Pod koniec maja minie 5 lat, odkąd w swoich organizacjach stosujemy przepisy Ogólnego Rozporządzenia o Ochronie Danych tzw. RODO. Przez ten czas wiele firm zadbało o odpowiednią infrastrukturę, wdrożyło skuteczne procedury oraz skorzystało z rozwiązań, które pomagają analizować i mapować procesy zachodzące w ich strukturach.
W tym czasie nie brakowało jednak błędów oraz zaniechań, które skutkowały dotkliwymi karami nałożonymi przez Prezesa UODO. Warto dodać, że do tej pory kary otrzymywał zarówno sektor prywatny, jak i publiczny, włączając w to jednostki samorządu terytorialnego, urzędy, a nawet sąd! W naszym artykule przywołamy kilka takich sytuacji, aby każdy mógł wyciągnąć wnioski na podstawie cudzych błędów!
Analiza wybranych przypadków
Decyzje Prezesa Urzędu o nakładaniu kar można podzielić na kilka kategorii, wśród nich najczęściej występowały następujące uchybienia:
- brak realizacji zasady przejrzystości,
- brak podstawy prawnej przetwarzania,
- za nieadekwatne zabezpieczenie przetwarzania danych osobowych,
- brak przeprowadzenia analizy ryzyka,
- brak realizacji zasady rozliczalności,
- brak zgłoszenia naruszenia,
- brak współpracy.
Jedną z kar nałożoną w wyniku braku przeprowadzenia analizy ryzyka jest kara w wysokości 50.000 zł, która otrzymała Szkoła Główna Gospodarstwa Wiejskiego w Warszawie[1]. Uczelnia nie dokonała oceny ryzyka w zakresie możliwości naruszenia zasady poufności danych osobowych czy zasady ograniczenia przechowywania danych, wynikającego z zagrożenia jakim jest możliwość eksportowania z systemu szerokiego zakresu kategorii danych osobowych kandydatów na studia na nośnik zewnętrzny. Prezes Urzędu zaakcentował, że administrator w sposób niewystarczający dokonywał oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych kandydatów na studia.
Analiza tej decyzji prowadzi do wniosku, że środki techniczne i organizacyjne powinny podlegać regularnym przeglądom i aktualizacji, biorąc pod uwagę czynniki i okoliczności dotyczące przetwarzania danych osobowych wskazane w art. 32 ust. 2 rozporządzenia 2016/679, a osoby piastujące funkcję inspektorów danych osobowych powinny wykazywać aktywność w obszarze przeprowadzenia analizy ryzyka. Administrator ma ponadto obowiązek wykazać, że ryzyko to zostało oszacowane w sposób rzetelny i obiektywny, oraz wprowadzono odpowiednie środki ochrony. Służyć temu może dokumentowanie przeprowadzonej analizy ryzyka i innych działań podjętych w celu zapewnienia zgodności z przepisami rozporządzenia 2016/679.
Podobne zarzuty zostały przedstawione w decyzji nakładającej karę w wysokości 45.000 zł na Politechnikę Warszawską[2]. W tym przypadku Administrator nie przedstawił dowodów na wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewniłyby bezpieczeństwo przetwarzanych danych osobowych obowiązków, w tym nie dokonywał formalnej oceny ryzyka, a zagrożenia identyfikował poprzez zbieranie informacji od jednostek uczelni. Ponadto nie uzasadnił adekwatności stosowanych zabezpieczeń do ryzyka.
Decyzja dotycząca Politechniki Warszawskiej pokazuje, że stosowanie środków technicznych bez dokonania uprzedniej analizy ryzyka dla procesu przetwarzania danych osobowych może rodzić ryzyko, że zastosowane środki nie będą skuteczne i adekwatne.
Z kolei w decyzji nakładającą karę (1.600.000,00 zł) na P4 Sp. z o.o. (następca prawny Virgin Mobile Polska)[3], Prezes Urzędu zwrócił uwagę na nieco inny aspekt bezpieczeństwa danych osobowych. Zapewnienie bezpieczeństwa ochrony danych osobowych nie sprowadza się do wypełnienia przesłanek z art 32 RODO, ale również zapewnieniu procedur regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków technicznych i organizacyjnych. Przeprowadzona analiza ryzyka nie była powtarzana w prawidłowy sposób. Ponadto zastosowana procedura analityczna była niedokładna i niekompleksowa, a wyciągane wnioski były zbyt ogólne.
RODO. Jak uniknąć kary?
Część z przyznanych przez Prezesa Urzędu Ochrony Danych Osobowych kar wynikała z niewiedzy podmiotów, cześć z braku odpowiednich rozwiązań. Cześć zaś z braku czasu, czyli największego problemu, na jaki napotykają przedsiębiorcy. Zaczniemy zatem od oszczędności czasu, ergonomii oraz automatyzacji działań związanych z analizą ryzyka, którą możemy przeprowadzić przy wykorzystaniu rozwiązań systemowych, „wykonujących część pracy za nas”. Technologia pozwala nam na porzucenie archaicznych arkuszy kalkulacyjnych, daje możliwość korzystania z gotowych i intuicyjnych rozwiązań, które oszczędzają nasz czas i gwarantują bezpieczeństwo.
Aplikacja do analizy ryzyka pozwala również wskazać obowiązki, jakim podlega podmiot, i wykazać zagrożenia, z jakimi należy się liczyć, przetwarzając dane. Część z podmiotów poszukuje na rynku wszechstronnego narzędzia, które pozwoli rozwiązać jak najwięcej problematycznych kwestii związanych z administrowaniem oraz procesowaniem posiadanych danych osobowych. Na szczęście takie rozwiązania są już szeroko dostępne i spełniają coraz więcej funkcji.
Nowoczesne technologie do zarządzania ryzykiem
Jednym z takich rozwiązań jest aplikacja GDPR Risk Tracker, służąca analizie ryzyk zgodnej z RODO. Wygodne korzystanie z poziomu przeglądarki, intuicyjny interfejs, gotowe schematy i słowniki przygotowane przez ekspertów oraz własna metodyka stanowią gwarancję skuteczności narzędzia. Dodatkowo każdy użytkownik otrzymuje wiele wartości dodanych, które mają wpływ na jego wyróżnienie się na tle posiadanej konkurencji. W przypadku GDPR Risk Tracker za sprawą dostępnych tutoriali wideo przechodzimy przez każdy z procesów składowych analizy, aż po wygenerowanie raportu końcowego przy wsparciu eksperta. Bogaty komentarz prowadzący przez każdy punkt analizy, możliwość masowej edycji zagrożeń i równoległa praca kilku użytkowników nad projektem zdecydowanie ułatwiają i przyśpieszają pracę każdemu użytkownikowi.
Pozwólmy sobie zaoszczędzić czas, pieniądze i niepotrzebnego stresu, korzystając ze sprawdzonych rozwiązań i polegając na rzetelnych partnerach.
Autor: Anna Nowak – aplikantka radcowska w kancelarii Lubasz i Wspólnicy; jej dotychczasowe doświadczenie koncentruje się wokół obsługi prawnej przedsiębiorców, a także prawa ochrony konsumentów oraz prawa nowych technologii; laureatka konkursu Urzędu Ochrony Konkurencji i Konsumentów na najlepszą pracę magisterską za pracę pt. „Personalizacja oparta na sztucznej inteligencji a ochrona praw konsumentów. Zagadnienia wybrane”.
Zaproszenie na ekspercki webinar
Zapraszamy na bezpłatne szkolenie online „Wnioski wdrożeniowe płynące z dorobku orzeczniczego Prezesa UODO i sądów administracyjnych”, które odbędzie się 21 czerwca. Prelegentem będzie Dominik Lubasz – doktor nauk prawnych, radca prawny, wspólnik zarządzający w kancelarii Lubasz i Wspólnicy; współtwórca programu GDPR Risk Tracker, partnera platformy LEX Hub.
[1] decyzja Prezesa UODO z dnia 21 sierpnia 2020 r. (ZSOŚS.421.25.2019)
[2] decyzja Prezesa UODO z dnia 9 grudnia 2021 r. (DKN.5130.2559.2020)
[3] decyzja Prezesa UODO z dnia 16 listopada 2022 r. (DKN.5112.1.2020)