Wojciech Dziomdziora: Druga kara nałożona na podstawie RODO pokazuje, jak ważne jest zachowanie szczególnej uwagi w doborze i nadzorze nad firmami dostarczającymi rozwiązań informatycznych
UODO nałożył drugą karę na podstawie RODO. Na związek sportowy, który opublikował na swej stronie szczegółowe dane sędziów, łącznie z ich adresami i numerami PESEL, i nawet po wykryciu tego błędu przez pół roku nie potrafił go naprawić. Uważa pan, że kara się należała? Ostatecznie chyba żaden sędzia wprost nie ucierpiał.
Nie jest moją rolą oceniać, czy związek zasłużył na karę. To oceni sąd, bo nie wątpię, że związek odwoła się od decyzji prezesa UODO. Zwrócę natomiast uwagę, że decyzja prezesa zawiera spójną i umocowaną prawnie argumentację. Zważył on racje, wskazując zarówno na okoliczności zaostrzające karę, jak i na okoliczności łagodzące. Trudno zgodzić się ze stwierdzeniem, że żaden z sędziów nie ucierpiał. Co prawda, brak jest dowodów na to, że któryś z nich doznał szkody majątkowej, ale już samo naruszenie poufności danych stanowić może szkodę niemajątkową. Trzeba także wziąć pod uwagę, że dane osobowe sędziów mogły zostać skopiowane i istnieje ryzyko, że zostaną użyte w przyszłości.
Poniekąd to sam związek wystawił się na ostrzał. To on zgłosił bowiem naruszenie ochrony danych. Inni mogą teraz pomyśleć, że może lepiej nie wyskakiwać przed orkiestrę.
Związek, zgłaszając naruszenie, postąpił prawidłowo. Jego sytuacja, w przypadku braku zgłoszenia naruszenia przepisów ochrony danych osobowych i późniejszego wykrycia tego faktu przez prezesa UODO, byłaby zdecydowanie gorsza. Zwracam też uwagę, że później pojawiła się skarga od jednej z osób, której dane udostępniono, a zatem sprawa i tak wyszłaby na jaw. Z uzasadnienia wynika, że gdyby związek skutecznie usunął dane osobowe sędziów z internetu, uniknąłby prawdopodobnie kary. Na jej wymiar wpłynął łagodząco również fakt, że podmiot współpracował z prezesem UODO w trakcie postępowania. Zatem decyzja związku o zgłoszeniu naruszenia przepisów o ochronie danych osobowych i współpraca podczas kontroli była jak najbardziej zasadna i prawidłowa.
Jaka wskazówka płynie dla innych administratorów z tej decyzji?
To już kolejna kara administracyjna nałożona w związku z nieprzestrzeganiem przepisów dotyczących ochrony danych osobowych. Widać wyraźnie, że prezes UODO nie stroni od korzystania z przysługujących mu uprawnień. Zatem podstawową, ogólną wskazówką płynącą dla administratorów z tej decyzji jest to, aby przestrzegać przepisów o ochronie danych osobowych. Zaś wskazówka szczegółowa dotyczy zachowania szczególnej uwagi w doborze i nadzorze nad firmami dostarczającymi rozwiązań informatycznych. Z uzasadnienia decyzji wynika, że w tej sprawie doszło do zaniedbań ze strony firmy sprawującej nadzór informatyczny. Jeśli tak było w istocie, to istnieją instrumenty prawne do dochodzenia przez związek roszczeń odszkodowawczych od tej firmy. Ciekawe w tym kontekście mogą być postanowienia umowy pomiędzy związkiem a rzeczoną firmą IT. Sprawa ta stanowi kolejne potwierdzenie tezy, którą od dawna lansuję, że bezpieczeństwo danych osobowych musi być traktowane jako element cyberbezpieczeństwa. To zaś zależy także od dobrych umów z dostawcami rozwiązań IT.
W decyzji podkreślono, że karę – w wysokości niespełna 56 tys. zł – nałożono nie za samo naruszenie ochrony danych, tylko za brak naprawienia tego błędu. Czy to znaczy, że samo naruszenie nie zasługiwało na karę?
Prezes UODO ma za zadanie dbać o przestrzeganie przepisów o ochronie danych osobowych, a tym samym o nasze prawa jako podmiotów tych danych. Dysponuje on różnymi instrumentami, w tym może nakazać administratorowi dostosowanie operacji przetwarzania danych do obowiązujących przepisów, a także wskazać sposób i termin dostosowania działań administratora do obowiązującego prawa. W tej sprawie najpierw skorzystał z tych narzędzi i dopiero, kiedy okazało się, że nie przyniosły one oczekiwanego skutku, w odpowiednim czasie nałożył karę. Nie jest więc tak, że karę nałożono wyłącznie za brak naprawienia błędu. Gdyby bowiem do naruszenia nie doszło, to nie byłoby całej sprawy, a zatem także kary.