Tak mnie naszło, w ramach społecznego, darmowego audytu, sprawdzić jak poszło wdrożenie RODO w serwisie internetowym Sądowe ePłatności. Wyniki okazały się na tyle interesujące, że postanowiłem podzielić się jego wynikami z P.T. Czytelnikami.
Gwoli jasności: Sądowe ePłatności to serwis internetowy Ministerstwa Sprawiedliwości umożliwiający bezgotówkowe wnoszenie opłat sądowych i zakup „wirtualnych” znaków opłaty sądowej (jest udostępniony w sieci pod adresem oplaty.ms.gov.pl. Sprawny, nowoczesny i chyba wygodny (opłaty można uiścić nawet kartą płatniczą) — jednak nie wszystko wygląda tak, jak powinno.
Przypomnijmy też, od maja 2018 r. obowiązują rozporządzenie 2016/679 o ochronie danych osobowych oraz ustawa o ochronie danych osobowych z 2018 r., która zastąpiła dawną ustawę z 1997 r. Nowe prawo nałożyło na administratorów danych nowe obowiązki informacyjne — zgodnie z art. 13 RODO podczas pozyskiwania danych osobowych zawsze należy zaserwować komplet informacji, od tożsamości administratora, poprzez wskazanie celów przetwarzania, aż do okresu przechowywania danych, etc. (zwykle przyjmuje to postać całkiem niewąskiej litanii). Ustawa wyłącza część obowiązków informacyjnych w odniesieniu do administratorów wykonujących zadania publiczne, aczkolwiek mam wrażenie, że serwis Sądowe ePłatności nie należy do tych, wobec których RODO miałby węższe zastosowanie.
Przechodząc ad rem: kupując w serwisie Sądowe ePłatności znaki opłaty sądowej lub wybierając opcję zapłata wstępna do sprawy natrafiamy na następującą treść zgody dotyczącej przetwarzania danych osobowych:
Wyrażam zgodę na przetwarzanie moich danych osobowych podanych w toku korzystania z funkcjonalności Portalu przez Ministerstwo Sprawiedliwości dla celów niezbędnych do korzystania z funkcji Portalu, zgodnie z ustawą z dnia 29 sierpnia 1997 roku o ochronie danych osobowych(Dz. U. z 2016 r., poz. 922).
Słowem: nie tylko nie ma tego, czego wymaga art. 13 RODO, ale nawet nie ma tego, co było niezbędne na gruncie ustawy z 1997 r. (nazwa, adres, odbiorcy danych, prawo dostępu do danych, dobrowolność vs. obowiązek podania danych — art. 24 d.uodo). Na gruncie obowiązującego prawa stanowi to także naruszenie art. 12 ust. 1 RODO („Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 (…)”), a więc także narusza zasadę zgodności z prawem oraz rozliczalności przetwarzania danych osobowych (art. 5 ust. 1 lit. a) oraz ust. 2 RODO). Naruszenie takie jest podstawą do podejmowania przez PUODO określonych uprawnień naprawczych, włącznie z nałożeniem na Ministerstwo Sprawiedliwości administracyjnej kary pieniężnej (art. 58 ust. 2 lit. i) RODO)…
…no chyba że ktoś liczy na to, że tzw. Trybunał Konstytucyjny obali całe RODO…