Podsumowanie miesiąca – listopad 2024 r.

Szanowni Państwo, skuteczna ochrona danych osobowych – jednego z najcenniejszych dziś dóbr – wymaga doskonalenia zarządzania opartego na analizie ryzyka. Nic nam po tym, gdy po fakcie wskażemy winnych zaniedbań, bo szkód nie da się już naprawić. RODO każe nam stawiać na prewencję i analizę ryzyka. W naszej pracy kładziemy na to duży nacisk. Aby zaś wiedza o tym, jak należy przeciwdziałać ryzyku dla danych, szerzyła się, konieczna jest rozmowa i odwoływanie się do konkretów. Ba, bez rozmowy znalezienie takich rozwiązań będzie bardzo trudne.

Działania sektorowe

Dlatego 15 listopada 2024 r. wraz ze Społecznym Zespołem Ekspertów przy Prezesie UODO oraz Konfederacją Lewiatan zorganizowaliśmy seminarium „Ochrona zdrowia w zatrudnieniu a RODO”. Zebraliśmy na nim problemy, jakie pojawiają się przy przetwarzaniu informacji o zdrowiu pracowników (kierowanie na badania z zakresu pracy w związku z kryzysem psychicznym czy aktywizacja osób z niepełnosprawnościami). Pomoże nam to w pracach nad aktualizacją poradnika o danych osobowych w zatrudnieniu.

Podobną sektorową konferencję zorganizowaliśmy 28 listopada wspólnie z ZUS. Poświęcona ona była najważniejszym zmianom, jakie zaszły w systemie prawnym w 2024, z perspektywy ochrony danych osobowych. Rozmawialiśmy też o konsekwencjach kolejnej rewolucji, która dokonuje się na naszych oczach: tej związanej ze sztuczną inteligencją.

Debaty eksperckie

O unijnym Akcie o sztucznej inteligencji miałem możliwość opowiadać na konferencji w Akademii im. Leona Koźmińskiego w Warszawie „Prawne Wyzwania Technologii Dysruptywnych” (ang. “Legal Challenges of Disruptive Technologies”) 7-8 listopada 2024 roku. Zwróciłem uwagę, że nasze zabiegi związane z ochroną danych osobowych dotyczą praw podstawowych obywateli Unii Europejskiej. Zwróciłem uwagę na fakt, że wiele organizacji, wdrażających systemy AI wysokiego ryzyka, będzie zobowiązanych do przeprowadzenia oceny oddziaływania na prawa podstawowe (ang. FRIA – Fundamental Rights Impact Assessment) celem umożliwienia wczesnego identyfikowania potencjalnych zagrożeń dla praw podstawowych i podjęcia odpowiednich środków w celu ich łagodzenia.

W listopadzie aktywnie uczestniczyliśmy też w wymianie poglądów na temat ochrony danych osobowych na arenie międzynarodowej. To bardzo ważne źródło wiedzy i dobrych praktyk. 18-19 listopada 2024 r. w Brukseli, razem z kilkudziesięciu ekspertami z różnych krajów, uczestniczyłem w 74. spotkaniu Międzynarodowej Grupy Roboczej ds. Ochrony Danych w Technologii, zwanej również Grupą Berlińską. Dyskutowaliśmy m.in. o neurotechnologii i technologii immersyjnej (rozszerzonej rzeczywistości), rozwiązaniach chmurowych i mechanizmach globalnych sygnałów preferencji optout i powiązanych technologiach.

Dane osobowe z perspektywy człowieka

Inną perspektywę na problemy z danymi osobowymi dały nam spotkania w Katowicach w ramach akcji „UODO rusza w kraj”. Tam też omawialiśmy problemy z zakresu danych osobowych z ekspertami z Uniwersytetu Ekonomicznego w Katowicach na współorganizowanej konferencji naukowej. Mieliśmy też ważne spotkanie z Federacją Uniwersytetów Trzeciego Wieku. To, że dane osobowe postrzegane są różnie przez różne generacje to oczywistość. Osoby, które zakończyły edukację, a nawet aktywność zawodową zanim rewolucja cyfrowa na dobre zmieniła nasze życie, mają do danych inne podejście. Naszym zadaniem jest wspierać ich i wskazywać, jak chronić swoje prawa w gospodarce, w której za towary i usługi płaci się informacjami o sobie (danymi). Podpisaliśmy też z Federacją Uniwersytetów Trzeciego Wieku porozumienie o współpracy.

Nie tylko osoby starsze mogą mieć kłopot w rozumieniu, czym są dane osobowe. Dziennikarze Radia ZET zaalarmowali opinię publiczną, że strażnicy graniczni pozwalają sobie na nieuprawnione zaglądanie do bazy PESEL. Wyciągają tak np. dane o znanych osobach. Sprawę prowadzi prokuratura, ale postępowanie trwa bardzo długo. Tymczasem w interesie nas wszystkich jest to,
by zakończyło się sprawnie i by wprowadzono odpowiednie zabezpieczenia przed nadużywaniem dostępu do danych w Straży Granicznej. Stąd moja interwencja u Komendanta Głównego Straży Granicznej.

Dane osobowe i prawo

Nasza praca polega też na analizowaniu projektów ustaw pod kątem danych osobowych, a także wyroków europejskich sądów.

Zwrócę tu tylko Państwa uwagę na naszą opinię do projektu ustawy wprowadzającej rejestr psów i kotów. Ma on przeciwdziałać bezdomności zwierząt w ten sposób, że dzięki czipowi zarejestrowanemu w centralnej bazie łatwo będzie można ustalić, kto jest opiekunem zwierzęcia. Projekt nie został jednak odpowiednio zanalizowany pod kątem ochrony danych osobowych. Tymczasem zakłada powstanie bazy danych, w której znajdzie się wiele milionów obywateli z wieloma danymi o nich. To, że takie dane łatwo będzie można pobrać skanując czip psa na spacerze w parku, to najmniejszy problem z tym związany. Opisuję ten projekt, by pokazać, że nie ma dziś takiej dziedziny, w której dane osobowe nie miałyby znaczenia. Analizowanie skutków regulacji pod kątem bezpieczeństwa danych musi się stać w Polsce standardem legislacyjnym.

Druga ważna rzecz to wyrok TSUE  w połączonych sprawach o sygn. C-182/22 i C-189/22 Scalable Capital i in. Dotyczy on roszczeń odszkodowawczych z tytułu szkody niemajątkowej spowodowanej naruszeniem przepisów o ochronie danych osobowych. W naszej ocenie nie wymaga on co prawda zmiany polskich przepisów, ale będzie miał znaczenie dla ich interpretacji.

Kary za narażenie danych na niebezpieczeństwo

Na końcu chcę Państwu powiedzieć o karach, jakie PUODO zmuszony był nałożyć za naruszanie bezpieczeństwa danych osobowych. Piszę o tym właśnie na końcu, gdyż choć o karach UODO mówi się dużo i głośno, to stanowią one niewielką część naszej działalności. Ich wysokość ustalana jest w proporcji do rocznego obrotu administratora. Ale znaczenie ma także, jak administrator zachował się po incydencie i czy współpracował przy tym z PUODO. Celem naszych postępowań jest bowiem to, by podobny incydent nie przytrafił się ponownie.

• Za nieprzestrzeganie zasad ochrony danych osobowych PUODO ukarał firmę sprzedającą m.in. drzwi antywłamaniowe ponad 350 tys. zł kary. Wspólnicy spółki cywilnej, której firma powierzyła przetwarzanie danych, zostali ukarani karą 9,8 tys. zł. Konsekwencją nieprzestrzegania tych zasad był skuteczny niestety atak hakerski na dane osobowe w firmie.

• PUODO nałożył na dwie instytucje miejskie w Kutnie kary 15 tys. zł i 20 tys. zł, m.in. za niewdrożenie odpowiednich środków technicznych i organizacyjnych, w wyniku czego doszło do naruszenia ochrony danych osobowych. Zgubiono nieszyfrowanego pendrive’a z danymi osobowymi około 1500 osób. Karę ponad 24 tys. zł otrzymała również spółka obsługująca te instytucje w zakresie zmiany programu kadrowo-płacowego.

• 25 tys. zł administracyjnej kary pieniężnej nałożył Prezes UODO na Powiatowego Inspektora Nadzoru Budowlanego w Częstochowie za niewyznaczenie inspektora ochrony danych, a w konsekwencji brak publikacji jego danych kontaktowych i brak zawiadomienia o tych danych organu nadzorczego.

Mirosław Wróblewski

Prezes UODO