Norweski organ właściwy do spraw ochrony danych osobowych (Datatilsynet) ukarał Norweski Zarząd Dróg Publicznych (Norwegian Public Roads Administration). Administracyjna kara pieniężna opiewa na kwotę 37 400 euro (ok. 168 000 zł). Regulator stwierdził u administratora nieprawidłowości związane z wykorzystywaniem systemu monitoringu zainstalowanego na drogach płatnych w Norwegii. Dotyczyły one przetwarzania danych osobowych niezgodnie z pierwotnym celem ich pozyskania oraz nieusuwania nagrań po upływie 7 dni od ich zarejestrowania.
Z punktu widzenia polskiej ustawy o ochronie danych osobowych jest to wysoka kara. Zgodnie z jej przepisami, polski organ nadzorczy (Urząd Ochrony Danych Osobowych – UODO) może bowiem nałożyć karę na organ publiczny w maksymalnej wysokości 100 000 zł.
Bezprawna zmiana celu przetwarzania
Ukarany podmiot jest administratorem systemu przetwarzającego dane osobowe pozyskane
z obszaru płatnych dróg w Norwegii. System ten rejestruje dane osobowe m.in. możliwych do zidentyfikowania pojazdów (a co za tym idzie ich właścicieli), które przejeżdżają przez publiczne stacje poboru opłat za przejazd.
W toku postępowania organ nadzorczy ustalił, że Norweski Zarząd Dróg Publicznych przetwarzał dane osobowe – za pośrednictwem systemu monitorującego drogi – na dużą skalę. Pierwotnym celem przetwarzania tych danych – określonym przez administratora – było zapewnienie bezpieczeństwa na drogach publicznych oraz zoptymalizowanie obsługi tunelu i mostów zwodzonych w hrabstwie Østfold.
Jak wynika z treści decyzji, ukarany podmiot przetwarzał pozyskane w ten sposób dane osobowe niezgodnie z pierwotnie ustalonym celem. Wykorzystywał on bowiem zarejestrowane nagrania m.in. w celu udokumentowania nienależnego wywiązywania się przez określone podmioty z zawartych umów. W ocenie norweskiego organu nadzorczego wykorzystanie przedmiotowych nagrań, zawierających dane osobowe, do weryfikacji stopnia realizacji określonych umów jest niezgodne z prawem i pierwotnym celem przetwarzania danych osobowych, tj. zapewnieniem bezpieczeństwa w ruchu drogowym.
Problem z usuwaniem danych
Regulator zarzucił również Norweskiemu Zarządowi Dróg Publicznych naruszenia w zakresie retencji danych osobowych, tj. ich usuwania w odpowiednim terminie. Zgodnie z norweskimi przepisami, nagrania pochodzące z monitoringu (a co za tym idzie dane osobowe) można przechowywać do momentu ustania powodu jego przechowywania. Czas ten wynosi nie dłużej niż 7 dni od zarejestrowania materiału. Wyjątkiem od tej zasady jest przypadek, gdy zajdzie prawdopodobieństwo, że określone nagranie zostanie przekazane właściwym organom ścigania w związku z ewentualnym dochodzeniem w sprawie wypadku lub przestępstwa.
Organ nadzorczy podkreślił w swoim rozstrzygnięciu, że w toku postępowania nie znalazł on dowodów, że określone nagrania z monitoringu zostały przekazane organom ścigania. Co więcej, postępowanie dowodowe wykazało, że wykorzystywany system monitoringu w ogóle nie posiadał funkcji usuwania danych osobowych. Norweski Zarząd Dróg Publicznych nie był zatem w stanie zrealizować – w ocenie regulatora – obowiązku, o którym mowa w art. 17 RODO (prawo do usunięcia danych osobowych). Brak przedmiotowej funkcjonalności wskazuje dodatkowo, że administrator wdrażając system monitoringu pominął również instytucje wskazane w art. 25 RODO (uwzględnienie ochrony danych w fazie projektowania – privacy by design – oraz domyślna ochrona danych – privacy by default). Biorąc pod uwagę te okoliczności, organ nadzorczy stwierdził naruszenie wskazanych przepisów RODO.
Główne motywy regulatora
Norweski organ nadzorczy wskazał w decyzji, że przy określaniu wysokości administracyjnej kary pieniężnej wziął w niniejszej sprawie pod uwagę fakt, że zakwestionowany proces przetwarzania danych osobowych pozyskanych z systemu monitoringu był w znacznym stopniu niekorzystny dla osób, których dane dotyczyły. Wpływ na wysokość kary nałożonej na Norweski Zarząd Dróg Publicznych miały również fakt przetwarzania danych osobowych na dużą skalę oraz świadomość administratora w kontekście wykorzystywania danych osobowych z zarejestrowanych nagrań sprzecznie z pierwotnym celem ich pozyskania.
Potencjalna kara dla organu publicznego w Polsce
Przypomnijmy, że zgodnie z motywem 150 RODO, państwa członkowskie powinny określić, czy i w jakim zakresie administracyjnym karom pieniężnym powinny podlegać organy publiczne. Polski ustawodawca zdecydował się określić górny limit potencjalnej kary pieniężnej dla podmiotu publicznego, na kwotę 100 000 zł. Dotychczas Prezes UODO nałożył dwie kary w maksymalnej wysokości (oczywiście nakładał też kary na inne podmioty, ale nie były one w maksymalnej wysokości). Obie kary nałożone zostały na ten sam podmiot, tj. Głównego Geodetę Kraju (więcej na ten temat pisaliśmy TUTAJ: https://gdpr.pl/aktualnosci/100-000-zl-kary-dla-glownego-geodety-kraju; https://gdpr.pl/aktualnosci/glowny-geodeta-kraju-ukarany-po-raz-drugi-w-maksymalnej-wysokosci).
Treść decyzji w j. norweskim:
Źródło:
https://www.datatilsynet.no/en/news/2020/decision-to-fine-the-norwegian-public-roads-administration/