Artykuł ukazał się w Magazynie ODO
Autor: Karolina Pikuła
Ochrona danych osobowych to obszar, który nadal rodzi wiele pytań i wątpliwości. W przypadku niektórych problemów wciąż nie wypracowano jednoznacznych rozwiązań. Są jednak zagadnienia, w których stanowiska organu nadzorczego i sądów administracyjnych pokrywają się, co może stanowić przydatną wskazówkę dla wszystkich podmiotów, które przetwarzają dane osobowe. Warto przyjrzeć się sprawom, co do których sądy administracyjne podzieliły w roku 2021 zdanie PUODO.
Utrudnienie wycofania zgody
Zgoda jest jedną z najczęściej wykorzystywanych podstaw prawnych przetwarzania danych osobowych. Zgodę można jednak w dowolnym momencie wycofać, a niektórzy administratorzy zapominają, że wycofanie zgody musi być, zgodnie z art. 7 ust. 3 RODO, równie łatwe jak jej wyrażenie. Tak też było w przypadku sprawy, którą w 2020 r. zbadał PUODO[1], a następnie ocenił również wojewódzki sąd administracyjny[2].
W omawianej sprawie, administrator danych nieprawidłowo zaprojektował proces wycofania zgody – podmiot danych klikając na przycisk z odwołaniem zgody, zostawał przekierowany na inną stronę, gdzie musiał wskazać przyczynę wycofania zgody. Niepodanie przyczyny uniemożliwiało wycofanie zgody. Po wskazaniu przyczyny następowało przekierowanie na kolejną stronę, gdzie znajdował się komunikat dotyczący praw podmiotu danych oraz instrukcja wycofania zgody. Dopiero zastosowanie się do instrukcji prowadziło do wycofania zgody. Tymczasem na skutek mylącej treści komunikatu podmiot danych mógł odnieść wrażenie, że skutecznie wycofał zgodę już wcześniej, po kliknięciu przycisku z odwołaniem zgody i podaniu przyczyny wycofania.
Zarówno PUODO jak i wojewódzki sąd administracyjny wskazali, że postępowanie administratora było nieprawidłowe i stanowiło umyślne utrudnienie podmiotowi danych wycofanie zgody, a nawet uniemożliwienie realizacji żądań podmiotu danych. Zdaniem ww. instytucji, kierowanie pytań o przyczynę odwołania zgody pozbawione jest podstawy prawnej i stanowi naruszenie zasady zgodności z prawem, przejrzystości i rzetelności przetwarzania danych, o których mowa w art. 5 ust. 1 lit. a. RODO. Ponadto, podkreślono również, że wycofanie zgody powinno przebiegać w sposób łatwy oraz za pomocą tego samego kanału informacyjnego, za pomocą którego pozyskano zgodę.
Od wyroku wojewódzkiego sądu administracyjnego wniesiono skargę kasacyjną.
Warto jednak już teraz przeanalizować proces odwołania zgody we własnych organizacjach, zwłaszcza w środowisku internetowym.
Przetwarzania przez operatora telekomunikacyjnego danych osobowych zawartych w kserokopii dowodu osobistego
Przetwarzanie danych zawartych w kopii dowodu osobistego to temat budzący wciąż wiele kontrowersji Niejasne jest przede wszystkim, jakie dane osobowe zawarte w dowodzie osobistym można przetwarzać oraz jaka jest prawidłowa podstawa takiego przetwarzania. Wskazówek w tym zakresie może dostarczyć sprawa operatora telekomunikacyjnego, która została zbadana zarówno przez PUODO, jak i wojewódzki sąd administracyjny[3].
W przedmiotowej sprawie operator telekomunikacyjny, w celu zawarcia umowy o świadczenie usług telekomunikacyjnych, przechowywał kserokopie dowodu osobistego, a tym samym przetwarzał takie dane osobowe jak: mię, nazwisko, numer PESEL, seria i numer dokumentu tożsamości, nazwa i adres firmy, NIP, REGON, adres korespondencyjny, numery telefonów, adres e-mail oraz dane zawarte w kserokopii dokumentu tożsamości świadczeniobiorcy jego usług. Operator telekomunikacyjny wskazywał kilka podstaw przetwarzania tak szczegółowych danych, m.in. art. 6 ust. 1 lit. b) RODO, art. 6 ust. 1 lit. c) rozporządzenia RODO (wypełnienie obowiązku prawnego z art. 105-108 ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne oraz art. 86 w zw. z art. 70 ustawy z 29 sierpnia 1997 r. Ordynacja podatkowa – potencjalne reklamacje lub roszczenia dotyczące świadczeń telekomunikacyjnych), art. 6 ust. 1 lit. a) RODO (zgoda na komunikację marketingową) d) art. 6 ust. 1lit f) RODO (w celu archiwizacji danych, dochodzenia roszczeń) oraz art. 6 ust. 1 pkt 1 lit. d) RODO (w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
Świadczeniobiorca zażądał od operatora telekomunikacyjnego bezzwłocznego usunięcia kserokopii jego dowodu osobistego ze zbiorów dokumentów operatora. Podniósł przy tym fakt, że został zmuszony do wyrażenia zgody na wykonanie kopii dowodu osobistego oraz że pracownik operatora poinformował go, że w przypadku nieudostępnienia dowodu osobistego do wykonania kserokopii nie będzie mógł zawrzeć umowy z operatorem.
Pierwszym istotnym wnioskiem wynikającym z decyzji PUODO oraz wyroku WSA jest zakres danych, jakie zdaniem ww. instytucji są niezbędne do zawarcia umowy świadczenia usług telekomunikacyjnych. Są to imię, nazwisko, adres zameldowania oraz numer PESEL strony umowy. To samo dotyczy celów dowodowych i archiwizacyjnych związanych z potwierdzeniem faktu zawarcia umów oraz ustalenia, obrony i dochodzenia roszczeń (windykacji). Dane osobowe takie jak obywatelstwo, nazwisko rodowe, imiona rodziców, data i miejsce urodzenia, płeć, wzrost, koloru oczu, nazwa organu wydającego dowód osobisty, data wydania i termin ważności, seria i numer dowodu osobistego oraz wizerunek twarzy i wzór podpisu, nie są natomiast danymi niezbędnymi do zawarcia i wykonania umowy czy obrony przed potencjalnymi roszczeniami.
PUODO oraz WSA odniosły się również do innej, potencjalnie możliwej podstawy przetwarzania – uzasadnionego interesu administratora. Zdaniem PUODO i WSA, zachowanie należytej staranności w zakresie weryfikacji tożsamości klientów w związku przypadkami nadużyć związanych z wykorzystywaniem danych osobowych osób trzecich do zaciągania zobowiązań w imieniu klientów oraz potrzebą kontroli nieuczciwych pracowników salonów firmowych operatora nie świadczy zdaniem sądu o istnieniu prawnie uzasadnionego interesu administratora w przetwarzaniu danych osobowych. Do weryfikacji tożsamości klienta wystarczające jest pod tym kątem okazanie dokumentu tożsamości, nie jest natomiast wskazane wykonywanie kserokopii takiego dokumentu.
Zatem, w omawianym przypadku przetwarzanie tak szczegółowych danych możliwe byłoby jedynie na podstawie zgody podmiotu danych (pod warunkiem spełnienia wszystkich warunków, m.in. wyrażenia jej dobrowolnie).
W omawianej sprawie pojawił się również inny ciekawy wątek – dotyczący możliwości zastosowania przez PUODO środka naprawczego nawet wtedy, gdy w dniu wydania decyzji stan naruszenia ustał. Zdaniem WSA nałożenie przez PUODO kary w takiej sytuacji jest dopuszczalne i zgodne z przepisami RODO. Wystarczające jest ustalenie, że takie naruszenie zaistniało.
Orzeczenie jest prawomocne. Warto więc, aby administratorzy przeanalizowali jakie dane osobowe i w oparciu o jaką podstawę prawną są przetwarzane. Jeśli administrator przetwarza dane osobowe zawarte w dowodzie osobistym, np. poprzez wykonanie kserokopii dowodu osobistego, warto przeanalizować czy istnieje ku temu podstawa prawna.
Brak kompetencji PUODO w rozstrzyganiu wniosków o nakazanie udostępnienia danych osobowych osobie trzeciej
Na gruncie poprzednio obowiązujących przepisów (ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), organowi nadzorczemu przysługiwało uprawnienie nakazania administratorowi udostępnienia danych osobowych podmiotu danych osobie trzeciej. Choć brak jest analogicznego uprawnienia w obowiązujących przepisach, do organu nadzorczego nadal trafiają wnioski w tej sprawie.
W przedmiotowej sprawie do PUODO zgłosiła się osoba twierdząca, że w wyniku opublikowania reportażu, naruszono jej dobra osobiste. Początkowo zgłosiła ona żądanie ujawnienia danych osobowych autorki reportażu do pracodawcy autorki. Osoba ta argumentowała, że uzyskanie takich danych jest niezbędne dla spełnienia formalnych wymogów pozwu. Pracodawca autorki reportażu odmówił jednak ujawnienia danych osobowych swojego pracownika. Następnie, osoba złożyła do PUODO skargę dotyczącą odmowy udostępnienia danych osobowych autorki reportażu. PUODO w drodze postanowienia odmówił wszczęcia postępowania, na co została złożona skarga do wojewódzkiego sądu administracyjnego.
Zdaniem zarówno PUODO, jak i WSA[4], organ nadzorczy, na gruncie aktualnych przepisów, nie ma kompetencji nakazania administratorowi danych osobowych ujawnienia osobie trzeciej informacji na temat osoby, której dane dotyczą, nawet jeżeli są one potrzebne do wytoczenia powództwa.
Podkreślono również, że uprawnienia proceduralne i materialne wynikające z RODO przysługują wyłącznie osobom, których dane są objęte ochroną, bowiem celem rozporządzenia jest zagwarantowanie osobie fizycznej odpowiedniej ochrony prawnej. Celem RODO nie jest natomiast przyznanie uprawnień informacyjnych innym osobom. W związku z tym, administrator danych osobowych nie powinien udostępniać danych osobowych osobie trzeciej.
Orzeczenie jest prawomocne. W tym zakresie administratorzy powinni przeanalizować wewnętrzne procedury dotyczące zarówno realizacji żądań podmiotów danych, jak i żądań osób trzecich. Wprowadzenie i zaktualizowanie takich procedur pomoże uniknąć nieuprawnionego ujawnienia danych osobowych osobie trzeciej.
Numer księgi wieczystej daną osobową
Jednym z najpopularniejszych problemów związanych z ochroną danych osobowych jest kwalifikacja danych jako danych osobowych.
W przedmiotowej sprawie, Główny Geodeta Kraju udostępniał na portalu o nazwie „GEOPORTAL2” („geoportal.gov.pl”) numery ksiąg wieczystych, pozyskane z ewidencji gruntów i budynków (prowadzonej przez starostów).
Zgodnie z definicją zawartą w art. 4 pkt.1 RODO, danymi osobowymi są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Zdaniem zarówno PUODO[5], jak i WSA[6], numer księgi wieczystej pozwala na identyfikację osób, których dane zawarte są w księdze wieczystej, a tym samym stanowi daną osobową. Posiadając bowiem numer księgi wieczystej można w prosty sposób uzyskać dostęp do danych osób ujawnionych w księgach wieczystych (np. właścicieli gruntów). Ponadto, udostępnienie przez Głównego Geodetę Kraju takich danych na stronie internetowej GEOPRTAL2 nastąpiło bez podstawy prawnej.
Organ nadzorczy i WSA zgodzili się również, że działanie Głównego Geodety Kraju było umyślnym naruszeniem, ponieważ organowi temu znane mu było zdanie PUODO w zakresie kwalifikacji księgi wieczystej jako danych osobowych.
Od orzeczenia WSA GGK złożył skargę kasacyjną. Niemniej jednak warto, aby administratorzy przeanalizowali jakie dane przetwarzają oraz które z nich kwalifikują się jako dane osobowe.
Pracownik nie jest administratorem danych
Kolejnym często występującym problemem jest ustalenie roli w procesie przetwarzania danych tj. kto pełni rolę administratora danych.
Zagadnienie to zostało podniesione w sprawie jednej z warszawskich uczelni wyższych. Pracownik tejże uczelni, będący również sekretarzem komisji rekrutacyjnej, przechowywał dane osobowe kandydatów na studia na prywatnym laptopie. Pobierał on z Systemu Obsługi Kandydatów służącego do przetwarzania danych osobowych kandydatów na studia I i II stopnia oraz jednolitych studiów magisterskich, za pomocą zaimplementowanej w nim funkcjonalności, zestawy danych osobowych obejmujących m.in.. imię, nazwisko, nazwisko rodowe, imiona rodziców, numer identyfikacyjny PESEL, płeć, narodowość, obywatelstwo, adres zamieszkania, serię i numer dowodu osobistego bądź innego dokumentu tożsamości, w tym paszportu, numer telefonu komórkowego i/lub stacjonarnego, informacje o dotychczasowym wykształceniu, informacje o kwalifikacji na studia. Uczelnia, będąca administratorem tych danych osobowych, nie posiadała informacji o fakcie importowania danych przez pracownika. Operacja ta nie była również rejestrowana w Systemie Obsługi Kandydatów. Laptop został skradziony, w związku z czym organ nadzorczy wszczął kontrolę w uczelni wyższej, a po stwierdzeniu naruszenia, nałożył na uczelnię karę.
W skardze do wojewódzkiego sądu administracyjnego, uczelnia podnosiła, że w przedmiotowym zakresie to nie ona była administratorem danych. Argumentowała, iż ze względu na przechowywanie danych osobowych w swoim prywatnym komputerze, bez zgody i wiedzy uczelni, to pracownik był odrębnym, samodzielnym administratorem tych danych.
Zarówno PUODO[7], jak i WSA[8], nie podzielił tego poglądu. Ich zdaniem, aby ustalić kto jest administratorem danych, kluczowe jest ustalenie, kto decyduje o celu i sposobach przetwarzania danych.
W świetle zebranego materiału dowodowego ustalono, ze w przedmiotowej sprawie pracownik przetwarzał dane osobowe kandydatów jako osoba zaangażowana przez uczelnię w proces przetwarzania danych osobowych, w ramach rekrutacji kandydatów na studia na tej uczelni. Zdaniem organu nadzorczego i sądu administracyjnego, był zatem osobą działającą w warunkach zależności (podporządkowania) pracodawcy Z istoty stosunku pracy wynika, że co do zasady w stosunkach zewnętrznych pracownik nie występuje jako odrębny podmiot prawa. Podkreślono również, że z punktu widzenia prawa działania pracownika są działaniami pracodawcy i pracodawca ponosi za nie odpowiedzialność, zachowując w stosunku do pracownika regres w postaci możliwości egzekwowania od niego odpowiedzialności odszkodowawczej, porządkowej lub dyscyplinarnej. Tej sytuacji nie zmienia działanie naruszające czy wykraczające poza zakres powierzonych przez pracodawcę zadań i obowiązków pracowniczych (w tym przypadku polegających na przetwarzaniu danych kandydatów na studia). Nadal jest to działanie pracownika (co prawda z naruszeniem obowiązków pracowniczych) na rzecz pracodawcy, nie jest to natomiast działanie wykraczające poza status pracowniczy.
Co równie ważne, z decyzji PUODO jak i orzeczenia WSA, wynika, że samo odebranie od pracownika oświadczenia o zachowaniu danych osobowych w tajemnicy i o zapoznaniu się z zasadami przetwarzania danych osobowych nie jest wystarczające. Istotne jest również stałe kontrolowanie prawidłowości procesu przetwarzania danych przez pracownika.
W przedmiotowej sprawie uznano również, że uczelnia nie dokonała oceny ryzyka w zakresie możliwości naruszenia zasady poufności danych osobowych czy zasady ograniczenia przechowywania danych (art. 5 ust. 1 lit. f i lit. e RODO), wynikającego z zagrożenia jakim jest możliwość eksportowania z systemu SOK danych osobowych kandydatów na studia na nośnik zewnętrzny.
Podkreślono również brak włączenia inspektora ochrony danych osobowych w proces rekrutacji oraz w sprawy dotyczące ochrony danych osobowych w zakresie podejmowanych rozwiązań technicznych w ramach funkcjonowania Systemu Obsługi Kandydatów. Zarzucono też że inspektor ochrony danych nie dokonał analizy ryzyka związanego z operacjami przetwarzania danych w zakresie rekrutacji.
Od orzeczenia Wojewódzkiego Sądu Administracyjnego uczelnia wyższa złożyła skargę kasacyjną.
Jakich danych osobowych komornik nie powinien umieszczać na kopercie?
Innym częstym problemem jest nadmiarowe udostępnianie danych osobowych.
Przykład może stanowić sprawa dotycząca komornika sądowego, który na kopercie umieszczał skróty nazw pism zawartych w przesyłce, wysyłanej do osoby za pośrednictwem operatora pocztowego. Komornik sądowy umieszczał na kopercie następujące dane: imię, nazwisko i adres Skarżącego, sygnatura postępowania egzekucyjnego, nazwa organu prowadzącego oraz skróty nazw pism zawartych w przesyłce, czyli: „opis czynności Wezwanie do złożenia wykazu majątku, zaw. o wszcz. + TW, Zajęcie US EPUPE, Zawiadomienie o zajęciu rachunku KM, Zawiadomienie o zajęciu rachunku KM, Zaw. o zajęciu rachunku – p.p.”.
PUODO[9] i WSA[10] byli zgodni, że takie dane pozwalają zidentyfikować osobę fizyczną, a tym samym stanowią dane osobowe. Zarówno organ nadzorczy, jak i sąd administracyjny zauważyli, że umieszczenie skrótów nazw pism nastąpiło bez podstawy prawnej, było nadmiarowe oraz nie było niezbędne do skutecznego doręczenia korespondencji dłużnikowi.
Orzeczenie sądu jest prawomocne.
Wniosek wypływający z przedmiotowej sprawy to wskazówka dla administratorów, aby przed ujawnieniem danych osobowym innym podmiotom przeanalizowali podstawy prawne takiego ujawnienia, zakres ujawnianych danych (czy ujawnienie danych nie jest nadmiarowe) oraz czy zakres ujawnianych danych jest adekwatny do celu przetwarzania.
Podsumowanie
Jak można zauważyć, w 2021 roku wojewódzkie sądy administracyjne wielokrotnie podzieliły stanowiska organu nadzorczego. Analiza omówionych spraw może pozwolić na wdrożenie lepszych praktyk w organizacji administratorów, a tym samym pozwolić na zmniejszenie ryzyka zastosowania przez organ nadzorczy środków naprawczych względem administratora.
[1] Decyzja PUODO z dnia 16 października 2019 r., sygn.. ZSPR.421.7.2019
[2] Wyrok WSA w Warszawie z 10.02.2021 r., sygn. II SA/Wa 2378/20
[3] Wyrok WSA w Warszawie z 5.05.2021 r., sygn. II SA/Wa 2014/20
[4] Wyrok WSA w Warszawie z 11.06.2021 r., sygn.. II SA/Wa 456/21.
[5] Decyzja PUODO z 24 sierpnia 2020 r., sygn. DKN.5112.13.2020.
[6] Wyrok WSA w Warszawie z 5.05.2021 r., sygn.. II SA/Wa 2222/20
[7] Decyzja PUODO z dnia 21 sierpnia 2020 r., sygn..ZSOSS.421.25.2019,
[8] Wyrok WSA w Warszawie z 13.05.2021 r., sygn. II SA/Wa 2129/2
[9] DS.523.1377.2020.
[10] Wyrok WSA w Warszawie z 1.09.2021 r., II SA/Wa 642/21
- Szukasz szkoleń prawniczych? Sprawdź nasz kalendarz wydarzeń >>>
- Abonament szkoleniowy. Sprawdź ile zaoszczędzisz >>>
