4 ROK Z RODO – Co ciekawego słychać w ochronie danych osobowych?

4 ROK Z RODO – Co ciekawego słychać w ochronie danych osobowych?

Kolejny rok przyniósł dużo zmian, nowości i wyzwań w ochronie danych osobowych. 25 maja jest idealnym dniem na krótkie podsumowanie mijającego kolejnego roku pod panowaniem RODO.

Wzorem roku ubiegłego, CompNet przygotował dla Was podsumowanie TOP 5. Ciekawi? To zaczynamy!

1. Zmiany w przepisach o kasach zapomogowo-pożyczkowych

W wielu zakładach pracy istnieją kasy zapomogowo – pożyczkowe (KZP). Ja też nie narzekam na ich istnienie, bo miałam możliwość korzystania z dobrodziejstwa takiej kasy, wręcz byłam z nią „uczuciowo związana”😉. Po prawie 30 latach zmieniono przepisy w zakresie ich funkcjonowania zastępując rozporządzenie z 1992 roku ustawą z dnia 11 sierpnia 2021 roku. Celem nowych przepisów było stworzenie lepszych ram prawnych dla tworzenia, działania, kontroli czy likwidacji kas zapomogowo-pożyczkowych. Nowa ustawa również wiele wyjaśniła, jeżeli chodzi o przetwarzanie danych osobowych członków kasy, niemniej jednak wciąż pozostają pewne wątpliwości. Szczegółowo te kwestie wyjaśnił Piotr w artykule na naszym blogu „Pracownicze kasy zapomogowe w świetle ustawy KZP”. Ciekawy jest zapis art. 67 ustawy, który stanowi, że „KZP w terminie 18 miesięcy od dnia wejścia w życie ustawy dostosuje swój statut do zmian z niej wynikających.” Warto więc zwrócić uwagę, że od 11 października 2021 roku (wejście w życie ustawy) mamy 18 miesięcy na dostosowanie statutu KZP do nowych wymogów, w tym m.in. na określenie w statucie zasad i sposobu przetwarzania danych osobowych oraz ich zabezpieczenia (art. 15 ust. 1 pkt 15 ustawy KZP), a także wzoru oświadczenia woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie oraz wskazanie administratora danych osobowych (art. 15 ust. 1 pkt 16 ustawy KZP). 

Chciałbyś zweryfikować te kwestie w swoim zakładzie pracy? A może zastanawiasz się, jak wdrożyć nowe przepisy  KZP i potrzebujesz wsparcia specjalisty? Zwróć się do CompNet z zapytaniem o audyt ochrony danych osobowych przetwarzanych w KZP, a na pewno się nie zawiedziesz!

2. Weryfikacja przestrzegania przepisów dotyczących inspektora ochrony danych

30 marca br. Urząd Ochrony Danych Osobowych w komunikacie umieszczonym na swojej stronie internetowej zwrócił uwagę na kluczową kwestię: funkcjonowanie inspektora ochrony danych w organizacji. Inspektor ochrony danych odgrywa bowiem bardzo ważną rolę w zapewnieniu skutecznego systemu ochrony danych osobowych, u administratora oraz prawidłowości procesów przetwarzania danych osobowych. Organ nadzorczy opublikował checklistę pytań, które „korzystając ze swoich uprawnień -będzie kierował (…) do administratorów i podmiotów przetwarzających, zarówno z sektora publicznego, jak i prywatnego.” Warto więc wcześniej obiektywnie ocenić kwestie dotyczące prawidłowego wyznaczenia i funkcjonowania inspektora w swojej organizacji, zgłoszenia IOD do Prezesa UODO, miejsca IOD w strukturze organizacyjnej oraz podległości służbowej, a także wykonywania przez IOD innych zadań w organizacji i ich wpływu na pełnienie funkcji IOD. Odpowiedzi na pytania wskazane w komunikacie należy poszukać bezpośrednio w normach prawnych regulujących status i zadania IOD tj. w art. 37-39 RODO, wytycznych Grupy Roboczej Art. 29 oraz wskazówkach organu nadzorczego. Warto wcześniej przeprowadzić rzetelną analizę tego zagadnienia, żeby nie być zaskoczonym, gdy Prezes UODO o to nas zapyta. Pamiętajmy, że w kwestii prawidłowego funkcjonowania i wykonywania przez inspektora zadań, również ma zastosowanie zasada rozliczalności, o której mowa w art. 5 ust. 2 RODO. To administrator jest odpowiedzialny za przestrzeganie przepisów dotyczących przetwarzania danych osobowych i musi być w stanie wykazać ich przestrzeganie – również tych dotyczących inspektora ochrony danych.

3. Relacja administrator – podmiot przetwarzający – o co chodzi?

Napisałam wcześniej, że zgodnie z art. 5 ust. 2 RODO to administrator jest odpowiedzialny za przestrzeganie przepisów dotyczących przetwarzania danych osobowych i musi być w stanie wykazać ich przestrzeganie (zasada rozliczalności). Czy to oznacza, że podmioty przetwarzające (procesorzy) uczestniczący w procesach przetwarzania danych mogą spać spokojnie? Hmm… zastanówmy się …

Pamiętamy na pewno, jak w ubiegłym roku UODO stwierdził naruszenie przepisów ogólnego rozporządzenia ochrony danych osobowych (RODO) i nałożył maksymalną administracyjną karę pieniężną w wysokości 100 tys. zł na podmiot publiczny – Krajową Szkołę Sądownictwa i Prokuratury (KSSIP) za niezrealizowanie ciążących na niej obowiązków administratora. Pisaliśmy o tym na naszym blogu. KSSIP odwołała się od decyzji organu nadzorczego próbując udowodnić, że odpowiedzialność za wskazany incydent spoczywa na podmiocie przetwarzającym. To pracownik tej firmy wykonał na zlecenie administratora kopię bazy danych i pozostawił ją na serwerze. Jednak WSA w wyroku z 26 stycznia 2022 r. zgodził się z całą argumentacją, jaką przedstawił organ nadzorczy w decyzji nakładającej administracyjną karę pieniężną na KSSIP w związku z naruszeniem ochrony danych. WSA podkreślił, że UODO słusznie przyjął, iż skoro administrator podjął decyzję, że wspomniana kopia bazy danych powinna zostać usunięta, to jego obowiązkiem była weryfikacja, czy czynność ta została wykonana. Sąd zwrócił przy tym uwagę, że nawet jak pracownik podmiotu przetwarzającego nie usunął wykonanej kopii, to na administratorze nadal ciążył obowiązek weryfikacji, czy wskazana lokalizacja zapewnia bezpieczeństwo przetwarzania danych osobowych. Zaznaczył, że to administrator jest inicjatorem podejmowanych działań, jako podmiot decydujący o celach i sposobach przetwarzania. Sąd zwrócił też uwagę, że z umowy o świadczenie usług między administratorem a podmiotem przetwarzającym, wynika odpowiedzialność administratora za bezpieczeństwo, który w razie konieczności korzysta z pomocy podmiotu przetwarzającego.

Czy bezwzględnie zawsze tylko administrator za to odpowiada? 
Inną pamiętną karą była kara ponad 1 mln PLN nałożona na spółkę ID Finance Poland (właściciela portalu pożyczkowego MoneyMan.pl). Zdaniem UODO Spółka nie zareagowała odpowiednio na sygnał o lukach w jej zabezpieczeniach. Nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów (140 699 osób). Takiego zawiadomienia nie potraktowała z odpowiednią powagą, przez co kilka dni po otrzymanym przez spółkę sygnale, osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera. Za zwrot wykradzionych informacji zażądała okupu. Dopiero wtedy spółka rozpoczęła analizowanie zabezpieczeń na swoich serwerach i jednocześnie zgłosiła naruszenie ochrony danych Prezesowi Urzędu Ochrony Danych Osobowych.

WSA uchylił zaskarżoną decyzję i orzekł, że odpowiedzialność ponosi podmiot przetwarzający dane. W procesie przetwarzania danych uczestniczył zarówno administrator, jak i procesor. Sąd uznał, że nie można postawić zarzutów niedopełnienia obowiązków w zakresie stwierdzenia i zgłoszenia naruszenia wyłącznie ID Finance, bowiem Spółka nie miała bezpośredniego wpływu na powstanie naruszenia. Samo naruszenie spowodowane było działaniem podmiotu przetwarzającego. Z jego strony nie było odpowiednio szybkiej reakcji na informację o luce bezpieczeństwa (błędne działanie serwera, związane z jego wcześniejszym restartem).

Już te dwie sprawy pokazują jak relacje administrator – podmiot przetwarzający są skomplikowane i jak dogłębnie trzeba wczytać się w poszczególne przepisy RODO, aby tę relację prawidłowo unormować. Pokazuje to też kolejna decyzja UODO …

4. Rekordowa kara ponad 4,9 mln zł dla administratora za naruszenie ochrony danych oraz kara ponad 250 tys. zł dla podmiotu przetwarzającego

Administrator danych, Spółka Fortum Marketing and Sales Polska S.A., w kwietniu 2020 roku zgłosił Prezesowi UODO naruszenie ochrony danych. Naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym. Zgłoszone naruszenie dotyczyć miało danych osobowych ponad 120 tys. osób oraz obejmować szereg danych zawartych w skopiowanej przez nieuprawnione podmioty bazie, w tym imiona i nazwiska, adresy zamieszkania, numery PESEL, numery dokumentów tożsamości, adresy poboru, numery telefonów, czy też szczegóły zawartych umów z odbiorcami energii. Zdaniem organu nadzorczego zawinił zarówno administrator, jak i podmiot przetwarzający – PIKA Sp. z o.o. Administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz nie zweryfikował, czy zapewnia on wystarczające gwarancje ich wdrożenia zgodnie z RODO. Natomiast podmiot przetwarzający nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym zapewnienie ich poufności. Pełna treść decyzji jest dostępna na stronie UODO. Możemy w niej znaleźć ciekawe akapity poświęcone uzasadnieniu wysokości nałożonych kar:

  1. ustalona przez Prezesa UODO kwota kary – 4 911 732 zł – stanowi jedynie 0,18 % jej obrotu osiągniętego w 2020 r. Jednocześnie w ocenie Prezesa UODO kara w tej wysokości będzie skuteczna (osiągnie cel jakim jest ukaranie Administratora za poważne naruszenie o poważnych skutkach) i odstraszająca na przyszłość (spowoduje, że Administrator celem uniknięcia kolejnych sankcji zwróci należytą uwagę na przetwarzanie danych osobowych za pośrednictwem i przy pomocy Podmiotu Przetwarzającego, wykorzystując przy tym uprawnienia, które przysługują mu na mocy umowy powierzenia przetwarzania danych). Kara w niższej wysokości dla tak dużego podmiotu jak Fortum mogła by być w praktyce niezauważalna i mogłaby zostawić pole do kalkulowania czy dla tej organizacji koszty administracyjnych kar pieniężnych nie byłyby niższe niż nakłady na ochronę danych osobowych.
  2. Prezes UODO zauważa, że kara orzeczona wobec PIKA może być dla niej stosunkowo bardziej dolegliwa niż kara nałożona w niniejszej sprawie na Fortum (1,19 % wobec 0,18 % rocznego obrotu), niemniej jest to uzasadnione w ocenie organu  okolicznością, że to działanie PIKA, cechujące się rażącym zaniedbaniem swoich obowiązków i obowiązujących standardów, bezpośrednio doprowadziło do naruszenia ochrony danych osobowych, których administratorem jest Fortum, a w konsekwencji do naruszenia poufności tych danych (za co – naruszenie art. 5 ust. 1 lit. f) rozporządzenia 2016/679 – PIKA jako podmiot przetwarzający wprost nie odpowiada, a odpowiada Administrator).

Wnioski dla nas: administratorów, podmiotów przetwarzających, inspektorów ochrony danych. Po raz kolejny nałożenie kary przez organ nadzorczy, wyznacza kierunek działań dla Administratorów danych i wskazuje obszary, które warto poddać audytowi w celu zweryfikowania poprawności stosowania organizacyjnych i technicznych środków zabezpieczeń. Nasi Inspektorzy Ochrony Danych rekomendują następujące działania:

  1. Ocenę oraz regularne testowanie wdrożonych środków technicznych i organizacyjnych w celu oceny ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia poprzez np. analizę ryzyka bezpieczeństwa informacji, audyty ochrony danych osobowych czy audyty cyberbezpieczeństwa.
  2. Korzystanie ze wsparcia wyznaczonego Inspektora Ochrony Danych, którego zadaniem jest m.in. informowanie administratora, podmiotu przetwarzającego i pracowników o obowiązkach w zakresie ochrony danych osobowych i doradzanie im w tej sprawie, a także monitorowanie przestrzegania przepisów w zakresie ochrony danych osobowych poprzez działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty.

Przykładem monitorowania przestrzegania przepisów o ochronie danych osobowych może być zaangażowanie Inspektora Ochrony Danych w ocenę, czy umowa powierzenia przetwarzania danych osobowych, którą administrator zawiera z podmiotem przetwarzającym, zawiera wszystkie wymagane w art. 28 ust. 3 RODO elementy oraz czy proponowany sposób ukształtowania relacji między administratorem i podmiotem przetwarzającym jest adekwatny do przedmiotu powierzenia, a także czy w sposób wystarczający i prawidłowy określono prawa i zobowiązania stron tej umowy.

5. Sygnaliści

Już dłuższy czas CompNet przygląda się tematowi implementacji Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii do polskiego porządku prawnego. Wielu pracodawców, mimo braku polskiej ustawy dot. sygnalistów, wdrożyło systemy zgłaszania nieprawidłowości w swoich organizacjach, szczególnie ci, którzy byli zobowiązani dostosować się do Dyrektywy od 17 grudnia 2021 roku. Temat ten, również w kontekście obowiązków w zakresie ochrony danych osobowych, przybliżył Tomasz w artykule na naszym blogu poświęconym sygnalistom. Zgodnie z unijną Dyrektywą, Polska krajowy system przyjmowania zgłoszeń i podejmowania działań następczych oraz ochrony sygnalistów powinna wdrożyć maksymalnie do 17 grudnia 2021 roku. Projekt ustawy o ochronie osób zgłaszających naruszenia prawa pojawił się na stronie Rządowego Centrum Legislacji 18 października 2021 roku, ale nie był procedowany w dalszych pracach Sejmu. Obecnie na stronie możemy zapoznać się z nowym projektem ustawy o ochronie osób zgłaszających naruszenia prawa (projekt z dnia 6 kwietnia 2022 r.). Projekt w przepisach końcowych wydłuża vacatio legis ustawy do 2 miesięcy od dnia ogłoszenia. Wskazuje, że podmioty prywatne, zatrudniające od 50 do 249 osób miałyby obowiązek ustalenia procedury wewnętrznej przyjmowania zgłoszeń i podejmowania działań następczych do 17 grudnia 2023 r. Natomiast podmioty prywatne, na rzecz których wykonuje pracę co najmniej 250 osób, a także podmioty publiczne, Rzecznik Praw Obywatelskich mają zrealizować obowiązek wdrożenia ww. procedury w terminie 1 miesiąca od wejścia w życie ustawy. Dzięki temu zapisowi tak naprawdę od ogłoszenia ustawy w Dzienniku Ustaw termin ten wyniesie 3 miesiące. Jednak warto już dzisiaj zapoznać się z tym projektem, aby po uchwaleniu ustawy, sprawnie wdrożyć wszystkie rozwiązania w wyznaczonym przepisami terminie lub zweryfikować już wdrożone procedury i rozwiązania. Jeżeli znacie CompNet, to wiecie, że nie tylko przygląda się on tematowi implementacji Dyrektywy do polskiego porządku prawnego, ale też działa! Pomogliśmy już wielu klientom przygotować się do ochrony sygnalistów. Zapytaj nas o wdrożenie procedur i szkolenie pracowników. 😊

Autor: Monika Kowalik, Specjalista ds. ochrony danych osobowych i ochrony informacji w CompNet Sp. z o.o.