Czy administrator może ponosić odpowiedzialność za błędy w projektowaniu systemów, w których przetwarzane są dane osobowe — na przykład za to, że możliwe było pobranie danych na zewnętrzny nośnik? Czy jednak odpowiedzialność administratora za niestosowanie się do zasady privacy by design jest wykluczona? I, wcale nie na marginesie: czy pracownik, który samodzielnie, wbrew ustalonym przez pracodawcę regulaminom, pobiera dane osobowe na swój własny komputer staje się administratorem danych osobowych? A więc to on powinien ponieść konsekwencje wycieku?
nieprawomocny wyrok WSA w Warszawie z 13 maja 2021 r. (II SA/Wa 2129/20)
Administrator danych powinien przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia.
Orzeczenie dotyczyło naruszenia zasad bezpieczeństwa danych osobowych wskutek kradzieży — prywatnego laptopa z bagażnika prywatnego samochodu — na którym pracownik (sekretarz uczelnianej komisji rekrutacyjnej) przechowywał dane osobowe kandydatów na studia w Szkole Głównej Gospodarstwa Wiejskiego.
art. 25 ust. 1 rozporządzenia 2016/679 o ochronie danych osobowych
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Sprawa trafiła do PUODO, który stwierdził, że dopuszczenie do sytuacji, w której pracownik samowolnie i bez zgody uczelni może przechowywać dane osobowe nie zwalnia administratora z odpowiedzialności za naruszenie zasad bezpieczeństwa przetwarzania. Tymczasem SGGW zignorowała wymóg projektowania systemów zgodnie z zasadą privacy by design, nie wdrożyła odpowiednich środków organizacyjnych i technicznych (art. 32 RODO), a nawet nie angażowała inspektora ochrony danych w procesy (naruszając w ten sposób art. 38-39 RODO), dopuszczając w ten sposób do tego, że dane kandydatów z ostatnich 5 lat były przechowywane na prywatnym komputerze (sama uczselnia określiła czas przetwarzania na 3 miesiące). Biorąc pod uwagę sumę uchybień na uczelnię nałożono karę w wysokości 50 tys. złotych (czyli po 50 groszy od każdej osoby, której sytuacja mogła dotknąć, decyzja PUODO z 21 sierpnia 2020 r., ZSOŚS.421.25.2019).
W skardze SGGW zarzuciła, że w przypadku nieprawidłowości wynikających z samowolnego naruszenia zasad przetwarzania nie może być traktowana jako administrator danych osobowych — jest nim bowiem pracownik, który samowolnie trzymał dane na prywatnym laptopie. Uczelnia wprowadziła niezbędne regulacje, w tym zakazujące wynoszenia nośników z danymi poza jej mury, zaś pracownik został zapoznany i podpisał się pod oświadczeniem, że zasady te zna i będzie respektował. Przetwarzany przez pracownika zbiór był odrębny od stosowanego przez szkołę systemu, komputer był całkowicie prywatny — a przecież jeden administrator nie ma żadnego wpływu na funkcjonowanie innego administratora.
art. 4 pkt 7 rozporządzenia o ochronie danych osobowych
Na użytek niniejszego rozporządzenia:
7) „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
Wojewódzki Sąd Administracyjny przypomniał, że zgodnie z wynikającą z RODO definicją administratorem danych osobowych jest podmiot, który samodzielnie lub wspólnie z innym administratorem ustala cele i sposoby przetwarzania danych osobowych. Tymczasem w sprawie nie ma wątpliwości, że pracownik, któremu skradziono komputer, nie ustalał samemu zasad przetwarzania danych osobowych — jako sekretarz komisji rekrutacyjnej był zaangażowany w proces jako osoba, która w ramach podporządkowania pracowniczego wykonywała określone czynności w imieniu uczelni. Pracownik w stosunkach zewnętrznych nie jest odrębnym podmiotem, jego działania są działaniami pracodawcy, za które odpowiedzialność ponosi pracodawca (wyjąwszy odpowiedzialność karną); oceny tej sytuacji nie zmienia fakt, że pracownik wykracza poza zakres powierzonych zadań i obowiązków.
art. 38 ust. 1-2 rozporządzenia o ochronie danych osobowych
1. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
2. Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
W ocenie WSA w toku postępowania PUODO prawidłowo ustalił, iż w SGGW dopuszczono się licznych uchybień, w szczególności nie przeprowadzono właściwej analizy ryzyka i oceny zagrożeń już na etapie projektowania systemów (privacy by design) oraz nie wdrożono odpowiednich środków zapewniających bezpieczeństwo danych, w tym przed możliwością wyeksportowania danych z systemu na zewnątrz. Nie zadbano także o prawidłowe wykonywanie obowiązków przez inspektora ochrony danych, który nie był włączany w decyzje dotyczące przetwarzania danych osobowych przy rekrutacji studentów. Oznacza to rażące naruszenie szeregu fundamentalnych zasad, m.in. ograniczenia przechowywania, integralności i poufności, a także rozliczalności (art. 5 RODO).
Zamiast tego wynikające z RODO obowiązki administratora zastąpiono odebraniem od pracownika oświadczenia o zachowaniu danych osobowych w tajemnicy i zapoznaniu się z zasadami przetwarzania (ale feralnego sekretarza nawet nie przeszkolono) — aby następnie próbować przerzucić całość odpowiedzialności za własne naruszenia na pracownika.
Stwierdzając, że odpowiedzialność administratora za naruszenie RODO, w tym także zasady privacy by design, co umożliwiło ściągnięcie danych osobowych przez pracownika, ma charakter obiektywny — dotyczy samego skutku w postaci naruszenia prawa, a więc niezależną od winy sprawcy (stopień winy może mieć wpływ na wysokość kary pieniężnej) — argument o „dokładaniu starań” jest niewystarczający dla uchylenia się od odpowiedzialności, a więc decyzja o nałożeniu kary była prawidłowa.