Jak wskazywaliśmy w naszym artykule (https://gdpr.pl/sprawozdanie-uodo-za-2021-rok), sprawozdanie UODO jest bardzo bogate w statystyki. Ale także w konkretne a czasem nawet zaskakujące stanowiska. O tych ostatnich mówiliśmy podczas webinaru, który poniżej krótko podsumowujemy.
Podsumowanie nie obejmuje wszystkich omówionych przez nas spraw, a te o których mówiliśmy nie wyczerpują tego co można wyczytać ze sprawozdania, ale mamy nadzieję że będzie ono wystarczającą zachętą do uważnego przestudiowania całego dokumentu.
Zlecający czyli kto?
W jednej ze spraw opisanych w sprawozdaniu elektroniczna korespondencja marketingowa realizowana była przez podmiot trzeci, działający na zlecenie spółki, wobec której wniesiono skargę. Innymi słowy realizowano akcje marketingowe „na zlecenie spółki X”, W swojej decyzji UODO wskazał, że podmiot trzeci (fizycznie realizujący wysyłkę) zebrał dane, w tym dane skarżącego samodzielne i działał jako osobny administrator, któremu zleca się akcję marketingową. UODO uznał także, ze taka aktywność nie jest udostępnieniem danych osobowych innemu podmiotowi (to pośrednio odpowiedź na pytanie czy takie działanie na zlecenie nie jest udostępnieniem połączonym ze zwrotnym powierzeniem w ramach zakupu usługi). Co natomiast najciekawsze, Prezes UODO uznał, że pomimo wskazania zakresu odbiorców, czasu akcji, treści i innych elementów zlecająca Spółka nie jest w tej relacji administratorem. Pojawiło się bardzo ciekawe stwierdzenie, że „Spółka nie pełniła żadnej roli w procesie przetwarzania danych osobowych Skarżącego w odniesieniu do korespondencji wskazanej w skardze”. W takim razie kim jest? Idąc tym tropem można uznać, że zlecająca Spółka może zakupić tysiące baz danych wątpliwej jakości i nie poniesie żadnej odpowiedzialności bowiem „nie pełni żadnej roli” Czy na pewno?
Czy sąsiad powinien bać się RODO?
Poruszona również została kwestia monitoringu prywatnych posesji. Rozstrzygając w tej sprawie Prezes UODO uwzględnił treść wyroku Trybunału Sprawiedliwości Unii Europejskiej z dnia 11 grudnia 2014 r. w sprawie C-212/13 František Ryneš przeciwko Úřad pro ochranu osobních údajů Ryneš, zgodnie z którym „wykorzystywanie systemu kamer przechowującego zapis obrazu osób na sprzęcie nagrywającym w sposób ciągły, takim jak dysk twardy, zainstalowanego przez osobę fizyczną na jej domu rodzinnym w celu ochrony własności, zdrowia i życia właścicieli domu, który to system monitoruje również przestrzeń publiczną, nie stanowi przetwarzania danych w trakcie czynności o czysto osobistym lub domowym charakterze”, a w takim przypadku proces przetwarzania danych osobowych za pomocą monitoringu wizyjnego podlega normom przepisów prawa o ich ochronie.
To odpowiada na pytanie nurtujące wielu prawników zajmujących się RODO, w tym mnie, na jakiej podstawie UODO czuje się kompetentny w sprawach monitoringu na prywatnej posesji. Gdzie są granice wyłączenia wskazane w art.2 ust. 2 pkt c. Monitorowanie obszaru innego niż nasz posesja prywatna daje się wykraczać poza wyłączenie z ar.2. Ale czy nie powinien rozstrzygać charakter tego przetwarzania (zamiar nagrywającego)?
Kto jest kim?
UODO w jednej z decyzji uznał jednoznacznie, że broker ubezpieczeniowy to administrator danych osobowych. Sprawa opierała się na skardze wniesionej wobec brokera ubezpieczeniowego z powodu wykorzystania danych w związku ze zgłoszeniem szkody. Stosownie do treści art. 4 ust. 4 ustawy o dystrybucji ubezpieczeń – skarżony podmiot wykonywał czynności w zakresie dystrybucji ubezpieczeń w imieniu lub na rzecz klienta tj. czynności do których zobowiązany był na podstawie przepisów prawa. Powyższe okoliczności pozwoliły na uznanie brokera za administratora. Jest to o tyle ważne, że wciąż jako kancelaria musimy walczyć z przeciwnymi stanowiskami, forsowanymi z uporem maniaka przez część rynku.
W podobnej sytuacji jest tłumacz przysięgły, ponieważ ustawa o zawodzie tłumacza przysięgłego w art. 29a‒29c kreuje obowiązki tłumacza jako administratora. W tych przypadkach nie należy zawierać umowy powierzenia z tymi podmiotami.
Omówione przykłady należy traktować szerzej jako jasne wskazówki czym się kierować przy rozstrzygnięciu ról w procesach przetwarzania danych, czyli ustaleniu kluczowej kwestii kto jest kim.
Nadzieja dla certyfikacji?
Ze sprawozdania dowiadujemy się także, że jest światełko w tunelu dla certyfikacji. I tak oto urząd podaje, że długo oczekiwany mechanizm certyfikacji może w niedalekiej przyszłości wejść w życie. W 2021 roku UODO prowadził prace nad projektem wymogów akredytacji podmiotów certyfikujących. Dokument ten został sporządzony m.in. w oparciu o wytyczne EROD 4/2018 w sprawie akredytacji podmiotów certyfikujących na podstawie art. 43 ogólnego rozporządzenia o ochronie danych (2016/679). W styczniu 2022 roku projekt ten został przedłożony EROD do zaopiniowania w trybie art. 64 RODO. Zatem czekamy.
Uprzednie konsultacje
UODO w sprawozdaniu odniósł się również do mitycznej instytucji uprzednich konsultacji. Okazuje się, że administratorzy coraz lepiej rozumieją cel instytucji uprzednich konsultacji i już nie zwracają się o nie do UODO w sytuacjach innych niż te, o których mowa w art. 36 ust. 1 RODO. Z informacji jakimi my dysponowaliśmy w 2021 r. wynikało, że takowych wniosków w ogóle nie było. Wyjaśnieniem może być fakt, że UODO podaje liczbę wniosków, ale jednocześnie wyjaśnia, że żaden z nich nie spełniał kryteriów formalnych. Może warto zapoznać się z wymaganiami lub skorzystać z wiedzy specjalistów.
Postępowanie z naruszeniami i kontrole Prezesa UODO
Jak dokonywać zawiadomienia osób o naruszeniu?
Ciekawy jest też fragment w którym Urząd wskazuje, że w przypadku kradzieży danych osobowych, w wyniku którego administrator nie ma możliwości identyfikacji osób, które należy zawiadomić o naruszeniu (np. nie posiada kopii zapasowej skradzionych danych), należy dokonać zawiadomienia tych osób poprzez wydanie publicznego komunikatu lub zastosowanie podobnego skutecznego środka.
Przykład pokazuje nie tyko jakie rozwiązanie jest prawidłowe, ale też podkreśla determinację urzędu w rozliczaniu administratorów ze wskazanego obowiązku (pomimo tak obiektywnych trudności jak brak adresu).
A co ciekawego wydarzyło się w innych krajach w 2021 r.?.
We Francji w 2021r. powołano 28 810 inspektorów ochrony danych, co oznacza wzrost o 12% względem zeszłego roku. W Polsce nadal nie znamy oficjalnych danych. O 4% wzrosła również, w porównaniu z 2020r., liczba skarg. Liczba naruszeń (zgłaszanych) zaś aż o 79%. Francuzi najczęściej mieli problem z niechcianym marketingiem. Skąd to znamy?
W Hiszpanii w 2021 r. nastąpił ponad 90% wzrost roszczeń związanych z promocją reklam. Przy czym 70% skarg związanych z promocją reklam dotyczyło niechcianych połączeń telefonicznych.
I na koniec recepta jak zrobić, by skarg było mniej. W Niderlandach liczba skarg jakie trafiły do rzędu zmniejszyła się o około jedną czwartą (!) w porównaniu z 2020 r. Było to spowodowane głównie spadkiem liczby otrzymanych i zarejestrowanych porad telefonicznych. A stało się tak ponieważ godziny konsultacji telefonicznych w 2021 r. zostały skrócone do 2 godzin dziennie. I tak dzięki temu prostemu rozwiązaniu, ludzie składali mniej skarg.
Czas na podcast! – „Co udało się UODO w 2021r – sprawozdanie Prezesa”
Aby posłuchać kliknij TUTAJ
