Co nowego w RODO w 2024 r.

Ochrona danych osobowych, wizerunku, zwłaszcza w przestrzeni publicznej, danych informatycznych, ochrona małoletnich i ochrona sygnalistów to wyzwania dla rządów, instytucji publicznych oraz przedsiębiorców. Przedstawiam Państwu kilka uwag odnośnie ochrony danych z przełomu 2023 i 2024 r.

W 2023 r. polski organ nadzorczy jakim jest Urząd Ochrony Danych Osobowych działał m.in. na podstawie Szczegółowego planu kontroli sektorowych UODO na rok 2023. Plan przewidywał kontrole w następujących dziedzinach:

1. Organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym – przetwarzanie danych osobowych SIS/VIS na podstawie przepisów ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczpospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz. U. z 2021 r. poz. 1041), aktów wykonawczych oraz przepisów Unii Europejskiej.
2. Podmioty przetwarzające dane osobowe przy użyciu aplikacji mobilnych – sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.
3. Podmioty przetwarzające dane osobowe przy użyciu aplikacji internetowych (webowych) – sposób zabezpieczenia i udostępniania danych osobowych
   przetwarzanych w związku z użytkowaniem aplikacji. Analiza opublikowanych decyzji nakładających kary na kontrolowane podmioty https://uodo.gov.pl/pl/p/decyzje nie potwierdza takiego kierunku zainteresowania UODO. Z cytowanej publikacji wynika, że w 2023 r. nałożono na administratorów danych 26 kar w tym 19 finansowych oraz 7 upomnień. Upomnienia niemal w 100 % spowodowane były: Brakiem współpracy z Prezesem
   Urzędu Ochrony Danych Osobowych w ramach wykonywania przez niego jego zadań oraz zapewnienia Prezesowi Urzędu Ochrony Danych Osobowych dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań w postępowaniu. (z uzasadnień decyzji).

2023 r. nie był rekordowym rokiem jeśli wziąć pod uwagę wysokość kar finansowych. Łączna ich kwota to trochę ponad 656.000 złotych, co przy wcześniejszych – kilkumilionowych nie jest rekordem, ale zapewne dotkliwie i negatywnie wpłynęło na niektóre podmioty.
Nie dziwi mnie, że 12 z 19 kar czyli około 2/3 – nałożono na podmioty gospodarcze: spółki i firmy. Tak było też wcześniej, a kara w tym przypadku może być wysoka bo do 20 milionów Euro, a nawet więcej.

Co mnie zaskoczyło przy nakładanych karach, to podmioty publiczne, wobec których stosowano kary pieniężne. Jakie to podmioty: Minister Zdrowia, Sąd Rejonowy, Prokuratura Rejonowa, Burmistrzowie Miast, a nawet o zgrozo – Rzecznik Dyscyplinarny Izby Adwokackiej.

Dlaczego to takie zaskakujące? Ano dlatego, że o ile mały przedsiębiorca, stowarzyszenie, fundacja itp. zazwyczaj mają bardzo ograniczone środki i korzystają z własnych pracowników czasami podmiotów zewnętrznych jako Inspektorów Ochrony Danych (IOD), o tyle podmioty publiczne zwłaszcza związane ze ściganiem sprawców przestępstw i wymiarem sprawiedliwości dysponują odpowiednimi środkami finansowymi oraz potencjałem prawniczym. Dlaczego łamią prawo? Odpowiedź powinna być zapewne złożona i wymaga analizy każdego przypadku. Przypomnę tylko, że te podmioty korzystają z innych przepisów o ochronie danych osobowych niż podmioty „cywilne”. Istniej coś takiego jak Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 oraz Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Przy okazji m.in. kary 100.000 złotych nałożonej na Ministra Zdrowia, którą musi zapłacić urząd czyli ministerstwo – przypominam o instytucji „regresu prawnego” czyli możliwości żądania pokrycia przez konkretnego sprawcę straty poniesionej przez instytucję. W przypadku działania z premedytacją czyli mając pełną wiedzę o bezprawności działania, wiedzę dotyczącą zasad ochrony danych – regres może dotyczyć 100 % kary finansowej.
Z sentencji decyzji UODO wynika, że podstawami do nałożenia najwyższych kar finansowych były nastepujace powody:
– Niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki oraz niezawiadomienie o naruszeniu osoby, której dane dotyczą;
– Niezgodne z prawem przetwarzanie danych osobowych, w tym danych szczególnej kategorii bez podstawy prawnej, niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych oraz nieprzedstawienie osobie, której dane naruszono – konsekwencji naruszenia ochrony danych;
– Niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych, zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia.

Wszystkich tych postępowań, kar oraz innych konsekwencji (w przypadku podmiotów związanych z ochroną prawa i wymiarem sprawiedliwości to wstyd, a w przypadku innych podmiotów utrata zaufania klientów i pogorszenie wizerunku) można uniknąć.

Jak to zrobić?
Odpowiedź jest prosta. Należy szukać, weryfikować kompetencje i zatrudniać IOD, którzy mają wykształcenie, wiedzę i doświadczenie w zakresie ochrony danych osobowych.

To się naprawdę opłaca. Dobry IOD powinien brać udział w szkoleniach zewnętrznych, korzystać na bieżąco z publikacji i komentarzy prawniczych, umieć szkolić pracowników klienta, prowadzić postępowania i audyty, mieć uprawnienia audytora np. normy 27001 (bezpieczeństwa informacji). Nie należy oszczędzać na IOD – nakładane kary w zależności od wielkości podmiotu i jego kondycji finansowej mogą doprowadzić nawet do upadku podmiotu prywatnego. Dotychczasowe kary osiągnęły nawet prawie 5 milionów złotych.

Jakie będą kierunki działań UODO w 2024 r. na razie nie wiemy (na 25.01.2024 r.). Na stronie UODO nie ma Planu kontroli sektorowych na 2024 r., a zmiany w kierownictwie instytucji mogą zmienić sposób patrzenia tego urzędu. Wróćmy zatem do głównego tematu tego wywodu – nowości w RODO w 2024 r.

W lutym 2024 r. wchodzą w życie zmienione przepisy dotyczące ochrony małoletnich tzw. ustawa Kamilka (nowelizacja ustawy Kodeks Rodzinny i Opiekuńczy). Jak w każdym przypadku administrator i jego IOD muszą pochylić się nad ochroną nie tylko małoletnich, ale też danych osobowych innych podmiotów występujących choćby w nowych procedurach. (Podstawa przetwarzania, upoważnienia, klauzule informacyjne, retencja danych itp.). Bardzo ważną sprawą będzie przyjęcie przez Sejm RP ustawy o ochronie osób zgłaszających naruszenia prawa. Kolejny projekt dostępny jest na stronie RCL (nr projektu UC101).

Jednocześnie przypominam, że dla podmiotów zatrudniających ponad 50 pracowników obowiązki dotyczące ochrony sygnalistów obowiązują już na mocy Dyrektywy Parlamentu Europejskiego i Rady z dnia 23.10.2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (UE 2019/1937). Od dnia 17 grudnia 2023 r. zasady Dyrektywy obowiązują bezpośrednio na podstawie jej art. 26 ust. 2. Na zasadzie odstępstwa od ust. 1, w przypadku podmiotów prawnych w sektorze prywatnym zatrudniających od 50 do 249 pracowników, państwa członkowskie wprowadzają w życie do dnia 17 grudnia 2023 r.
przepisy ustawowe, wykonawcze i administracyjne niezbędne do wypełnienia obowiązku ustanowienia wewnętrznych kanałów dokonywania zgłoszeń zgodnie z art. 8 ust. 3. Art. 8 Obowiązek ustanowienia wewnętrznych kanałów dokonywania zgłoszeń.

Ust. 1 stosuje się do podmiotów prawnych w sektorze prywatnym, które zatrudniają co najmniej 50 pracowników.

Jak wspomniana Dyrektywa ma się do RODO?
W art. 3 (opis naruszenia prawa) wymieniono w ppkt. 11 m.in. ochronę prywatności i danych osobowych. Szereg przepisów ustawy stanowi o ochronie danych osób zgłaszających, osób pomagających zgłaszającym i innych osób.

Do podstawowych wymogów jakie Dyrektywa i ustawa stawiają przed pracodawcami należą:
– ustanowienie bezpiecznych kanałów zgłaszania naruszeń prawa w tym ustnie i na piśmie;
– opracowanie i wdrożenie wewnętrznych regulaminów zgłoszeń, określających wewnętrzną procedurę zgłaszania naruszeń prawa i podejmowania działań następczych (art. 29 projektu ustawy).
Art. 30 projektu ustawy określa zasady ochrony danych osobowych w ramach przyjmowania zgłoszeń od sygnalistów.
Art. 30.

1. Organizacja przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz związanego z tym przetwarzania danych osobowych uniemożliwia uzyskanie dostępu do informacji objętej zgłoszeniem nieupoważnionym osobom oraz zapewnia ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby, której dotyczy zgłoszenie. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio
lub pośrednio zidentyfikować tożsamość takich osób.

2. Do przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz przetwarzania danych osobowych osób, o których mowa w ust. 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie pracodawcy. Osoby upoważnione są obowiązane do zachowania tajemnicy.
3. Pracodawca stosuje rozwiązania techniczne i organizacyjne zapewniające przechowywanie danych osobowych zgłaszającego oddzielnie od dokumentu lub innego nośnika informacji obejmujących zgłoszenie, włączając w to, w odpowiednim przypadku, usunięcie z treści dokumentu lub innego nośnika informacji niezwłocznie po ich otrzymaniu wszystkich danych osobowych zgłaszającego.
4. Widzimy, że ustawodawca stara się zabezpieczyć interesy osób sygnalizujących nieprawidłowości. W związku z powyższym na administratorach danych ciążyły będą obowiązki związane nie tylko z możliwością sygnalizowania, ale też z ochrona danych osobowych, co wymaga szeregu profesjonalnych i złożonych czynności, a bez dobrego Inspektora Ochrony Danych na pewno się to nie uda.
   Należy zauważyć, że Urząd Ochrony Danych Osobowych stoi na stanowisku, że IOD ma być tylko doradcą, a wykonawcą wszelkiej dokumentacji powinien być administrator. „Sprawozdanie krajowego polskiego organu nadzorczego w sprawie IOD” https://uodo.gov.pl/pl/search?s=sprawozdanie+krajowe+polskiego+organu+nadzorczego, )
   Pozwolę sobie wyrazić swoje zdanie w tej kwestii. Większość administratorów, a pracuję z kilkoma (jak wynika z opisanych wcześniej kar) nawet przygotowanych pod względem prawnym popełnia błędy lub niedopatrzenia.
   Trudno wymagać od nich, aby byli specjalistami w zakresie ochrony danych w tym informatycznych, potrafili sporządzić dokumentację, szkolić pracowników, wykonać audyty oraz oceny zagrożeń, ważenie praw itp. Przecież to od IOD wymaga się, aby miał w tym zakresie wiedzę, wykształcenie, doświadczenie itp. Mam nadzieję, że UODO zweryfikuje swoje stanowisko w tej sprawie urealniając podział kompetencyjny miedzy administratorem danych i IOD. Może wtedy będzie mniej powodów do nakładania kar i większe zainteresowanie usługami dobrych Inspektorów Ochrony Danych.

Oczywiście działań dla administratorów i ich IOD w tym roku będzie więcej, ale postaram się je komentować na bieżąco. W kolejnych przemyśleniach postaram się zająć sprawami ochrony danych ludzi w przestrzeni publicznej. Niektóre miasta umieszczają na ulicach w parkach i innych miejscach tyle kamer, że niedługo dościgną Chiny, gdzie przypada jedna kamera na pięciu obywateli. Nie zawsze taką brutalną ingerencję w sfery prywatności obywateli da się uzasadnić przepisami prawa np. ustawą o samorządzie gminnym. Tym bardziej, że w 2023 r. doszło do co najmniej dwóch znanych z mediów przypadków śmierci osób w tym małoletnich pod okiem kamery monitoringu miejskiego.

Liczę na dyskusje na temat ochrony danych osobowych oraz innych danych we współczesnym świecie.