W minionych dniach można było usłyszeć o utrzymaniu w mocy przez Wojewódzki Sąd Administracyjny w Warszawie decyzji Prezesa Urzędu Ochrony Danych Osobowych o nałożeniu kary pieniężnej na burmistrza Aleksandrowa Kujawskiego w kwocie 40 tys. złotych.
Burmistrz jako administrator danych osobowych nie zawarł umowy powierzenia przetwarzania danych z podmiotami, którym przekazywał dane osobowe, czym naruszył przepisy rozporządzenia unijnego (RODO). Konieczność zawarcia takiej umowy wynika wprost z RODO, a jej brak może rodzić poważne konsekwencje, jak przekonał się włodarz Aleksandrowa Kujawskiego – również finansowe. Umowa ta ogólnie mówiąc, reguluje wzajemne prawa i obowiązki stron, które ponadto powinny zapewniać odpowiednie środki organizacyjne i techniczne, które sprawią, że przetwarzanie danych odbywać będzie się zgodnie z prawem. Istotnymi elementami takiego dokumentu jest zakres (jakie dane podlegają powierzeniu) oraz cel (wskazanie przyczyny przetwarzania danych). Odpowiednie określenie postanowień umownych oraz ich przestrzeganie jest szczególnie ważne, bowiem zapewnia właściwe warunki do realizacji przepisów o ochronie danych osobowych. Wzory dostępne w Internecie mogą nie spełniać swojego zadania, zatem konieczne jest, aby umowa była odpowiednio dopasowana do zakresu działalności administratora.
Karę w wysokości 100 tys. złotych otrzymał Główny Geodeta Kraju naruszając zasadę zgodności przetwarzania danych z prawem, tj. art. 5 ust. 1 lit. a oraz art. 6 RODO, które mówią o tym, że dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której te dane dotyczą. Głównym powodem nałożenia tak wysokiej kary był fakt, że na podstawie porozumień ze starostami powiatowymi Organ uzyskał informacje z ewidencji gruntów i budynków (w tym numery ksiąg wieczystych) i publikował je na platformie internetowej GEOPORTAL2. Prezes UODO uznał, że porozumienia te nie były wystarczające i nie stanowiły podstawy do udostępnienia tej kategorii danych.
Numery ksiąg wieczystych są danymi osobowymi, a Prezes UODO wymierzając karę nie miał co do tego wątpliwości. Zgodnie z RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Opublikowanie przez Głównego Geodetę Kraju danych w postaci numerów ksiąg wieczystych sprawia, że każdy z internautów jest w stanie uzyskać do nich dostęp, co może wpłynąć negatywnie na bezpieczeństwo osób, których dane dotyczą.
Należy w tym miejscu przypomnieć również najwyższą dotychczas wymierzoną przez Prezesa UODO karę w kwocie ponad 2,8 mln złotych nałożoną na „morele.net” za niewystarczające zabezpieczenia organizacyjne i techniczne, które doprowadziły do nieuprawnionego dostępu do danych osobowych 2,2 mln osób. Przepisy RODO umożliwiają krajowym instytucjom ochrony danych osobowych na wymierzenie kar nawet do 20 mln euro lub 4 proc. rocznego światowego obrotu.
Śledząc historię wymierzanych kar, bezsprzecznie dochodzimy do wniosku, że ich wysokość wykazuje tendencję wzrostową. Może to wynikać z przepisów rozporządzenia unijnego, które stanowią o tym, że kary oprócz tego, że w każdym indywidualnym przypadku muszą być skuteczne i proporcjonalne, to również powinny być odstraszające, jak i z tego, że budżet UODO w 2019 roku został obniżony w stosunku do roku poprzedniego – dane te w rocznym raporcie opublikowała Europejska Rada Ochrony Danych.
Obniżenie budżetu UODO może dziwić, zwłaszcza, że przepisy rozporządzenia unijnego nałożyły na Organ dodatkowe obowiązki, które wymagają większych nakładów pracy. Nie jest to dobra wiadomość dla administratorów danych, być może to właśnie do ich kieszeni będzie sięgał Prezes UODO przy wymierzaniu kolejnych kar pieniężnych, może to niestety oznaczać również ich wzrost do poziomu kar wymierzanych przez instytucje innych krajów europejskich.
Materiały źródłowe:
- Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 26 sierpnia 2020 roku, sygn. II SA/Wa 2826/19,
- Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 24 sierpnia 2020 roku, sygn. DKN.5112.13.2020,
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119 z późn. zm.)