Kary za naruszenie przepisów o ochronie danych osobowych- OCHRONA DANYCH OSOBOWYCH

Świadomość tego, za jakie naruszenia przepisów o ochronie danych były w ostatnich latach w Europie nakładane kary oraz jakie praktyki zasadniczo były oceniane negatywnie, pomoże uniknąć naruszeń, a co za tym idzie – sankcji.

W ostatnich miesiącach dość intensywnie jesteśmy „straszeni” zapisami dotyczącymi kar za naruszenie przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: rodo). Oczywiście zapisów rodo nie można bagatelizować, z drugiej strony nie można – „straszyć” nimi ponad miarę, nie wyjaśniając jednocześnie, za co i w jakim zakresie można faktycznie ponieść odpowiedzialność.

 

Europejski „rekord”

W dniu 2 lutego 2017 r. włoski organ ochrony danych (Garante) nałożył rekordową grzywnę w wysokości 5 880 000 EUR na brytyjską spółkę działającą we Włoszech za naruszenie przepisów dotyczących konieczności uzyskania zgody na przetwarzanie danych zawartych w prawie włoskim. Jest to największa kara, jaka kiedykolwiek została wydana przez europejski organ ochrony danych w związku z naruszeniem unijnych ram ochrony danych. Garante nałożył grzywnę na firmę, która miała przekazywać pieniądze do Chin w imieniu osób fizycznych bez ich wiedzy i zgody, a zatem nie uzyskała zgody osób fizycznych na przetwarzanie ich danych. Wysokość grzywny odzwierciedla częściowo fakt, że naruszenie miało wpływ na znaczną liczbę osób, których dane dotyczą – co przypomina zapisy rodo dotyczące dużej skali lub ryzyka. W rzeczywistości Garante stwierdził, że firma popełniła oddzielne naruszenia prywatności dla każdego podmiotu danych, którego dane zostały wykorzystane bez jego zgody. Grzywna odpowiada zatem kwocie uzyskanej z sumy grzywien nałożonych za każde naruszenie popełnione przez spółkę. Według władz włoskich przedsiębiorstwa podzieliły duże transfery pieniężne na mniejsze w celu uniknięcia wykrycia, a następnie przypisały transfery podmiotom danych, które nie były tego świadome. Dane osobowe tych osób uzyskano z bazy danych utworzonej przez jedną z firm. Miało to nastąpić w celu ominięcia obowiązujących włoskich przepisów dotyczących przeciwdziałania praniu pieniędzy i uniknięcia ujawnienia nazw prawdziwych stron przekazujących pieniądze.

W takich okolicznościach włoski regulator jednoznacznie stwierdził, że firmy naruszyły włoskie zasady dotyczące prywatności, ponieważ przetwarzały dane osób bez ich wiedzy i zgody. Ponadto organ ochrony danych stwierdził, że naruszenia zostały popełnione „w związku z bazą danych o znacznym rozmiarze i znaczeniu”, co jest szczególnie usankcjonowane przez włoski kodeks ochrony danych osobowych. Garante nałożył wysokie kary na każdą z firm uczestniczących w systemie przekazów pieniężnych w wysokości 5 880 000, 1 590 000, 1 430 000, 1 260 000 i 850 000 EUR, co daje łącznie ponad 11 milionów euro. Garante obliczył grzywny w następujący sposób: zastosował karę w wysokości 10 000 EUR za każdy podmiot danych, którego prawa zostały naruszone (jest to grzywna minimalna za naruszenie zasad zgody); oraz zastosował dodatkową grzywnę w wysokości 50 000 EUR ze względu na rozmiar i znaczenie bazy danych. Ponieważ jedna z firm stwierdziła, że przetwarza dane 583 podmiotów danych bez ich zgody, Garante nałożył na tę spółkę grzywnę w wysokości 5 880 000 EUR (czyli 10 000 EUR pomnożoną przez 583 ofiary plus kolejne 50 000 EUR). Decyzja ta jest tym bardziej interesująca, że wykazuje „gotowość” przynajmniej jednej unijnej instytucji ochrony danych do nakładania grzywien, które wydają się bardziej zgodne z systemem sankcji wynikającym z ogólnego rozporządzenia o ochronie danych (rodo), pomimo iż rodo stosowane będzie od maja 2018 roku. Dla przypomnienia – w ramach rodo firmy mogą być karane grzywnami w wysokości do 20 milionów euro lub do 4% ich rocznych obrotów na całym świecie. Specyficzne nadużycia spółek i próby uniknięcia włoskiego systemu przeciwdziałania praniu pieniędzy niewątpliwie również stanowiły istotny czynnik wpływający na ocenę i zachowanie Garante.

Niebezpieczne autoprofilowanie

Microsoft narusza prawo ochrony danych w systemie Windows 10 –tak stwierdził w jednym ze swoich ostatnich postępowań holenderski organ ochrony danych. Microsoft naruszył holenderskie przepisy o ochronie danych, przetwarzając dane osobowe osób korzystających z systemu operacyjnego Windows 10 na swoich komputerach. Taki jest wniosek Holenderskiego Urzędu Ochrony Danych (DPA) po przeprowadzeniu dochodzenia w sprawie Windows 10 Home i Pro. Firma Microsoft nie informowała bowiem użytkownika w jasny sposób o typie danych, których używa i do jakiego celu. Ponadto ze względu na podejście stosowane przez firmę Microsoft użytkownicy nie mogli udzielić prawidłowej zgody na przetwarzanie swoich danych osobowych. Firma nie informowała użytkowników jednoznacznie o ciągłym gromadzeniu danych osobowych w zakresie korzystania z aplikacji i zachowań związanych z przeglądaniem stron internetowych za pośrednictwem przeglądarki Edge (wtedy, gdy używane są ustawienia domyślne). W świetle tak jednoznacznych ustaleń Microsoft stwierdził, że doprowadzi do zgodności swoich systemów z właściwymi przepisami – jeżeli tak się nie stanie, na pewno zostanie na niego nałożona stosowna kara.

Sprawa jest o tyle – z perspektywy rodo – istotna, że w Holandii ponad 4 miliony aktywnych urządzeń korzysta z Windows 10 Home i Pro. Firma Microsoft nieustannie zbiera dane techniczne i dane użytkowników z tych urządzeń (np. które aplikacje są zainstalowane i, jeśli użytkownik nie zmienił domyślnych ustawień, jak często te aplikacje są używane, a także dane dotyczące sposobu przeglądania stron internetowych). Dane te nazywane są „danymi telemetrycznymi”. Dzięki telemetrii Microsoft monitoruje (i profiluje?) zachowania użytkowników systemu Windows i nieprzerwanie wysyła te dane „do siebie”. Ze względu na takie podejście Microsoftu użytkownicy nie mają kontroli nad swoimi danymi. Nie są oni informowani, które dane są wykorzystywane i w jakim celu, ani że na podstawie tych danych można spersonalizować reklamy, o ile użytkownicy nie zrezygnowali z tych domyślnych ustawień podczas instalacji lub później. Można powiedzieć, że jest to dość wyjątkowa praktyka „autoprofilowania”, czyli profilowania samego siebie. Organ stwierdził ponadto, że Microsoft nie mógł przetwarzać danych w tym zakresie na podstawie zgody użytkownika – nie była ona bowiem jednoznaczna i nie zawierała wymaganej warstwy informacyjnej. Tak szerokiego zakresu przetwarzania nie uzasadniał także argument zachowania aktualności i bezpieczeństwa urządzeń oraz ulepszania własnych produktów i usług – który w tym zakresie był po prostu nieaktualny (szczególnie, że chodziło o – przykładowo – dane w postaci artykułów z wiadomościami, które zostały przeczytane, oraz lokalizacji wprowadzonych do danej aplikacji). Podsumowując, użytkownicy muszą być dobrze poinformowani i muszą dokładnie wiedzieć, na co wyrażają zgodę. Nie wystarczą przy tym lakoniczne informacje na poziomie ekranu instalacji.

Długodystansowy „zwycięzca”

Odczytując dotychczasowe oceny praktyk Facebooka w 2017 r. i udzielone w tym zakresie kary, można spodziewać się, iż rok 2018 dla tej firmy w Europie będzie równie bolesny. Najbardziej spektakularna w tym obszarze jest kara nałożona na firmę Facebook we wrześniu 2017 roku. Hiszpański organ ds. ochrony danych osobowych (agencja AEPD) stwierdził, iż firma przechowuje i wykorzystuje dane, w tym szczególnie chronione dane, do celów reklamowych bez uzyskania właściwej zgody. Dane dotyczące ideologii, płci, przekonań religijnych, osobistych preferencji lub czynności związanych z przeglądaniem są gromadzone bezpośrednio poprzez interakcję z ich usługami lub ze stron osób trzecich bez wyraźnego poinformowania użytkownika o tym, w jaki sposób i w jakim celu będą wykorzystywać te dane. Ponadto Facebook nie uzyskuje jednoznacznej, konkretnej i świadomej zgody użytkowników na przetwarzanie swoich danych, ponieważ informacje, które przekazuje, nie są pełne i właściwe. Dane użytkowników nie są całkowicie usuwane, gdy przestają być przydatne do celów, dla których zostały zebrane, ani gdy użytkownik wyraźnie zażąda ich usunięcia. Dlatego też hiszpańska agencja nałożyła na firmę Facebook karę w wysokości 1 200 000 EUR. Wszystko to bardzo mocno przypomina „informed consent” oraz przewidywany czas, przez który dane będą przetwarzane, czyli koncepcje, którymi rodo jest bardzo mocno przesiąknięte.

Przy okazji warto dodać, że hiszpańska agencja stwierdziła, że polityka prywatności Facebooka zawiera ogólne i niejasne terminy i zobowiązuje użytkowników do dostępu do zbyt wielu różnych linków, aby ją poznać. Sieć społecznościowa niepoprawnie odwołuje się do wykorzystania danych zgromadzonych przez użytkownika, aby użytkownik Facebooka ze średnią znajomością nowych technologii nie dowiedział się o gromadzeniu lub przechowywaniu danych i ich późniejszym przetwarzaniu, ani o tym, w jakim celu się to stanie.

Dodać należy, iż postępowania dotyczące naruszeń przepisów o ochronie danych w stosunku do firmy Facebook są prowadzone także w innych Państwach Unii Europejskiej i okoliczności rozpatrywanych spraw wskazują na to, że firmę tę mogą spotkać kolejne kary w 2018 roku.

Jak uniknąć kary, czyli nie taki „diabeł” straszny

Analiza powyższych przypadków wskazuje na to, że na gruncie przepisów o ochronie danych osobowych negatywnie oceniane są działania o bardzo podstawowym charakterze – niejasna i niepełna treść klauzuli zgody, wykorzystywanie danych zupełnie bez podstawy prawnej czy poza zakresem udzielonej zgody. Można zaryzykować stwierdzenie, iż w takich przypadkach ocena na gruncie rodo byłaby jednoznaczna. Warto przy tym zauważyć, że skala działania opisanych podmiotów uzasadniała wysokie kary. Z drugiej strony, kwestie, które nie zostały należycie uregulowane, miały charakter bardzo podstawowy i dla większości podmiotów nie będzie problematyczne, aby takim wymaganiom sprostać. Kuriozalnie więc rodo może być narzędziem ułatwiającym działanie (szczególnie w zakresie możliwości „odchudzenia” całej dokumentacji związanej z przetwarzaniem danych), przy jednoczesnym zapewnieniu, iż podejście do przetwarzania danych w zakresie podstawowych (i wyżej wskazanych) elementów, będzie traktowane poważnie.

Rafał Malujda
radca prawny / rzecznik patentowy