Browsing Tag

uodo

ochrona danych osobowych

Pierwsze kary za naruszenie RODO

14 lutego 2019
RODO

Liczba skarg na naruszenie przepisów RODO kierowana do krajowych organów nadzorczych stale wzrasta. Część z nich stała się już podstawą do nałożenia kar finansowych w państwach europejskich. Warto więc zastanowić się nad tym, czy kwestią czasu nie pozostaje nałożenie pierwszych takich kar w Polsce.

Kary przewidziane przez RODO

Ogólne rozporządzenie o ochronie danych osobowych (dalej jako: „RODO”), przyznaje krajowym organom nadzorczym, monitorującym przestrzeganie RODO, szereg uprawnień[1]. Wśród nich znajdują się uprawnienia naprawcze, jak chociażby czasowe lub całkowite ograniczenie przetwarzania, czy czasowy lub całkowity zakaz przetwarzania danych osobowych.

Ponadto RODO przyznaje organom nadzorczym uprawnienie do stosowania, zamiast lub oprócz środków naprawczych, administracyjnej kary pieniężnej. Oznacza to możliwość łączenia środków stosowanych w przypadku naruszenia przepisów RODO. Może to rodzić szczególne dolegliwości po stronie podmiotów, które naruszenia się dopuściły.

Organy nadzorcze zobowiązane są zadbać o to, by nakładane na przedsiębiorców administracyjne kary pieniężne były w każdym przypadku skuteczne, proporcjonalne i odstraszające (skutek prewencyjny). Kara ma negatywnie oddziaływać na podmiot, który się dopuścił się naruszenia RODO, a ponadto zapobiegać takim naruszeniom w przyszłości.

Podejmując decyzję o nałożeniu administracyjnej kary pieniężnej oraz ustalając jej wysokość, organy nadzorcze obowiązane są do zwrócenia należytej uwagi na wiele okoliczności, takich jak charakter, waga i okres trwania naruszenia, umyślny charakter naruszenia czy kategoria danych osobowych, których naruszenie dotyczyło.

RODO przewiduje, w zależności od rodzaju naruszenia, kary pieniężne w wysokości do 10 000 000 euro w sprawach mniejszej wagi lub kary w wysokości do 20 000 000 euro przy poważniejszych naruszeniach. W przypadku przedsiębiorstwa, gdzie wysokość kary również zależy od wagi naruszenia, kary oscylują w wysokości 2% lub 4% całkowitego, rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, chyba, że kara ustalona kwotowo jest wyższa wtedy ona znajduje zastosowanie.

Pierwsze nałożone kary

Po ośmiu miesiącach od wejścia w życie RODO pojawiły się pierwsze decyzje, nakładające na nierzetelnych przedsiębiorców ww. kary. Jedna z nich dotyczyła portugalskiego szpitala Barreiro-Montijo. Tamtejszy organ nadzorczy Comissão Nacional de Proteção de Dados (w skrócie CNPD) nałożył na szpital karę w wysokości 400 000 euro. Zgodnie z ustaleniami portugalskiego organu nadzorczego, dostęp do kont pacjentów, zawierających ich dane kliniczne, miało 985 aktywnych kont. Jest to o tyle ciekawe, że w szpitalu pracowało jedynie 296 lekarzy. Byli pracownicy szpitala nie zostali bowiem pozbawieni dostępu do kont.

Najwyższa kara za naruszenie RODO

Obecnie najwyższa kara nałożona na podstawie RODO wyniosła 50 000 000 euro. Dnia 21.01.2019 r. Francuska Komisja ds. Informatyki i Wolności (dalej jako: „CNIL”)[2] nałożyła karę na znanego giganta technologicznego – Google LLC. Bodźcem do nałożenia kary były dwie skargi grupowe skierowane do CNIL przez organizacje non-profit None Of Your Business (NOYB) oraz La Quadrature du Net (LQDN). Google zarzucono m.in. nierzetelne wypełnienie obowiązku informacyjnego. Zgodnie z nim informacje dotyczące przetwarzania mają być ujęte w sposób jasny, zwięzły i zrozumiały, umożliwiający użytkownikom zrozumienie w pełni zakresu przeprowadzanych operacji przetwarzania danych, z uwzględnieniem celów przetwarzania, podstaw i sposobów przetwarzania.

Google nie realizowało tego obowiązku głównie przez nadmierne rozproszenie informacji na temat przetwarzania danych osobowych w wielu dokumentach, polegające na przekierowywaniu użytkowników z każdym kolejnym kliknięciem do innego dokumentu. Najważniejszym zarzutem było jednak to, że Google nie zbierało ważnych zgód użytkowników na przetwarzanie ich danych osobowych, w szczególności związanych z procesem personalizacji reklam.

W ocenie CNIL, zgody pozyskiwane przez Google nie spełniały wymogu „konkretności” i „jednoznaczności”. Ich treść nie wskazywała precyzyjnie dla jakich celów są zbierane. Użytkownik nie mógł więc w sposób w pełni świadomy potwierdzić woli przetwarzania jego danych osobowych w konkretnym zakresie i celach.

Stosowanie kar w Polsce…

Dotychczas prezes Urzędu Ochrony Danych Osobowych nie nałożył żadnej kary finansowej za naruszenie RODO. Brak kar nie jest jednak jednoznaczny z brakiem zawiadomień o naruszeniach. Jest wręcz przeciwnie – zawiadomienia takie są składane. Ich skala zaś rośnie nie tylko w Polsce, ale i w innych państwach członkowskich. Kary są więc prawdopodobnie nieuniknione i pozostają jedynie kwestią czasu. Wynika to głównie z pośpiechu w jakim przedsiębiorstwa wdrażały postanowienia RODO.

Warto podkreślić, że, państwa członkowskie mają możliwość wprowadzania dodatkowych sankcji za naruszenia RODO. Możliwe są zatem sytuacje, w których wobec podmiotu naruszającego zostanie orzeczona łącznie wysoka kara pieniężna i środek naprawczy np. w postaci czasowego zakazu przetwarzania danych, albo wysoka kara pieniężna i inna sankcja przewidziana w ustawodawstwie państwa członkowskiego. W przypadku takiej kumulacji sankcji powstaje niebezpieczeństwo paraliżu działalności przedsiębiorstwa, w tym utraty płynności finansowej, co może spowodować nawet konieczność ogłoszenia upadłości przedsiębiorstwa.

 

[1] W Polsce Prezesowi Urzędu Ochrony Danych Osobowych.

[2] CNIL to francuski, krajowy organ ochrony danych osobowych.

dobra osobiste ochrona danych osobowych

Czy Google odpowie za „gangstera” i swój algorytm?

10 stycznia 2019
google

W dniu 13.12.2018 r. Sąd Najwyższy wydał wyrok w głośnej sprawie przeciwko Google (I CSK 690/17). Sąd Najwyższy rozstrzygnął, że pojawienie się w wynikach wyszukiwarki określonych słów, m.in. „gangster”, po wpisaniu nazwiska w okienko wyszukiwania, nie przesądza o odpowiedzialności Google za bezprawne przetwarzanie danych osobowych. Może jednak dojść do naruszenia dóbr osobistych. Wobec tego Sąd Najwyższy przekazał sprawę Sądowi Apelacyjnemu do ponownego rozpoznania.

Stan faktyczny

Powód – Arkadiusz L. – wystąpił z pozwem o ochronę jego dóbr osobistych przeciwko wyszukiwarce Google. Żądał m.in. usunięcia linku kierującego internautów do artykułu sprzed kilkunastu lat, z archiwum tygodnika „Polityka„, pt. „Bardzo biedny gangster”. Pod linkiem zamieszczony był też tzw. „snippet” (krótki opis pojawiający się pod wynikiem wyszukiwania).

Rzeczone przekierowanie wyświetlało się w wynikach wyszukiwania, po wpisaniu imienia i nazwiska powoda. W samej zaś treści artykułu rzeczywiście pojawiały się dane osobowe powoda. Jednakże z pełnej treści artykułu (dostępnej po opłacie) wynika, że to nie powód był tytułowym „gangsterem”. Powód bowiem doprowadził do skazania przestępcy – tytułowego „gangstera”. Stąd zdaniem powoda taka sytuacja narusza jego dobra osobiste – cześć i wiarygodność zawodową.

Operator wyszukiwarki wskazywał, że wyświetlenie się określonych haseł w wynikach wyszukiwania wynika z automatycznego tworzenia linków i natury wyszukiwarki – nie jest możliwe przewidzenie, co pojawi się po wpisaniu w okno wyszukiwarki określonych słów. W odpowiedzi na przedsądowe wezwania powoda pozwany wskazywał, iż za treść snippetu odpowiada za administrator strony, do której kieruje wynik wyszukiwania.

W toku procesu powód skontaktował się z administratorem strony, zawierającej sporny artykuł i doprowadził do usunięcia snippetu.

Wyroki Sądu I i II instancji

Sąd I i II instancji zupełnie inaczej oceniły kwestię naruszenia dóbr osobistych powoda. Sąd Okręgowy (I instancji) oddalił powództwo w całości. Zwrócił uwagę, że za kształt snippetów, linków, opisów odpowiada administrator strony, nie Google. Jak wskazał: „wyniki wyszukiwania oraz snippety nie zawierają zatem jakichkolwiek twierdzeń pochodzących od operatora wyszukiwarki„. Sąd uznał, że umożliwienie Google ingerencji w tę treść spowodowałoby, że operator będzie „cenzorem internetu”. Sąd Okręgowy stwierdził, że jedyny związek pomiędzy artykułem a powodem jest taki, że sporny artykuł odnosił się w pewnej kwestii do powoda. Jednak nie znajdowało uzasadnienia stwierdzenie, że to powód miałby być tytułowym gangsterem, szczególnie w sytuacji, w której snippet został usunięty.

Na skutek apelacji powoda sprawa była rozpatrywana przez Sąd Apelacyjny. Sąd II instancji zmienił zaskarżony wyrok, zobowiązując Google do zaprzestania prezentowania w wyszukiwarce internetowej linku odsyłającego do spornego artykułu, po wpisaniu wyrazów „bardzo biedny gangster”. Sąd Apelacyjny podkreślił, że usunięcie snippetu nie spowodowało zaprzestania naruszenia dóbr osobistych powoda. Uznał, że w dalszym ciągu sporny artykuł wyświetla się w wynikach wyszukiwarki po wpisaniu określonych słów. Internautom nasuwa zaś skojarzenie, że to powód jest „bardzo biednym gangsterem”. Sąd Apelacyjny wskazał:

Ograniczony czas spędzany na wyszukiwaniu, „efekt pierwszego wrażenia”, mechanizm niepogłębionej racjonalnej oceny i typowe dla odbiorców wszystkich współczesnych mediów wyciąganie pochopnych wniosków na podstawie niezweryfikowanych przesłanek, skłania raczej do uznania, że przeciętny odbiorca (podobnie zresztą jak mechanizm wyszukiwarki) skojarzy wyszukiwaną frazę z tytułem będącym treścią linku.

Sąd odniósł się przy tym do tego, że sama publikacja artykułu z danymi powoda nie narusza jego dóbr osobistych. Natomiast powód ma prawo żądania usunięcia artykułu ze swoimi danymi osobowymi z listy wyników wyszukiwarki internetowej przez Google, które je przetwarza. Sąd II instancji uznał więc, że pozwany powinien był zgodnie z art. 32 ust. 2 UODO usunąć link do artykułu z listy wyników wyszukiwania wyświetlającego się po wpisaniu spornych słów kluczy.

Wyrok Sądu Najwyższego

Sąd Najwyższy uchylił wyrok Sądu Apelacyjnego i przekazał sprawę do ponownego rozpoznania. Nie podzielił stanowiska Sądu Apelacyjnego co do bezprawności działania Google jako podmiotu, który nie wykonał obowiązków z UODO. Zaznaczył jednak, że w sprawie mogło dojść do naruszenia czci powoda, co powinno zostać ponownie zbadane.

Komentarz autora

Aby móc żądać roszczeń z tytułu naruszenia dóbr osobistych musi przede wszystkim dojść do naruszenia określonego dobra osobistego. Ponadto naruszenie to musi być bezprawne (art. 24 KC). Pierwszym krokiem do dochodzenia roszczeń jest zaś ustalenie osoby naruszyciela. Sąd I instancji nie miał wątpliwości, że Google nie jest odpowiedzialne za naruszenie dóbr osobistych powoda. Natomiast Sąd Apelacyjny był przekonany, że jest inaczej. Upatrywał on jednak bezprawności działania pozwanego w tym, że Google nie wykonało swoich obowiązków z UODO. Sąd Najwyższy słusznie odrzucił tą koncepcję, stwierdzając, że w sprawie nie chodziło o korzystanie z danych osobowych powoda.

Wydaje się jednak, że w sprawie nie doszło do naruszenia dóbr osobistych powoda przez Google. Pozwany – jak wskazywał Sąd Okręgowy – nie miał bowiem wpływu na kształt wyników wyszukiwania. Jakie bowiem działanie pozwanego było w tej sytuacji bezprawne? W tym zakresie podzielam wyrok Sądu Okręgowego. Uważam, że absurdalne byłoby przypisywanie Google odpowiedzialności za działanie algorytmu, który automatycznie generuje wyniki wyszukiwania i nie jest możliwe przewidzenie, co pojawi się po wpisaniu w okno wyszukiwania określonych wyrazów. Aktualnie po wpisaniu w wyszukiwarkę zbioru słów „bardzo biedny gangster” w wynikach wyszukiwania nie wyświetlają się dane powoda – zatem tego opisu, nawet przeciętny użytkownik internetu, nie będzie kojarzył z powodem. Inną kwestią jest natomiast sama treść spornego artykułu – jednak, tu też nie można dopatrzeć się jakichkolwiek naruszeń dóbr osobistych powoda – jak wskazywały sądy rozpatrujące sprawę. Lektura całego artykułu nie pozostawia wątpliwości, że powód z pewnością nie był tytułowym gangsterem, a bohaterem.

ochrona danych osobowych

Certyfikacja i jej korzyści na gruncie rozporządzenia RODO

2 listopada 2017
Certyfikacja

Certyfikacja a okres przejściowy RODO

Wielkimi krokami zbliża się koniec okresu przejściowego na dostosowanie się do wymogów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: RODO, rozporządzenie), które będzie mieć zastosowanie od 25 maja 2018 r. Obok licznych zmian RODO wprowadza m.in. mechanizm certyfikacji.

Czym jest certyfikacja na gruncie RODO?

Certyfikacja stanowi zupełną nowość na gruncie prawa ochrony danych osobowych. Ani dyrektywa 95/46/WE, ani obecnie obowiązująca ustawa o ochronie danych osobowych nie przewidywała instytucji certyfikacji. RODO to zmienia. Zgodnie z art. 42 ust. 1 rozporządzenia państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń,  mających świadczyć o zgodności przetwarzania danych z RODO. W swym założeniu certyfikat ma być dokumentem poświadczającym przestrzeganie przez administratora dobrych praktyk przetwarzania danych osobowych.

Certyfikacja a odpowiednie zabezpieczenie danych

Certyfikacja przypomina w pewnym zakresie System Zarządzania Bezpieczeństwa Informacji (Information Security Management System) zgodnym z wymaganiami normy ISO/IEC 27001[1]. System bezpieczeństwa podobnie jak mechanizm certyfikacji polega na wdrożeniu odpowiednich systemów zabezpieczeń, w szczególności ustanowienia polityki bezpieczeństwa oraz dostosowaniu systemów informatycznych do potencjalnych zagrożeń związanych m.in.: z ryzykiem utraty danych, naruszeniem poufności danych, a także brakiem integralności danych tj. dokładności i kompletności przetwarzanych danych.

Innymi słowy mechanizm certyfikacji polega na stworzeniu domniemania zgodności przetwarzania danych osobowych zgodnie z przepisami rozporządzenia. Niemniej jednak będzie to domniemanie wzruszalne, ponieważ certyfikat nie zwalnia od odpowiedzialności za naruszenie zasad przetwarzania danych określonych w RODO.  Warto podkreślić, że certyfikacja jest całkowicie fakultatywna. To bowiem od decyzji administratora danych czy podmiotu przetwarzającego będzie zależało czy wystąpi on o certyfikat.

Do kogo po certyfikat?

W ramach wstępnych założeń, tylko Prezes UODO będzie mógł udzielić certyfikacji mimo, że RODO dopuszcza udzielenie certyfikatu również przez inne podmioty certyfikujące tj. podmioty prywatne, posiadające stosowną akredytację krajowego organu nadzorczego. Takie rozwiązanie ma swoje plusy i minusy. Niewątpliwą korzyścią „urzędowej” certyfikacji „będzie zapewnienie jednolitości certyfikacji i wyeliminowanie niepewności związanej z oddaniem certyfikacji z prywatne ręce” (P. Litwiński, Certyfikacja w nowych przepisach o ochronie danych osobowych, Firma i Prawo). Z drugiej strony, postępowania administracyjne, toczące się przed Prezesem GIODO, notorycznie się przedłużają. Stoi to z kolei w sprzeczności z interesem administratora, który zainteresowany jest uzyskaniem certyfikatu w możliwie najkrótszym czasie.

Administrator danych lub podmiot przetwarzający, chcący uzyskać certyfikat, będzie musiał wykazać spełnienie kryteriów do jego uzyskania. Kryteria te w przyszłości określi i udostępni Prezes UODO (GIODO) w Biuletynie Informacji Publicznej Urzędu. Na obecną chwilę Prezes GIODO nie określił wspomnianych kryteriów i raczej w najbliższym czasie nie należy się spodziewać ich publikacji.

Przyznanie bądź odmowa przyznania certyfikatu będzie następować w drodze decyzji Prezesa UODO. Certyfikat będzie udzielany na czas określony – maksymalnie do 3 lat (art. 42 ust. 7 RODO). Będzie przy tym istniała możliwość przedłużenia ważności certyfikatu na kolejne okresy.  W trakcie ważności certyfikatu możliwe są kontrole w zakresie spełniania wymogów certyfikacji.

Potencjalne korzyści płynące z certyfikacji

Można zadać pytanie, po co zdobywać certyfikat, skoro nie wyłącza on odpowiedzialności za ewentualne naruszenie przepisów RODO? Argumentów za wprowadzeniem takiego rozwiązania jest co najmniej kilka.

Po pierwsze uzyskanie certyfikatu może mieć istotny walor  wizerunkowy. Obecnie brak jest odpowiednich instrumentów, które pozwoliłby podmiotom danych zweryfikować, czy określony administrator danych rzetelnie wywiązuje się ze swoich obowiązków związanych z ochroną danych osobowych.  Dzięki certyfikacji administrator będzie mógł się wyróżnić na tle konkurencji. W przyszłości może się to przełożyć na wzmocnienie jego pozycji rynkowej. Co więcej, certyfikacja będzie pomocna również samym administratorom, ponieważ ułatwi wybór odpowiedniego podmiotu przetwarzającego dane osobowe na zlecenie (podwykonawcy) w ramach outsourcingu czynności związanych z przetwarzaniem danych. Naturalnym powinien być wybór podwykonawcy mającego certyfikat niż tego, który go nie ma.

Po drugie certyfikat będzie niezwykle użytecznym instrumentem do wykazania realizacji wielu obowiązków przewidzianych wprost w RODO np.: obowiązku zapewnienia bezpieczeństwa danych oraz wdrożenia odpowiednich rozwiązań technicznych i prawnych mające na celu realizację zasady privacy by design / privacy by default.

Po trzecie posiadanie certyfikatu będzie miało wpływ na wysokość administracyjnej kary pieniężnej w sytuacji naruszenia przez administratora przepisów rozporządzenia. Zgodnie z art. 83 ust. 2 lit. j RODO krajowy organ nadzorczy, decydując się na nałożenie kary pieniężnej, musi przy ustalaniu jej wysokości wziąć pod uwagę czy podmiot dopuszczający się naruszeń stosował zatwierdzone mechanizmy certyfikacji. W ten sposób podmiot posiadający certyfikat może liczyć na łagodniejszy wymiar kary.

Po czwarte certyfikacja jest rozwiązaniem relatywnie tanim. W świetle art. 16 ust. 1 projektu UODO za czynności związane z postępowaniem o udzielenie certyfikacji Prezes Urzędu pobiera opłatę w wysokości trzykrotności przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim ogłaszanego przez Prezesa GUS. Biorąc pod uwagę, że przeciętne miesięczne wynagrodzenie za pracę w II kwartale 2017 r. wynosiło 4220,69 zł[2] to całkowity koszt certyfikacji wyniesie ok. 13 000 zł.

Publikacje:

[1] T. Osiej, Charakter prawny nowych mechanizmów certyfikacji w zakresie ochrony danych osobowych, Informacja w administracji publicznej, nr. 2, str. 31.

[2]http://stat.gov.pl/sygnalne/komunikaty-i-obwieszczenia/lista-komunikatow-i-obwieszczen/komunikat-w-sprawie-przecietnego-wynagrodzenia-w-ii-kwartale-2017-roku,271,17.html.

 

W celu zapoznania się z tematyką i najważniejszymi zmianami wprowadzanymi rozporządzeniem RODO zachęcamy lekturę artykułu, umieszczonego na blogu IP Procesowo, pt: „Nowe rozporządzenie o ochronie danych osobowych wprowadza zmianę modelu ochrony” autorstwa Huberta Kutkiewicza oraz Eweliny Ocipińskiej.

 

WSPÓŁAUTORAMI WPISU SĄ:

  MEC. ANETA PANKOWSKA                                       HUBERT KUTKIEWICZ

 

Powyższy wpis został również opublikowany na portalu Biznes Alert.