Autor: Kancelaria Bird & Bird
UWAGI DO PORADNIKA „JAK ADMINISTRATORZY POWINNI POSTĘPOWAĆ W PRZYPADKU NARUSZENIA OCHRONY DANCYH OSOBOWYCH”
1. UWAGI ÓGÓLNE:
1.1 PRZECIWDZIAŁANIE NADMIERNEJ LICZBIE ZGŁOSZEŃ
W 2022 roku Prezes Urzędu Ochrony Danych Osobowych („Prezes UODO”) otrzymał 12 772 zgłoszenia naruszeń ochrony danych, co stanowi liczbę porównywalną z rokiem 2021, a jednocześnie znacznie wyższą niż we wcześniejszych latach1. Wzrost liczby zgłoszeń może wynikać nie tylko z większej świadomości administratorów i rosnącej liczby cyberataków, ale także z obawy przed sankcjami za niezgłoszenie naruszenia, wywołanej rosnącą liczbą kar za brak zgłoszenia, a także z niepewności prawnej towarzyszącej ocenie ryzyka Administratorzy często zgłaszają incydenty prewencyjnie, aby zademonstrować transparentność lub zmniejszyć ewentualne konsekwencje błędnej oceny sytuacji.
Wyeliminowanie zjawiska „nadmiernego raportowania” pozwoliłby Prezesowi UODO skoncentrować zasoby na analizie zdarzeń skutkujących wysokim ryzykiem dla podmiotów danych oraz podejmowaniu w tych sprawach działań pozostających w bezpośredniej korelacji czasowej z dokonanym zgłoszeniem.
W celu zredukowania tendencji do zgłaszania incydentów o niskim poziomie ryzyka dla osób fizycznych, proponujemy rozważenie następujących kroków:
1.1.1. Poradnik: Wzbogacenie Poradnika o dodatkowe przykłady ilustrujące zdarzenia skutkujące niskim ryzykiem dla osób fizycznych oraz potwierdzające, że nie ma potrzeby zgłaszania drobnych naruszeń. Szczegółowe propozycje przykładów z wyjaśnieniem zostały przedstawione w dalszej części pisma.
1.1.2. Infolinia dedykowana naruszeniom: Uruchomienie specjalnej linii telefonicznej dla administratorów, która umożliwi im skonsultowanie wątpliwości dotyczących prawidłowości dokonywanej oceny naruszenia. Taką infolinię prowadzi m.in. Organ Nadzorczy w Wielkiej Brytanii2.
1.1.3. Informacja zwrotna: Udzielanie administratorom informacji zwrotnej na temat dokonanych zgłoszeń. Wiele organów nadzorczych w Unii Europejskiej w krótkim czasie po otrzymaniu kompletnego zgłoszenia przekazuje administratorom informację zwrotną, potwierdzającą prawidłowość oceny i adekwatność podjętych działań naprawczych lub ewentualnie wskazującą na nadmiarowe zgłoszenie. W Polsce również widzimy po stronie administratorów potrzebę uzyskania od Prezesa UODO informacji, że czy ich ocena i reakcja na naruszenie były właściwe czy też zgłoszenie lub poinformowanie osób było nadmiarowe. Taka praktyka przyczyniłaby się do kształtowania prawidłowego podejścia do oceny ryzyka na poziomie indywidualnym. Dodatkowo przekazanie informacji zwrotnej wyeliminowałoby niepewność prawną co do prawidłowości dokonanej oceny, słuszności podjętych działań oraz ułatwiło reakcję na kolejne naruszenia.
1.1.4. Publikacja decyzji: Niezwykle istotnym elementem edukacji administratorów jest również publikacja decyzji i postanowień wydawanych przez Prezesa UODO. Prezentowane w decyzjach stanowiska Prezesa UODO stanowią praktyczne wskazówki dotyczące oceny różnorodnych stanów faktycznych.
2. SZCZEGÓŁOWE UWAGI dotyczące Poradnika
2.1 ZAUFANY ODBIORCA
Poradnik wskazuje, że często spotykaną formą naruszenia jest udostępnienie danych nieuprawnionym osobom, np. z powodu omyłkowego przesyłania informacji w formie elektronicznej lub papierowej do niewłaściwego adresata.
Z naszego doświadczenia wynika, że wiele z tych zdarzeń to przypadkowe udostępnienia danych wewnątrz organizacji administratora, które prowadzą do nieuprawionego dostępu pewnych pracowników do informacji zawartych w (1) dokumentach wydawanych przez administratora, np. zaświadczeniach lub deklaracjach podatkowych; (2) wewnętrznych zestawieniach przygotowywanych przez administratora w celu realizacji uzasadnionych interesów; czy (3) plikach zapisanych w zasobach wspólnych, do których przyznano nieprawidłowe uprawnienia dostępowe.
Europejska Rada Ochrony Danych („EROD”) w Wytycznych 9/2022 w sprawie powiadamiania o naruszeniu ochrony danych osobowych zgodnie z RODO przyjętych 28 marca 2023 r. wyjaśniła przesłanki pozwalające uznać odbiorcę za zaufanego. Według wytycznych zaufany odbiorca to np. „niewłaściwy dział organizacji” lub „powszechnie używany dostawca”. Ci odbiorcy są zaufani, bo administrator może zażądać od nich zwrotu albo bezpiecznego zniszczenia otrzymanych danych. EROD podkreśla, że w obu przypadkach, z uwagi na stałą relację, administrator może mieć dostateczny poziom pewności w stosunku do odbiorcy i racjonalnie oczekiwać, że strona ta albo (1) nie odczyta lub nie uzyska dostępu do danych przesłanych omyłkowo i zastosuje się do instrukcji dotyczących ich zwrotu, albo (2) nawet jeśli dostęp do danych został przez nią uzyskany, że nie podejmie żadnych dalszych działań i zwróci dane lub będzie współpracował przy ich odzyskaniu. Uważamy przy tym, że sam fakt odczytania lub uzyskania dostępu do danych przez odbiorcę nie powinien negatywnie wpływać na statusu odbiorcy, bowiem w większości naruszeń brak jest zewnętrznych oznak, które mogłyby być sygnałem dla odbiorcy, aby wstrzymał się z dostępem do dalszych informacji.
Zdaniem EROD w takich przypadkach charakter zaufanego odbiorcy może być uwzględniony w ocenie ryzyka przeprowadzanej przez administratora, co może w efekcie wyeliminować prawdopodobieństwo wystąpienia ryzyka dla osób fizycznych, a tym samym usunąć obowiązek powiadamiania organu nadzorczego oraz osób fizycznych.
Warto również nadmienić, że Duński Organ Nadzoru do zaufanych odbiorców zalicza również podmioty, które są prawnie zobowiązane do zachowania tajemnicy zawodowej3, wskazując wprost lekarza pierwszego kontaktu czy podmiot świadczący opiekę zdrowotną.
Na gruncie polskich przepisów także można wyróżnić grupę zawodów, określanych mianem „zawodów zaufania publicznego”. Zgodnie z art. 17 Konstytucji, aby zawód mógł cieszyć się statusem zawodu zaufania publicznego konieczne jest istnienie samorządów zawodowych, które reprezentują osoby wykonujące „zawody zaufania publicznego” i sprawują pieczę nad należytym wykonywaniem tych zawodów w granicach interesu publicznego i dla jego ochrony. W związku z powyższym do kategorii „zawodów zaufania publicznego” należą przedstawiciele m.in. takich zawodów jak: adwokat, aptekarz, architekt, biegły rewident, diagnosta laboratoryjny, doradca podatkowy, farmaceuta, fizjoterapeuta, inżynier budownictwa, komornik, kurator sądowy, lekarz, lekarz dentysta, lekarz weterynarii, notariusz, pielęgniarka, położna, psycholog, radca prawny, rzecznik patentowy, syndyk, urbanista.
Biorąc pod uwagę, fakt, iż jednymi z najważniejszych cech charakteryzujących „zawody zaufania publicznego” są m.in. wymogi moralne i etyczne stawiane przedstawicielom tych zawodów; posiadanie odpowiedniego wykształcenie, kwalifikacji zawodowych oraz doświadczenia, jak również związanie tajemnicą zawodową oraz dawanie rękojmi należytego i zgodnego z interesem publicznym wykonywania zawodu, to osoby pełniące te funkcję wraz z pracownikami prowadzonych przez nich kancelarii/poradni/firm, powinni zostać uznani za zaufanych odbiorców również na gruncie polskich przepisów.
Poradnik jedynie pobieżnie wspomina koncepcję zaufanego odbiorcy, ograniczając się do podania przykładu banku. Nasze doświadczenie pokazuje, że nawet argumentacja oparta na klasyfikacji pracownika lub dostawcy jako „zaufanego odbiorcy” nie zawsze spotyka się z akceptacją Urzędu, choć powyżej wskazane wytyczne EROD dają taką możliwość.
W związku z powyższym proponujemy dodanie do Poradnika kilku praktycznych przykładów, które będą obrazowały nie tylko zakres podmiotów, którym można przypisać cechę „zaufanego odbiorcy”, ale również wpływ takiej klasyfikacji na ocenę poziomu ryzyka związanego z naruszeniem.
Przykład 1
Pracownik działu HR przesłał omyłkowo do pracownika B drogą mailową na adres służbowej skrzynki pocztowej pracownika wiadomość zawierającą roczną deklarację podatkową innego pracownika. Deklaracja ta zawierała m.in. imię, nazwisko, numer PESEL, adres zamieszkania, dane finansowe dotyczące rocznych zarobków. Odbiorca maila zapoznał się z treścią załącznika, zasugerowany treścią przesłanej wiadomości, a następnie niezwłocznie poinformował nadawcę o zaistniałej pomyłce oraz usunął wiadomość.
W opisanym przykładzie odbiorca maila, będąc pracownikiem administratora, zobowiązany jest do realizacji poleceń administratora, w tym stosowania odpowiednich środków bezpieczeństwa danych oraz zachowania poufności wszelkich informacji, które poznał w związku z zatrudnieniem. Z uwagi na stałą relację z odbiorcą danych, przy braku przeciwskazań wynikających z zachowania pracownika, administrator ma wystarczający stopień pewności, że odbiorca usunie wiadomość zachowa poufność ujawnionych mu danych.Dodatkowo administrator najczęściej posiada wdrożone środki techniczne, aby zweryfikować poprawność działań podjętych przez pracownika, a więc może sprawdzić, czy dane nie zostały pobrane, przesłane dalej lub wydrukowane przed usunięciem.
Przykład 2
Pracownik działu HR przesłał do byłego pracownika przesyłką poleconą roczną deklarację podatkową. Omyłkowo do korespondencji dołączono również deklarację podatkową innej osoby. Deklaracja ta zawierała m.in. imię, nazwisko, numer PESEL, adres zamieszkania, dane finansowe dotyczące rocznych zarobków. Odbiorca korespondencji zapoznał się z treścią zaadresowanej do niego przesyłki i niezwłocznie poinformował nadawcę o pomyłce oraz zwrócił/zniszczył błędnie przesłany dokument. Pracownik ten miał wcześniej długi staż pracy u pracodawcy, oraz złożył oświadczenie, że nie skopiował danych, nie użył ich oraz zachowa je w poufności.
W tym przykładzie, mimo iż odbiorca przesyłki nie jest już pracownikiem administratora, to w oparciu o doświadczenie oraz relację zbudowaną w czasie wcześniejszej stałej współpracy z odbiorcą, przy braku dodatkowych okoliczności przemawiających za utratą zaufania, administrator może mieć, również po zakończeniu zatrudnienia, wystarczający poziom pewności, że odbiorca zachowa poufność danych oraz że zwróci/zniszczy przesłany omyłkowo dokument.
Przykład 3
Spółka składając wniosek do organu administracji przesyła omyłkowo jako załącznik w wersji papierowej aktualną listę swoich pracowników zawierającą następujące dane: numer PESEL, składniki wynagrodzenia, informacje o okresach zwolnień lekarskich za ostatni rok. Organ publiczny odsyła błędny załącznik.
W tym przykładzie odbiorcą danych jest organ administracji. Otrzymał on nadmiarowe dane, których nie może przetwarzać w ramach toczącego się postępowania. Ponieważ organy administracji są zobowiązane do działania zgodnie z prawem i wyłącznie w ramach przysługujących im kompetencji i uprawnień, administrator może uznać, iż dane trafiły do zaufanego odbiorcy, który nie wykorzysta tych danych do innych celów oraz usunie lub zwróci je do administratora.
Przykład 4
Z powodu błędu Spółka wysłała do kancelarii prawnej komplet akt pracowniczych, które miały zostać przekazane do archiwum. Akta te nie były związane ze zleceniem obsługi prawnej, stron nie łączy stała umowa współpracy. Korespondencja została otworzona przez pracownika recepcji odpowiedzialnego za przyjmowanie oraz zarządzanie przychodzącą korespondencją, a następnie po stwierdzeniu pomyłki, zwrócona do administratora.
W tym przykładzie odbiorcą danych jest pracownik kancelarii, który jest odpowiedzialny za przyjmowanie korespondencji. Należy pamiętać, że w ramach świadczenia pomocy prawnej zawodowi pełnomocnicy korzystają ze wsparcia osób niemających uprawnień zawodowych. Osoby te w mniejszym lub większym zakresie muszą zapoznawać się informacjami, które dotyczą spraw klientów, a więc muszą cieszyć się zaufaniem oraz wysokim poziomem etyki zawodowej pozwalającym na wejście w posiadanie również informacji objętych tajemnicą zawodową. Na osobach wykonujących zawód zaufania publicznego, ciąży bowiem obowiązek zapewnienia, że tajemnicy tej będą przestrzegać również wszystkie inne osoby współpracujące, które w związku z pracą nad sprawą powzięły informacje objęte tajemnicą (np. personel administracyjny, osoby zatrudnione przez adwokata, osoby, którym adwokat zleca określone czynności). Tym samym tym osobom można również przypisać status zaufanego odbiorcy.
We wszystkich przykładach opisanych powyżej, okoliczność, iż odbiorcy danych można przypisać status „zaufanego odbiorcy” eliminuje dotkliwość konsekwencji naruszenia a więc sprawia, że ryzyko naruszenia praw i wolności osób fizycznych jest mało prawdopodobne, bez względu na zakres i charakter danych jakie podlegały ujawnieniu, a więc również w przypadku ujawnienia numeru PESEL lub danych szczególnej kategorii.
2.2 PRZYKŁADY NISKIEGO RYZYKA
Poradnik na str. 14 podaje trzy przykłady naruszeń, w których nie wystąpiło ryzyko naruszenia praw i wolności osób fizycznych. Dwa z nich nie są jednoznaczne i zacierają granicę pomiędzy oceną (1) czy mamy do czynienia z incydentem czy też już naruszeniem, a (2) oceną ryzyka stwierdzonego naruszenia.
Proponujemy przeniesienie Przykładu I o treści: „Pracownik kancelarii przez pomyłkę wynosi poza jej obszar teczkę z niezabezpieczonymi danymi osobowymi, wśród których znajdują się również szczególne kategorie danych osobowych. Po chwili orientuje się, że nastąpiła pomyłka i wraca do kancelarii zwracając teczkę. Działanie takie naruszyło zasady ochrony danych, ale nie mogło skutkować naruszeniem praw lub wolności osób fizycznych, gdyż dane nie zostały udostępnione.” do części poświęconej definicji naruszenia. W naszej ocenie jest to przykład incydentu bezpieczeństwa (naruszenia zasad ochrony danych), który nie jest jednak naruszeniem danych osobowych, całe zdarzenie bowiem nie prowadziło do np. nieuprawnionego dostępu do danych ani innego skutku wymienionego w art. 4 pkt. 12 RODO.
Analogicznie proponujemy doprecyzowanie kolejnego z przykładów podanych na str. 14 dotyczącego porzucenia dokumentów kadrowych i finansowych w kontenerze na odpady, poprzez dookreślenie czy nagrania z monitoringu potwierdzają brak dostępu osób nieuprawnionych. W przypadku braku dostępu do tych dokumentów przez osoby nieuprawnione sugerowalibyśmy również przeniesienie tego przykładu do części obrazującej zakres definicji naruszenia jako przykład zdarzenia, które nie kwalifikuje się jako naruszenie danych, bo nie spełnia jednej z przesłanek definicji naruszenia.
Dodatkowo Poradnik zawiera opisy, które mogą sugerować, że jedynie stwierdzenie braku ryzyka dla osób fizycznych może uzasadniać podjęcie decyzji o niezgłoszeniu naruszenia do Prezesa UODO.
Co prawda na str. 5 Poradnik prawidłowo wskazuje, że administrator nie jest zobligowany do zgłoszenia naruszenia do Prezesa UODO, gdy „prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności jest małe”. Jednak już na kolejnych stronach pojawiają się wprowadzające w błąd opisy:
- Str. 7: „(…) Jeśli w wyniku przeprowadzonego badania okaże się, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu. (…)”
- Str. 10: „(…) Administrator danych jest zobowiązany do zgłaszania naruszeń ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych, gdy naruszenie stwarza prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. (…)”
Powyższe fragmenty mogą skłaniać administratorów do nadmiernego zgłaszania naruszeń również w sytuacji, gdy jest to mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Proponujemy również uzupełnienie Poradnika o dodatkowe przykłady obrazujące popularne naruszenia związane z niskim ryzykiem naruszenia praw i wolności osób fizycznych:
Przykład 5
Na skutek omyłkowej zamiany zawartości przesyłek przez pracowników sklepu internetowego klient A (konsument) dostaje przesyłkę oraz fakturę klienta B, który prowadzi działalność gospodarczą oraz dokonał zakupu towaru na potrzeby prowadzenia działalności gospodarczej prosząc o wystawienie faktury. Jednocześnie przesyłka Klienta A trafia do Klienta B. Obaj klienci po stwierdzeniu omyłki zwrócili przesyłki wraz z przesłanymi fakturami zakupowymi. W wyniku omyłki obaj Klienci odebrali swoje przesyłki z kilkudniowym opóźnieniem.
Biorąc pod uwagę, fakt, że (i) w wyniku naruszenia poufności ujawniono wyłącznie wąski zakres danych zwykłych tj. dane osobowe zawarte na fakturze oraz ewentualnie dodatkowo numer telefonu, adres mailowy, a także informacje o nabytych przedmiotach oraz dane identyfikacyjne przesyłki, (ii) krąg odbiorców danych jest znany, (iii) incydent polegał wyłącznie na naruszeniu poufności, (iv) nie powstał z powodu złych intencji, miał charakter incydentalny, należy uznać, że jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem naruszenia praw i wolności osób fizycznych.
Dodatkowo w przypadku Klienta B zakup dotyczył prowadzonej przez niego prowadzonej działalności, a więc większość jego ujawnionych danych i tak jest dostępna publicznie tj. ujawniona w CEIDG, zaś jednorazowy zakup przedmiotów na cele prowadzonej działalności gospodarczej nie dotyka nawet sfery prywatnych działań osoby fizycznej, a jedynie ujawnia informację o podjętych przez nią jednorazowych działaniach biznesowych. Kilkudniowe opóźnienie w wyniku dostawy towaru stanowi natomiast niedogodność, którą podmioty danych bez problemu przezwyciężą kosztem ewentualnego rozdrażnienia, co w ramach metodologii ENISA klasyfikowane jest jako niskie ryzyko.
Warto zaznaczyć, że Brytyjski organ nadzoru jako przykład niskiego ryzyka podajebłędną wysyłkę leku wydanego na receptę, z apteki do innego pacjenta4 wskazując, że nie ma konieczności zgłaszania naruszenia ani informowania podmiotów danych. Opis sytuacji poniżej:
Kurier dostarczył jeden zestaw leków niewłaściwemu pacjentowi - Pacjentowi A, który zadzwonił do apteki, aby złożyć skargę. Farmaceuta zdał sobie sprawę, że recepta była przeznaczona dla innego pacjenta o podobnym nazwisku (Pacjent B). Po skontaktowaniu się z kurierem, nieotwarte leki zostały odebrane i dostarczone Pacjentowi B. Mimo iż dane Pacjenta B zostały udostępnione pacjentowi A Brytyjski organ nadzoru uznał, iż jest mało prawdopodobne, aby istniało ryzyko dla pacjenta B, a więc naruszenie nie musi być zgłoszone do organu nadzoru.
Natomiast Maltański organ nadzoru w celu ograniczenia w celu przeciwdziałania nadmiernej liczbie zgłoszeń podaje przykład wysłania jednej wiadomości e-mail do jednego niewłaściwego odbiorcy jako sytuację, która prawdopodobnie nie spowoduje zagrożenia dla praw i wolności osób fizycznych wskazując, że organ nadzoru nie powinien być o takich sytuacjach powiadamiany.
2.3 DANE SZCZEGÓLNYCH KATEGORII
Ocena ryzyka. Poradnik bardzo rygorystycznie wypowiada się o poziomie ryzyka w przypadku, gdy naruszenie dotyka danych szczególnej kategorii, wskazując, że w takich przypadkach należy uznać, iż występuje wysokie ryzyko wystąpienia szkody dla podmiotów danych (patrz str. 7, Punkt 3 Poradnika; Str. 15, Punkt 9.1 Poradnika, str. 23 Punkt 12.1 Poradnika).
Opisane w Poradniku podejście sugeruje konieczność przypisania nadrzędnego znaczenia samemu charakterowi danych, bez należytego uwzględnienia innych okoliczności zdarzenia w ostatecznej ocenie ryzyka. Może to powodować zawyżanie oceny ryzyka w przypadku naruszenia ochrony danych szczególnej kategorii.
Tymczasem zarówno przywołane w Poradniku kryteria oceny określone w oparciu o opinie Grupy Roboczej Art. 29, Metodologia ENISA a także aktualne wytyczne EROD, pozwalają na niuansowanie elementów oceny ryzyka nawet w przypadku danych szczególnej kategorii i nie wykluczają uznania ostatecznie, iż naruszenie, które dotyczy danych szczególnej kategorii nie powoduje ryzyka dla podmiotów danych.
Zakres pojęcia danych dotyczących zdrowia. Dodatkowo Poradnik nie wyjaśnia zakresu pojęcia „dane dotyczące zdrowia”. W świetle niedawnej opinii rzecznika Generalnego Macieja Szpunara w sprawie C-21/235 dotyczącej charakteru informacji zawartych w zamówieniu złożonym w aptece internetowej na leki niewymagające recepty, nie wszystkie okoliczności, z których można wywieść pewne informacje lub wskazówki dotyczące zdrowia powinny być kwalifikowane jako „dane dotyczące zdrowia”.
Rzecznik podkreślił, iż mimo że złożenie zamówienia leków niewymagających recepty łączy się z przetwarzaniem danych, z których można wywieść pewne informacje o zdrowiu, lub przynajmniej wskazówki dotyczące zdrowia, ponieważ z takiego zamówienia wynika związek między kupnem leku, towaru w najwyższym stopniu związanego ze zdrowiem, a tożsamością jego nabywcy, to jednak związek ten jest zbyt słaby, a informacje, jakie można z niego wywieść, zbyt nieprecyzyjne lub hipotetyczne, aby rozpatrywane dane można było zakwalifikować jako „dane dotyczące zdrowia” w rozumieniu art. 4 pkt 15 i art. 9 RODO.
Precyzując argumenty Rzecznik wskazywał, że leki niewymagające recepty, co do zasady nie służą do leczenia konkretnego stanu chorobowego, lecz mają szersze zastosowanie do leczenia zwykłych dolegliwości, na które może zapaść każdy i które nie są charakterystyczne dla określonej jednostki chorobowej lub stanu zdrowia. Poza tym leki te są również często kupowane zapobiegawczo, aby mieć je do dyspozycji w razie potrzeby. Dlatego samo zamówienie paracetamolu nie umożliwia wyciągnięcia jakiegokolwiek wniosku co do konkretnego stanu danej osoby, ponieważ substancja ta jest zalecana w leczeniu różnego rodzaju bólów i stanów gorączkowych oraz zazwyczaj należy do leków, którymi osoby dysponują w miejscu zamieszkania, nawet bez szczególnej potrzeby. Dodatkowo fakt, że dana osoba zamawia przez Internet lek niewymagający recepty, nie musi koniecznie oznaczać, że będzie go stosować właśnie ta osoba, której dane są przetwarzane, a nie inna osoba z jej gospodarstwa domowego lub jej otoczenia.
Analogiczne stanowisko zajmował już wcześniej Brytyjski organ nadzoru wskazując, iż sama wizyta u lekarza pierwszego kontaktu lub w szpitalu nie powie ci nic o stanie zdrowia danej osoby, ponieważ może to być wizyta kontrolna lub przesiewowa. Dopiero szczegóły wizyt, przypomnienia i faktury, które mówią coś o stanie zdrowia danej osoby będą zakwalifikowane jako dane dotyczące zdrowia6.
W naszej ocenie podobną argumentację można zastosować do informacji o umówionej wizycie lekarskiej, przyjeździe karetki, która nie jest przetwarzana przez podmioty świadczące opiekę medyczną, a np. przez pracodawcę, administratora budynku.
Przykład 6
Pracownik administratora ustala mailowo z działem HR możliwość wcześniejszego wyjścia z pracy z powodu wizyty lekarskiej u chirurga ogólnego. Dział HR chcąc uzgodnić prośbę pracownika z jego przełożonym przez pomyłkę przesłał tę informację do dyrektora innego działu.
Pracownicy często z własnej inicjatywy przekazują pracodawcy informację o umówionej wizycie lekarskiej (np. wizyta u internisty, kardiologa, optyka), bądź umówionych badaniach laboratoryjnych (np. USG, badania krwi, rezonans magnetyczny) aby ustalić z pracodawcą możliwość odbycia wizyty lub wykonania badania w ramach przyjętych godzin pracy. Takie ogólne informacje nie przedstawiają precyzyjnych wskazówek na temat stanu zdrowia osoby fizycznej i nie można na tej podstawie wyciągnąć jakiegokolwiek wniosków co do konkretnego stanu zdrowia danej osoby. Ani kategoria badania, ani nawet specjalizacja lekarza nie wskazują bowiem na jednostkę chorobową, przebieg leczenia, czy stan pacjenta, nie określają nawet charakteru wizyty (diagnostyka czy wizyta kontrolna). W ślad za cytowaną opinią Rzecznika Generalne należy uznać, że takich ograniczonych danych nie można zakwalifikować jako „danych dotyczących zdrowia” w rozumieniu art. 4 pkt 15 i art. 9 RODO, i że jest mało prawdopodobne, że ich ujawnienie innemu pracownikowi, skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, nie tylko z uwagi na charakter danych, ale również status zaufanego odbiorcy jaki można przypisać pracownikowi.
Przykład 7
Pracownik recepcji budynku biurowego odnotował w raporcie dziennym fakt wezwania karetki pogotowia, wskazując imię i nazwisko osoby fizycznej, do której wezwano pomoc oraz piętro budynku. Raport ten został następnie błędnie zapisany w zasobach administratora tj. w folderze ogólnie dostępnym dla wszystkich pracowników administratora zamiast w folderze dostępnym wyłącznie dla pracowników zespołu recepcji. W wyniku tej pomyłki do raportu miało dostęp kilku pracowników administratora, jeden z nich zgłosił nieprawidłową lokalizację pliku.
W naszej ocenie w opisanym stanie faktycznym, z uwagi na brak szczegółów odnośnie przyczyn i przebiegu interwencji medycznej oraz dalszych wskazań dotyczących stanu zdrowia, niemożliwe jest wyciągnięcie jakichkolwiek wniosków co do konkretnego stanu zdrowia danej osoby w tym zasadności wezwania karetki. W ślad za cytowaną opinią Rzecznika Generalne należy uznać, że takich danych nie można zakwalifikować jako „danych dotyczących zdrowia” w rozumieniu art. 4 pkt 15 i art. 9 RODO.
2.4 PESEL
Sugerujemy, aby Poradnik zaadresował wpływ nowych regulacji7 gwarantujących możliwość zastrzegania numeru PESEL na ocenę ryzyka dla praw lub wolności podmiotów danych związaną z naruszeniami poufności tego identyfikatora. Widoczny w dotychczasowej praktyce Prezesa UODO automatyzm przypisania wysokiego ryzyka do każdego naruszenia dotyczącego numeru PESEL, budzi sprzeciw dużej grupy administratorów.
Niewątpliwie zastrzeżenie numeru PESEL powinno mieć wpływ na ocenę ryzyka, bowiem ogranicza prawdopodobieństwo dokonania kradzieży lub sfałszowania tożsamości, a tym samym obniża ryzyko powstania negatywnych konsekwencji o charakterze finansowym. Skoro zastrzeżenie numeru PESEL chroni w szczególności przez zaciągnięciem przez przestępców różnego typu zobowiązań przy użyciu tożsamości podmiotu danych, wydaniem duplikatu karty SIM lub zawarciem nowej umowy, wypłatą gotówki w kasie banku, a nawet przez sprzedażą lub obciążeniem nieruchomości to niewątpliwie lista potencjalnych konsekwencji związanych z ujawnieniem tego identyfikatora będzie ograniczona.
Dlatego administratorzy podczas oceny ryzyka związanego z naruszeniem, w oparciu o swój prawnie uzasadniony interes, powinni mieć móc zbadać czy osoby fizyczne dotknięte naruszeniem dokonały zastrzeżenia numeru PESEL. Informacja ta będzie szczególnie istotna w przypadku naruszeń, które dotykają pojedyncze osoby lub nieliczne grupy osób fizycznych, z którymi administrator jest w stanie potwierdzić szybko tę okoliczność (np. pracownicy). Pozwoli to przede wszystkim dostosować zakres przekazywanej informacji, lub może nawet uniknąć konieczności informowania podmiotów danych lub Prezesa UODO.
Zwracam również uwagę na fakt, iż dotychczasowa inspirowana wytycznymi Prezesa UODO praktyka informowania osób fizycznych o szerokim zakresie potencjalnych ryzyk związanych ujawnieniem numeru PESEL, może powodować niepotrzebne obawy u osób, których dane dotyczą (w szczególności u tych które numer PESEL zastrzegły przed naruszeniem) lub uodpornienie się tych osób na taki przekaz w dłuższej perspektywie.
2.5 OKRES RETENCJI EWIDENCJI NARUSZEŃ
Poradnik podkreśla obowiązek prowadzenia wewnętrznej ewidencji naruszeń, jednak nie wypowiada się na temat rekomendowanego okresu retencji tej ewidencji.
Proponujemy, aby uznać 5-letni okres retencji ewidencji oraz towarzyszącej jej dokumentacji związanej z naruszeniem (dla ułatwienia liczony od końca roku kalendarzowego w którym stwierdzono naruszenie) za wystarczający do wykazania prawidłowej realizacji obowiązków wynikających z art. 33 ust. 5 RODO w związku z art. 5 ust.2 RODO. W naszej ocenie za takim rozwiązaniem przemawia 5-letni okres przedawnienia możliwości nakładania kar administracyjnych wynikający z art. 189g § 1 KPA oraz stojąca za tym ograniczeniem idea pewności obrotu prawnego.
Zgadzamy się, ze stanowiskiem doktryny, że istnienie nielimitowanego przez upływ czasu obowiązku nie sprzyja pewności obrotu, komplikuje relacje pomiędzy jednostką a administracją, nadwyrężając często zaufanie do władzy publicznej.
2.6 WZÓR FORMULARZA ZGŁOSZENIA NARUSZENIA
Poradnik odsyła do dostępnego na stronie Urzędu wzoru formularza zgłoszenia rekomendując jego użycie, aby zgłoszenie zawierało niezbędne informacje pozwalające na oceną zdarzenia. Warto przy okazji rewizji Poradnika poświęcić kilka uwag również temu formularzowi zgłoszenia, który w naszej ocenie wymaga pewnych korekt.
(a) Pełnomocnictwo. W sekcji 2D formularza znajduje się wskazówka dotycząca konieczności dołączenia pełnomocnictwa w formie elektronicznej oraz dowodu uiszczenia opłaty skarbowej przy zgłoszeniu elektronicznym, które jest najpopularniejszą i najwygodniejszą formą zgłaszania naruszenia. Taka informacja może wprowadzać w błąd, sugerując niepotrzebne wymogi formalne, które nie znajdują oparcia w obowiązujących przepisach. W obliczu 72-godzinnego terminu na zgłoszenie naruszenia, dodatkowe bariery formalne mogą prowadzić do niepożądanych opóźnień i nadmiernego skupienia administratora na dokonaniu zgłoszenia w terminie, kosztem zapewnienia realnej ochrony dla podmiotów danych. Proponujemy wykreślenie tej wskazówki z formularza oraz umieszczenie jasnej informacji w Poradniku, że przedkładanie pełnomocnictwa nie jest wymagane bez względu na wybraną przez administratora formę zgłoszenia.
(b) Wielka Brytania W sekcji 11 formularza, poświęconej transgranicznemu przetwarzaniu danych, Wielka Brytania jest nadal wymieniona jako członek UE, co jest nieaktualne w świetle zakończonej procedury Brexitu. Sugerujemy aktualizację formularza poprzez wykreślenie Wielkiej Brytanii z tej sekcji.
(c) Błąd techniczny formularza. Zwracam również uwagę na problem techniczny w sekcji 10 formularza, polegający na braku możliwości ˜odznaczenia wyboru’, jeśli zostanie on zaznaczony. Jest to kwestia wymagająca naprawy, aby zapewnić prawidłowe funkcjonowanie formularza i nie wprowadzać Urzędu w błąd
PRZYPISY:
- Sprawozdanie z działalności Urzędu Ochrony Danych Osobowych za 2022 r.
- Prezentując stanowiska różnych organów nadzoru nawiązujemy również do stanowisk lub wytycznych przygotowanych przez Brytyjski Organ Nadzoru (ICO). Mimo iż Wielka Brytania nie jest już członkiem Unii Europejskiej, wypracowane przez ICO standardy, wytyczne opierają się o tożsame do RODO brzmienie przepisów, bowiem tekst RODO został w całości implementowany do brytyjskiego porządku prawnego. Uważamy, że materiały te mogą stanowić pomocniczy, ale wartościowy materiał do rozważań nad kształtem i treścią Poradnika.
- Materiały Duńskiego Organu Nadzoru dostępne pod linkiem: https://autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/datalek-wel-of-niet-melden
- Wytyczne ICO dostępne pod linkiem: https://ico.org.uk/for-organisations/report-a-breach/personal-data-breach/personal-data-breach-examples/
- Opinia Rzecznika Generalnego w sprawie C-21/23 dostępna tu: https://curia.europa.eu/juris/document/document.jsf;jsessionid=64D58B7B8371F0BF981B4B9C8EBEB3B4?text=&docid=285204&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=5205276
- Wytyczne ICO dostępne pod linkiem: Understanding and assessing risk in personal data breaches
- Ustawa z dnia 7 lipca 2023 r. o zmianie niektórych ustaw w celu ograniczania niektórych skutków kradzieży tożsamości (Dz. U. poz. 1394 z późn. zm.).