A skoro PUODO stwierdził, że brak zawiadomienia przez Sandander Bank Polska S.A. swych pracowników o nieuprawnionym dostępie do ich danych osobowych zgromadzonych na platformie PUE ZUS stanowi naruszenie przepisów RODO (DKN.5131.33.2021), dziś czas na kilka akapitów o tym, że administrator danych osobowych nie uniknie odpowiedzialności za brak zawiadomienia o wycieku, nawet jeśli nikt na tym nie skorzystał i nikt nie został poszkodowany (nieprawomocny wyrok WSA w Warszawie z 22 września 2021 r., II SA/Wa 791/21).
Orzeczenie dotyczyło decyzji PUODO, w której stwierdzono naruszenie przez Śląski Uniwersytet Medyczny obowiązków w zakresie zgłoszenia incydentu mogącego stanowić naruszenie bezpieczeństwa przetwarzanych danych osobowych i powiadomienia studentów o wycieku ich danych (zainteresowanych szczegółami odsyłam do tekstu „Kara za brak zgłoszenia i zawiadomienia o naruszeniu ochrony danych osobowych”).
W skardze na tę decyzję uczelnia podkreśliła, że jakość obrazu była tak kiepska, że niemożliwe było odczytanie danych osobowych z dokumentów, zaś sama „sugestia” ze strony PUODO ponownego przeanalizowania ryzyk — bez zasygnalizowania, że wcześniejsze wyjaśnienia wydają się urzędowi niewystarczające — nie może skutkować nałożeniem kary pieniężnej. Zarazem wskazane przepisy RODO dotyczą administratora i nie przewidują kar za rozbieżność ocen zagrożenia — no i nikt z powodu wycieku nie ucierpiał.
art. 33 ust. 1 RODO
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki — w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia — zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
art. 34 ust. 1 RODO
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Wojewódzki Sąd Administracyjny nie podzielił tych zarzutów: obowiązek poinformowania PUODO nie powstaje w momencie gdy ktoś nieuprawniony uzyskał dostęp do danych osobowych i czy do administratora wpłynęły skargi na naruszenie — administrator musi przeanalizować czy wyciek pociąga za sobą możliwość naruszenia praw i wolności osób, które to konsekwencje nie muszą się zrealizować. Zdarzeniem takim jest naruszenie poufności nagrań, na których zarejestrowano obraz dokumentów oraz wizerunek i głos studentów.
Powinnością administratora jest nie tylko prawidłowe zabezpieczenie danych osobowych przed uzyskaniem dostępu przez osoby nieuprawnione (tj. wdrożenie odpowiednich środków technicznych i organizacyjnych), ale także udzielanie wszystkich wymaganych przepisami RODO informacji. Obowiązki administratora obejmują zarówno konieczność przekazania zawiadomienia o naruszeniu ochrony danych osobowych zarówno organowi nadzorczemu, jak i osobom, których dotyczy ryzyko konsekwencji wycieku (art. 34 RODO). Zawiadomienie to ma na celu umożliwienie zainteresowanej osobie podjęcia niezbędnych kroków zapobiegawczych przed negatywnymi konsekwencjami ujawnienia jej danych personalnych — bo przecież celem całego RODO jest ochrona podstawowych praw i wolności osób fizycznych
W świetle tych wymogów Śląski Uniwersytet Medyczny postąpił niekonsekwentnie, czynami zaprzeczając słowom: widział, że doszło do wycieku — ale twierdził, iż ryzyko takie nie istnieje — równocześnie prosząc o sygnalizowanie faktu nieuprawnionego użycia danych i groził konsekwencjami osobom, które zdecydują się na jego bezprawne wykorzystanie. Oznacza to, że uczelnia brała pod uwagę, że pobierający nagrania mogli je wykorzystać w bezprawny sposób (choćby wrzucając dalej do internetów) — z niejasnych przyczyn prezentując odmienne stanowisko w toku prowadzonego przez PUODO postępowania.
Niedopełnienie obowiązków wynikających z RODO uprawnia organ nadzorczy do nałożenia administracyjnej kary pieniężnej — w ocenie WSA w tym przypadku kara w wysokości 25 tys. złotych za brak zawiadomienia o wycieku danych była adekwatna do okoliczności sprawy, zatem skarga uczelni została oddalona w całości.
(ujęcie czysto ilustracyjne, fot. Olgierd Rudak, CC-BY 2.0)