25 maja tego roku minęło równo 7 lat od rozpoczęcia stosowania RODO. Przypomnijmy jednak, że akt ten został przyjęty jeszcze w roku 2016 (a to już 9 lat!). Rocznica może być pretekstem do refleksji i podsumowań tego, jak przez te wszystkie lata zmieniło ono obszar ochrony danych osobowych. Z tej okazji, redakcja gdpr.pl przygotowała listę siedmiu „grzechów głównych” popełnianych przez administratorów i podmioty przetwarzające. Lista ta obejmuje najpoważniejsze i najczęściej popełniane błędy i zaniedbania, które z jednej strony występują niezwykle powszechnie, z drugiej zaś mogą mieć bardzo poważne konsekwencje.
Siedem grzechów głównych
Wiktor Hugo napisał kiedyś, że „grzech (…) powszedni. Jest to upadek, ale upadek na kolana, który może skończyć się modlitwą”. Tak jak żaden człowiek nie jest doskonały, tak żadna organizacja nie jest całkowicie wolna od nieprawidłowości związanych z ochroną danych. Są jednak nieprawidłowości na tyle poważne i niebezpieczne, a zarazem proste do zidentyfikowania i uniknięcia, że trudno usprawiedliwić ich występowanie. Niniejsza lista ma pomóc administratorom i podmiotom przetwarzającym w przeprowadzeniu rachunku sumienia i wyrugowaniu najbardziej oczywistych i poważnych naruszeń.
Grzech pierwszy – brak analizy ryzyka, brak adekwatnych środków technicznych i organizacyjnych
Jednymi z najczęściej karanych naruszeń w Polsce i wszędzie tam gdzie obowiązuje RODO, są naruszenia wynikające z niewłaściwego przygotowania do przetwarzania danych osobowych. Nieprzeprowadzenie analizy ryzyka dla danego procesu przetwarzania, uniemożliwia efektywne zapobieganie naruszeniom i – w razie jego wystąpienia – działa na niekorzyść podmiotu. Brak analizy ryzyka został uznany za jedną z przesłanek nałożenia kary w sprawie SPZOZ w Pajęcznie (DKN.5131.57.2022, kwota 40 000 złotych). Ukarany zakład całkowicie zaniechał takiej analizy, tym samym nie był w żaden sposób przygotowany na atak hackerski, przez który stracił dostęp do danych pacjentów i personelu. Brak taki to pierwszy z grzechów, który powinniśmy wziąć pod uwagę podczas analizowania zgodności organizacji z RODO.
Ściśle związany z powyższym jest również często brak właściwych środków technicznych i organizacyjnych – czyli brak właściwego zabezpieczenia danych przed naruszeniami. Najbardziej jaskrawym przykładem w ostatnim czasie była sprawa zakładu pogrzebowego z Puław (DKN.5131.10.2023, kwota 33 000 złotych) – w czasie przewożenia dokumentów (na otwartej pace), z samochodu wypadło kilka pudeł zawierających dokumenty klientów zakładu (na szczęście nie zgubiono czego innego). Administrator nie zdawał sobie nawet sprawy z naruszenia, gdyż przed transportem nie policzył pudeł. W tej sprawie Administrator zaniedbał przeprowadzenia analizy ryzyka.
Grzech drugi – niewłaściwe umiejscowienie IOD w strukturze organizacji
Organizacje wyznaczające Inspektora Ochrony Danych, niejednokrotnie popełniają błędy w obszarze jego niezależności. Trudno im się dziwić – problematyka umiejscowienia IOD w organizacji, zadań, które może wykonywać i konfliktu interesów, pozostaje jedną z bardziej dyskutowanych kwestii . Występują jednak sytuacje, w których nieprawidłowe umiejscowienie IOD bywa ewidentne – gdy IOD pełni równolegle funkcję, w ramach której podejmuje decyzje o przetwarzaniu danych (celach lub środkach) lub gdy IOD w ramach swoich obowiązków podlega takiej osobie. Z drugą sytuacją mieliśmy do czynienia w sprawie Toyota Bank Polska S.A. (DKN.5112.14.2022, kwota 261 918 złotych, w decyzji nałożono też drugą karę), kiedy to Administrator został ukarany karą przeszło dwustu tysięcy złotych za to, że IOD podlegał organizacyjnie dyrektorowi departamentu bezpieczeństwa (co ciekawe ten sam dyrektor był również formalnie jego zastępcą w roli IOD). Nie pomogły tłumaczenia, że ta podległość służy tylko załatwianiu spraw administracyjnych – Prezes UODO i tak wymierzył karę.
Grzech trzeci – brak obowiązków informacyjnych
RODO nakłada na administratorów liczne obowiązki związane z informowaniem osób o przetwarzaniu ich danych i o przysługujących im z tego tytułu prawach. Niejasna, niekompletna lub nieprawdziwa treść obowiązku informacyjnego niewątpliwie będzie stanowić zarzut przeciwko administratorowi. Jest to rażący i trudny do usprawiedliwienia błąd, , biorąc pod uwagę możliwość jego uniknięcia. Skonstruowanie poprawnej klauzuli informacyjnej w większości przypadków nie wymaga wiele pracy. Warto jednak pamiętać, że konstrukcja i zawartość klauzul są zależne od rodzaju prowadzonej działalności i adresatów obowiązku informacyjnego – KASPR, firma informatyczna sprzedająca swój produkt na całym świecie, została ukarana m.in. za to, że dostarczała obowiązek informacyjny wyłącznie w języku angielskim (decyzję wydał CNIL, organ francuski – SAN-2024-020, 240 000 euro).
Grzech czwarty – brak szkoleń i audytów
Zagrożenia dla praw lub wolności osób, wynikające z przetwarzania ich danych – zwłaszcza w systemach informatycznych – ciągle się zmieniają. Administratorzy bardzo często nie są świadomi tego jak dynamiczny jest to proces i – opracowawszy procedury wdrażające RODO w organizacji – spoczywają na laurach, zapominając o konieczności testowania i odpowiedniego aktualizowania procedur. Zmieniają się jednak nie tylko standardy technologiczne – normy prawne, wytyczne i oczekiwania organów również ulegają zmianom, do których trzeba się dostosować. Zaniedbania na tym polu mogą sprawić, że procedura, doskonała w momencie opracowania, w ciągu dwóch, trzech lat całkowicie się zdezaktualizuje. Dlatego też system ochrony danych w organizacji powinien być regularnie audytowany i poprawiany. Warto pamiętać, że obowiązek testowania procedur wynika z treści samego RODO, a niespełnianie go może być podstawą kary, jak stało się w przypadku sprawy Res-Gastro (DKN.5131.29.2023, kwota 240 000 złotych).
Grzech piąty – brak podstawy prawnej przetwarzania
Jedną z głównych zasad przetwarzania danych jest legalność – oznacza to, że przetwarzanie danych musi opierać się na ważnej przesłance przetwarzania. Katalog takich przesłanek, odrębny dla danych zwykłych i dla danych szczególnej kategorii, opisano w art. 6, 9 i 10 RODO. Nieprawidłowości dotyczące podstawy prawnej są jednymi z najpowszechniejszych i zwykle wiążą się z błędną identyfikacją podstawy. Najwyższa kara nałożona w tej materii przez UODO została zaadresowana do Poczty Polskiej (ok 23 miliony złotych, DKN.5131.29.2023) w związku z jej udziałem w organizacji tzw. wyborów kopertowych, odnosiła się właśnie do problemu braku podstawy przetwarzania. Decyzje, na podstawie których Poczta prowadziła przetwarzanie, zostały uznane przez Naczelny Sąd Administracyjny za nieważne i wydane bez podstawy prawnej. Stwierdzono, że podstawa taka nigdy nie zaistniała, a więc przetwarzanie było nielegalne.
Grzech szósty – brak zgłoszenia naruszenia
Kolejnym często występującym i karanym przez urząd błędem jest niewypełnienie przez administratora obowiązków związanych z naruszeniem, przez co należy rozumieć niezgłoszenie naruszenia Prezesowi UODO, bądź brak zawiadomienia osób dotkniętych naruszeniem. Nieprawidłowości te niemal zawsze wynikają z zaniżenia poziomu ryzyka podczas jego oceny lub – co gorsza – braku jej dokonania. Remedium na to jest oczywiście przeprowadzenie rzetelnej i uczciwej oceny ryzyka stwarzanego przez naruszenie dla praw i wolności podmiotów danych. Wskazać tu można karę nałożona na MBank, który omyłkowo wysłał dokumenty do innej instytucji finansowej. Bank błędnie przyjął, że odbiorca dokumentów jest odbiorcą zaufanym i naruszenie nie wiązało się z wysokim ryzykiem, w związku z czym odstąpił od zawiadomienia o naruszeniu osób, których dotyczyły dane. Prezes UODO nie zgodził się z tą argumentacją i ukarał MBank 4 milionową karą (DKN.5131.1.2024).
Grzech siódmy – straszenie RODO
Grzech siódmy jest często popełniany przez rozmaitych „ekspertów” i samozwańcze autorytety. Osoby te niejednokrotnie żerują na strachu namawiając do swoich usług. Dużo mówią o gigantycznych karach i o wyśrubowanych wymaganiach stwarzanych przez Rozporządzenie. Maluje się tu obraz RODO jako niezwykle trudnych lub nawet niemożliwych do spełnienia standardów. Po 7 latach doświadczeń widać jednak, że rzeczywistość odbiega od tych apokaliptycznych wizji a do RODO naprawdę można się dostosować, bez wywracania organizacji do góry nogami. Są to bowiem nie tylko wymagania, ale też optymalne wykorzystanie danych, wpisanie prywatności w projektowanie procesów i produktów, troska o prawa i wolności klientów oraz przewaga konkurencyjna czy dbałość o własną markę. Szczególnie z tym ostatnim ciężkim grzechem od ponad 7 lat walczymy na portalu, przekazując rzetelne informacje.