przeanalizować swoją działalność pod kątem przetwarzania danych osobowych. Powinien zastanowić się jakie posiada dane osobowe w firmie (np. klientów, pracowników, byłych pracowników, kontrahentów), po co są one mu potrzebne, co z nimi zamierza zrobić, jak je chroni, komu je udostępnia.
Powyższa analiza pozwoli wdrożyć odpowiednie zabezpieczenia i procedury w zakresie ochrony danych osobowych.
Po takiej analizie, można wdrożyć w firmie odpowiednie procedury, instrukcje, zabezpieczenia, regulaminy, które zabezpieczą firmę przed problemami w zakresie ochrony danych osobowych (np. właściwe upoważnienia, klauzule informacyjne, umowy powierzenia przetwarzania danych osobowych, rejestr czynności przetwarzania, rejestr kategorii czynności przetwarzania, polityka bezpieczeństwa ochrony danych osobowych, rejestr upoważnień, rejestr umów powierzenia przetwarzania danych osobowych, instrukcja na wypadek incydentu, regulamin monitoringu, rejestr incydentów). W razie incydentu, tj naruszenia ochrony danych osobowych, należy zgłosić takie zdarzenie do organu nadzorczego w terminie 72 godzin od stwierdzenia naruszenia.

5. Pomoc w zakresie RODO
Każdy przedsiębiorca powinien dbać o dane osobowe w firmie, gdyż wadliwe przetwarzanie danych osobowych może spowodować nałożenie wysokiej kary pieniężnej. Ponadto, przedsiębiorca może być obowiązany do zapłaty odszkodowania, a w niektórych przypadkach może być skazany w procesie karnym

„Vis Consulting Sp. z o.o. została ukarana karą pieniężna w związku z uniemożliwieniem Urzędowi Ochrony Danych Osobowych przeprowadzenie kontroli.(kara pieniężna 20.000 zł). Ponadto, przeciwko prezesowi zarządu spółki skierowano akt oskarżenia do sadu za utrudnianie kontroli”.
Racjonalnym działaniem jest skorzystanie z konsultacji z osobą zajmującą się zawodowo ochroną danych osobowych. Profesjonalista pomoże i wskaże jakie czynności należy dokonać, tak by firma pracowała zgodnie z RODO.
Pomoc profesjonalisty może polegać na:
- dokonaniu audytu w firmie, czyli przeglądu wszystkich działań firmy pod kątem zgodności z RODO
- sporządzeniu zaleceń i rekomendacji w zakresie RODO
- szkoleniu pracowników i kadry zarządzającej w firmie, tak aby pracownicy poradzili sobie z trudnymi zagadnieniami w zakresie RODO
- sprawdzeniu czy wdrożone już wcześniej w firmie procedury RODO są faktycznie prawidłowe
- sprawowaniu w firmie funkcji Inspektora Ochrony Danych Osobowych.
Inspektor Ochrony Danych Osobowych to osoba niezależna, podporządkowana wyłącznie kierownictwu jednostki, która pomaga, doradza firmie i dba by firma działała zgodnie z RODO. Inspektor służy wszelką pomocą w zakresie RODO, szkoli pracowników, sprawdza i kontroluje prawidłowość przetwarzania danych osobowych, reprezentuje firmę na zewnątrz w razie kontroli. Inspektor może być zatrudniony w firmie, może też świadczyć pomoc jako podmiot zewnętrzny np. w oparciu o umowę zlecenia.

Ireneusz Broś
Autor prowadzi kancelarię radców prawnych, która zajmuje się m.in. problematyką związaną z RODO.