„To kpina”, „Urząd boi się roszczeń odszkodowawczych”, „W efekcie osoby, których dane osobowe zostały naruszone, nie będą mogły dochodzić swoich roszczeń w sądzie” – to tylko niektóre komentarze, jakie wygłaszali eksperci po tym, jak prezes Urzędu Ochrony Danych Osobowych nie zdecydował się na upublicznienie nazwy spółki, na którą nałożył prawie milion złotych kary. Rynek jednak szybko się dowiedział, że jest to spółka Bisnode.
– To, że UODO zdecydował się spseudonimizować tekst decyzji, jest niefortunne zwłaszcza na samym początku stosowania RODO w Polsce. Nie powinno stać się to stałą praktyką. Transparentność to bowiem filar RODO – ocenia dr Łukasz Olejnik, niezależny badacz i doradca cyberbezpieczeństwa i prywatności, research associate Center for Technology and Global Affairs Uniwersytetu Oksfordzkiego.
Zapytany o tę kwestię Piotr Drobek, dyrektor zespołu strategii i analiz w UODO, tłumaczy nam, że w ocenie organu nadzorczego nałożenie kary finansowej i nakaz odpowiedniego zachowania dla spółki było wystarczające, jeżeli chodzi o aspekt represyjny względem naruszyciela. – Ważniejsze od dodatkowego represjonowania ukaranego podmiotu było dla nas pokazanie samego mechanizmu naruszenia. Ustawa o ochronie danych osobowych daje oczywiście prezesowi UODO możliwość podania nazwy ukaranego administratora, lecz nie wprowadza żadnego automatyzmu. Każdorazowo będziemy więc analizować, czy skorzystanie z tej możliwości będzie uzasadnione – zapewnia Piotr Drobek.
Dodaje, że to organ będzie informował o każdej nałożonej karze pieniężnej, nie tylko ze względu na związaną z tym prewencję ogólną, lecz także po to, aby wyeliminować jakiekolwiek próby nielegalnego podszywania się pod urząd i wyłudzenia od przedsiębiorców świadczeń pieniężnych, określanych np. jako kary (co w praktyce się już zdarzało).
Jednocześnie przedstawiciel urzędu jest zaskoczony komentarzami, jakoby ukrywanie nazwy naruszyciela było powodowane np. strachem przed pozwem o naruszenie dóbr osobistych wniesionym przez spółkę. – Skorzystanie przez prezesa UODO ze swoich uprawnień nie może być traktowane jako naruszenie dóbr osobistych – wyjaśnia.
Praktyka z innych krajów
Sprawdziliśmy, jak organy nadzorcze w innych państwach członkowskich UE podchodzą do kwestii ujawniania nazwy ukaranych podmiotów. Okazuje się, że bardzo różnie. W Niemczech też nie podano nazwy pierwszej ukaranej firmy. Naruszyciel został oznaczony jedynie jako „niemiecki serwis społecznościowy”. To jednak nie stało się praktyką. W Austrii nie podano zaś nazwy małej firmy ukaranej za zainstalowanie niezgodnie z RODO kamer przemysłowych.
Ale nie wszędzie tak jest. Dr Grzegorz Sibiga, adwokat z kancelarii Traple, Konarski, Podrecki i Wspólnicy oraz Instytutu Nauk Prawnych PAN, mówi, że francuski organ nadzorczy (CNIL) udostępnia dane identyfikujące ukarane podmioty. Również organ portugalski (Comissão Nacional de Protecção de Dados) upublicznił nazwę szpitala, na który nałożył karę. Z kolei dr Łukasz Olejnik dodaje, że w krajach o uznanych standardach, takich jak Wielka Brytania czy Francja, anonimizacja decyzji w dniu ich publikacji byłaby nie do pomyślenia (tam decyzje pseudonimizuje się po dwóch latach). – We Włoszech na 1121 publicznie dostępnych decyzji większość zawiera nazwę ukaranego podmiotu, wyjątek stanowią te, które dotyczą osób fizycznych – wskazuje dr Łukasz Olejnik.
W państwach członkowskich UE brakuje zatem jednego standardu. Nawet wcześniejsza praktyka polskiego generalnego inspektora ochrony danych osobowych (GIODO, poprzednik UODO) w kwestii publikowania informacji o adresatach wydanych decyzji administracyjnych była bardzo różna.
– Są kraje, gdzie zawsze bardzo transparentnie wskazuje się ukarane podmioty, i takie, gdzie stanowi to wyjątek – mówi Piotr Drobek. Dodaje, że choć trudno przewidywać, jak ukształtuje się przyszła praktyka prezesa UODO, to urząd chciałby zachować równowagę pomiędzy oboma skrajnymi podejściami.
Pięć sekund
Eksperci mają jednak wątpliwości, czy utajnienie nazwy ukaranej firmy miało sens, skoro ukarany podmiot i tak był łatwy do zidentyfikowania. – Mamy sytuację, że nazwa rzeczonego podmiotu była z jednej strony niejawna, a z drugiej strony jej poznanie było niezwykle proste – zauważa dr Łukasz Olejnik.
Piotr Drobek z UODO ripostuje, że choć nazwa została odkryta szybko, to jednak nie przez byle kogo, tylko przez powszechnie znanego specjalistę z zakresu bezpieczeństwa informacji. – Nie ukrywam, że zależało nam na szybkim przekazaniu decyzji do publicznej wiadomości, aby każdy zainteresowany mógł się skonfrontować z jej treścią. Tymczasem proces anonimizacji lub pseudonimizacji jest złożony i wymaga dużej uwagi. Bo trzeba wyważyć ukrycie wszelkich danych zmierzających do identyfikacji podmiotu, jednocześnie nie szatkując decyzji jak niegdyś cenzura, czyniąc ją nieczytelną i niepraktyczną dla nikogo – tłumaczy Piotr Drobek. I dodaje, że urzędowi zależało na klarownym pokazaniu, jaki był sposób analizy dokonanej przez organ, a to dało się uwydatnić jedynie poprzez ukazanie określonych działań ukaranego podmiotu.
Blokowanie roszczeń
Zgodnie z art. 82 ust. 1 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie. W związku z brakiem podania nazwy naruszyciela pojawiły się głosy krytyczne, że takie działanie organu nadzorczego może przyczyniać się do braku możliwości skorzystania przez osoby fizyczne z przytoczonego uprawnienia.
– Hipotetyczna „publiczna infamia” ukaranego podmiotu może być wzięta pod uwagę, a czasem nawet pełnić funkcję penalizacji. Trzeba to wyważyć w kontekście konkretnych spraw, za priorytet uznając dobro społeczne. Najbardziej prozaicznym powodem przemawiającym za jawnością jest to, że umożliwia ona użytkownikom lub konsumentom kontakt z podmiotami, by np. skierować żądania korekty albo środków naprawczych – uważa dr Łukasz Olejnik.
Jednak Piotr Drobek twierdzi, że na ewentualne roszczenia poza postępowaniem administracyjnym jest wciąż za wcześnie.
– W chwili ogłoszenia przez prezesa UODO informacji o nałożeniu kary termin na złożenie skargi przez przedsiębiorcę do sądu administracyjnego jeszcze nie upłynął. Co oznacza, że decyzja prezesa UODO zarówno w zakresie nakazu określonego zachowania, jak i nałożenia administracyjnej kary pieniężnej też jeszcze nie podległa wykonaniu – wyjaśnia kulisy decyzji o niepodawaniu informacji Piotr Drobek. Przypomina równocześnie, że w omawianej decyzji prezes UODO oprócz nałożenia kary nakazał spółce spełnienie obowiązku informacyjnego, który jako jeden z podstawowych obowiązków wynikających z RODO ma umożliwić osobom, których dane dotyczą, skorzystanie ze swoich uprawnień, np. prawa do sprzeciwu. Niemniej jednak dr Grzegorz Sibiga uważa, że niepodanie informacji identyfikującej ukaranego w komunikacie oraz anonimizacja decyzji umieszczonej w serwisie internetowym UODO nie przesądzają o tym, że jest to informacja chroniona (poufna). – Każdy zainteresowany może więc złożyć do prezesa UODO wniosek o udostępnienie informacji publicznej, a organ musi rozpatrzyć takie żądanie, uzasadniając ewentualną odmowę udostępnienia nazwy ukaranego – mówi dr Grzegorz Sibiga.
opinia eksperta
Wojciech Rafał Wiewiórowski zastępca europejskiego inspektora ochrony danych
Przepisy RODO w żaden sposób nie sugerują, czy informacja o nakładanych karach powinna być podawana publicznie ze wskazaniem ukaranego podmiotu, pozostawiając decyzję w tej kwestii prawu lub praktyce w państwach członkowskich. W tej sytuacji praktyka w poszczególnych krajach jest rożna. Niektóre organy nadzorcze ujawniają te informacje, choć z reguły dotyczy to ukaranych podmiotów publicznych (np. Włoskiego Urzędu Podatkowego czy Poczty Austriackiej). Inne wolą posługiwać się pojęciem opisowym, np. „serwis społecznościowy”. Europejski inspektor ochrony danych nie nakładał dotychczas kar finansowych, ale z zasady nie mamy zwyczaju podawania do publicznej wiadomości nazwy instytucji, której dotyczy nasza decyzja. Uznajemy, że istotniejsze jest przekazanie informacji o szczegółach naruszenia prawa niż publiczne potępianie konkretnego podmiotu. Jednocześnie, jeśli naruszenie mogłoby prowadzić do wytoczenia przez osobę, której dane dotyczą, indywidualnej sprawy lub powództwa cywilnego – z pewnością częścią decyzji byłby nakaz powiadomienia osoby o naruszeniu.