Popularne metodyki oceny naruszeń w świetle decyzji PUODO
W 2022 r. do Prezesa Urzędu Ochrony Danych Osobowych zgłoszono 12.772 naruszeń, a więc ponad 5200 więcej niż w 2020r. [1]. Większa liczba zgłoszeń może wynikać zarówno z rosnącej świadomości u administratorów danych i członków ich personelu, jak i z coraz częściej nakładanych przez Prezesa Urzędu Ochrony Danych Osobowych („PUODO”), kar za brak zgłoszeń. Dotychczas nałożono kilkanaście kar za brak zgłoszenia naruszenia lub brak zawiadomienia osoby, której dane dotyczą. Kary zostały skierowane zarówno do podmiotów z sektora publicznego (przykładowo kara w wysokości 20.000 PLN nałożona na Prokuraturę Rejonową w G. [2], kara w wysokości 10.000 PLN nałożona na Sąd Okręgowy w Krakowie [3]), jak i na podmioty z sektora prywatnego. Tutaj kary były nakładane zarówno na małe podmioty (jednoosobowych przedsiębiorców, np. kara nałożona na Panią K.W. [4] w wysokości 11.790 PLN), spółdzielnię mieszkaniową (kara w wysokości 51.876 PLN [5]) ale też duże podmioty. Wśród tych ostatnich można wymienić przykładowo Link4 Towarzystwo Ubezpieczeń S.A. (dalej: „Link4”, kara w wysokości 103.752 PLN [6]), Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. (dalej: „Ergo Hestia”, kara w wysokości 159.176 PLN [7]).
Artykuł ukazał się w kwartalniku Magazyn ODO. Ochrona Danych Osobowych. Wydanie kwiecień – czerwiec 2024, nr 27. Autorką publikacji jest eksperta z sektora ochrony danych osobowych mec. Ewa Kuczyńska. Zapraszamy do lektury!
W wielu przypadkach powodem niezgłoszenia naruszenia było dokonanie przez administratorów danych odmiennej oceny ryzyka naruszenia praw i wolności, od oceny ryzyka dokonanej następnie przez PUODO. Ocena ryzyka dokonywana przez administratorów danych wskazywała często na niski poziom ryzyka, nie kwalifikujący naruszenia do zgłoszenia. Analiza ww. spraw pozwala na wyciągnięcie kilku generalnych wniosków, dotyczących zarówno metodyki oceny naruszeń, jak i jej zastosowania w praktyce.
Jedną z bardziej popularnych metodyk oceny naruszeń jest metodyka Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Jej stosowanie nie jest obowiązkowe, jednak jest ona bardzo popularna wśród administratorów i ich IOD. PUODO w swoich decyzjach nie kwestionował samej metodyki, a raczej sposób oceny konkretnych przypadków naruszeń przez administratorów na jej podstawie. Jednocześnie PUODO wielokrotnie podkreślał możliwość swobodnego wyboru metodyki przez każdego z administratorów.
W przypadku wyboru metodyki opartej na metodyce ENISA warto zwrócić uwagę na kilka opisanych poniżej kwestii, na które zwracano uwagę w decyzjach wydawanych przez PUODO:
- ocena naruszeń powinna być dostosowana do realiów poszczególnych krajów. Jeśli chodzi o realia polskie, problem stanowi w szczególności odpowiednia kwalifikacja ryzyka związanego z ujawnieniem numeru PESEL,
- konieczność zachowania rozwagi przy stosowaniu metody opartej o wytyczne ENISA – w opinii PUODO administratorzy często zbyt nisko oceniają ryzyko, tracąc z pola widzenia nadrzędny cel RODO, w postaci ochrony podstawowych praw i wolności osób fizycznych [8].
- konieczność wzięcia pod uwagę, czy naruszenie nie dotyczy informacji objętych tajemnicą zawodową.
Ocena naruszeń – uwzględnienie ryzyka związanego z numerem PESEL
W wielu decyzjach PUODO można znaleźć twierdzenie, że ujawnienie informacji o numerze PESEL może spowodować wysokie ryzyko naruszenia danych osobowych. Pierwszy problem przy stosowaniu metodyki opartej o metodę ENISA pojawia się więc na etapie prawidłowej (w ocenie PUODO) klasyfikacji danych.
Standardowy podział danych w oparciu o metodę ENISA dzieli dane na cztery kategorie – dane podstawowe, dane dotyczące zachowań osoby, dane finansowe i dane szczególne. Metodyka przyjęta przez każdego z administratorów może jednak doprecyzować zakres danych wchodzących w każdą z kategorii, poprzez wskazanie przykładowych danych.
Z decyzji stwierdzającej naruszenie przepisów RODO przez Ergo Hestia wynika, że metodyka Ergo Hestia przewidywała 4 kategorie danych:
(1) dane podstawowe,
(2) dane dotyczące zachowań osoby lub PESEL / nr dokumentu tożsamości (np. dane dotyczące lokalizacji GPS, preferencje i nawyki, przeszukiwane zasoby internetowe, identyfikatory sieciowe (cookies itp.), nagrane rozmowy, obraz, numer PESEL, numer dokumentu tożsamości,
(3) dane finansowe (np. majątek, historia transakcji / płatności, faktury)
(4) dane szczególnie chronione lub dotyczące wyroków skazujących i czynów zabronionych.
Wątpliwości PUODO wzbudziło zaszeregowanie numeru PESEL do tej samej kategorii co np. dane dotyczące lokalizacji, czy pliki cookies. W ocenie PUODO „dotkliwość ujawnienia danych w postaci numeru PESEL wraz z imieniem i nazwiskiem jest porównywalna, jak w przypadku ujawnienia „danych finansowych”, czy danych „szczególnie chronionych i w zależności od zmieniającego się kontekstu, np. powstania nowych lub ograniczenia istniejących zagrożeń, powinna być przez Spółkę oceniona dla każdego przypadku indywidualnie” [9]. Z powyższego można wywieść wniosek, że wyjściowa ocena ryzyka związanego z ujawnieniem numeru PESEL powinna być wyższa i odpowiadać co najmniej ryzyku poziomu trzeciego według metodyki ENISA. PUODO wśród ryzyk związanych z ujawnieniem numeru PESEL wskazywał przykładowo na następujące ryzyka:
- ograniczenie możliwości korzystania z budżetu obywatelskiego i usług kierowanych do ogółu obywateli, np. rejestracji wizyty w urzędzie (przy ujawnieniu oprócz numeru PESEL również informacji o imieniu, nazwisku, informacji o stanie finansowym);
- osoby trzecie mogą podjąć próbę pozyskania pożyczek w instytucjach pozabankowych z użyciem danych osoby dotkniętej naruszeniem (np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości);
- osoby trzecie mogą podjąć próbę uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem (ponieważ niekiedy dostęp do systemów rejestracji pacjenta można uzyskać potwierdzając tożsamość za pomocą numeru PESEL);
- osoby trzecie mogą podjąć próbę zawarcia na szkodę osoby dotkniętej naruszeniem umów cywilnoprawnych.
W tym miejscu warto zaznaczyć, że decyzja PUODO w sprawie Ergo Hestia została uchylona przez Wojewódzki Sąd Administracyjny w Warszawie. [10] WSA stwierdził, że PUODO nie wykazał przekonująco, że w praktyce jest możliwe legalne zaciągnięcie zobowiązań wyłącznie na podstawie danych takich jak imię, nazwisko, numer PESEL, miejscowość i kod pocztowy. Ponadto nie jest możliwe zaciągnięcie pożyczki dysponując jedynie ww. danymi, nawet jeśli pożyczka miałaby być zaciągnięta w instytucjach pozabankowych lub parabankowych. Również twierdzenia co do możliwości uzyskania dostępu do danych dot. zdrowia nie zostały w ocenie WSA wykazane przez PUODO.
Stanowisko PUODO co do wysokiego ryzyka związanego z ujawnieniem numeru PESEL, mimo że negowane przez większą część doktryny nie zmienia się na przestrzeni lat. Wyrażono je m.in. w decyzji dotyczącej Centrum Klinicznego Warszawskiego Uniwersytetu Medycznego (dalej: „Centrum Kliniczne WUM”) [11], decyzji w sprawie Link4 oraz wspomnianej powyżej decyzji dotyczącej osoby prowadzącej jednoosobową działalność gospodarczą K.W. Najprawdopodobniej więc w najbliższym czasie nie zostanie zmienione, mimo wspomnianego wyroku WSA.
Konieczność zachowania rozwagi przy stosowaniu metody opartej o wytyczne ENISA
Poniżej zostały wybrane przykładowe okoliczności, które w ocenie PUODO były błędnie oceniane przez administratorów danych:
A. Przyjęcie istnienia ograniczonej możliwość identyfikacji osoby, której dane dotyczą, przy ujawnieniu następujących danych: nazwiska, adresu zamieszkania, numeru PESEL.
Ww. przykład pochodzi z decyzji dot. Centrum Klinicznego WUM, dotyczącej ujawnienia danych zawartych na skierowaniu. Administrator bronił się wskazując, że osoba o ujawnionych danych nie istnieje (z uwagi na omyłkę w imieniu). Oceniając naruszenie, administrator wskazał na ograniczoną możliwość identyfikacji, podczas gdy w ocenie PUODO ww. zakres danych przesądza o wysokiej możliwości identyfikacji. Z decyzji PUODO wynika również, że sam błąd w imieniu nie może przesądzać o braku możliwości identyfikacji danej osoby, jeśli dysponujemy innymi danymi umożliwiającymi taką identyfikację, a dane te są prawidłowe (w szczególności nazwiskiem, adresem zamieszkania lub pobytu, numerem PESEL). Również w decyzji dot. Ergo Hestii wskazano, że ujawnienie informacji o numerze PESEL wraz z imieniem i nazwiskiem przesądza o konieczności wskazania na maksymalne prawdopodobieństwo identyfikacji, ponieważ numer PESEL w sposób jednoznaczny identyfikuje osobę fizyczną.
B. Powoływanie się na uzyskanie dostępu do danych przez podmiot zaufany czy uzyskanie oświadczenia o wykasowaniu danych przez nieuprawnionego odbiorcę
Kolejnym błędem w ocenie naruszeń wskazywanym przez PUODO jest powoływanie się na to, że podmiot któremu ujawniono dane jest podmiotem zaufanym, podczas gdy nie ma podstaw do przyjęcia takiej oceny. Administrator w ocenie PUODO musi wykazać, że zachodzą przesłanki żeby uznać nieuprawnionego odbiorcę za podmiot zaufany. W sprawie dot. Centrum Klinicznego WUM powoływano się przykładowo na okoliczność, że „podmiot, któremu w sposób nieuprawniony ujawniono dane innej osoby jest pozytywnie zainteresowany poziomem ochrony danych osobowych, jak również prawami pacjenta”, co nie zostało uznane przez PUODO za wystarczające.
Z kolei w decyzji dot. Ergo Hestia administrator powoływał się na okoliczność, że osoba, która otrzymała dane nie zapoznała się z nimi, co potwierdziła w złożonym oświadczeniu i że usunęła otrzymany e-mail. PUODO wskazał, że fakt uzyskania oświadczenia nieuprawnionego odbiorcy o usunięciu otrzymanej korespondencji nie ma znaczenia, bowiem nie ma pewności, czy przed złożeniem oświadczenia osoba ta nie przesłała wiadomości dalej, nie skopiowała dokumentów lub nie spisała ich treści. PUODO stwierdził również, że przy wysyłce wiadomości na skrzynkę e-mail nie ma pewności, czy skrzynka e-mail nie była współdzielona albo czy nie doszło do nieautoryzowanego dostępu do niej. WSA rozpoznający odwołanie Ergo Hestia wskazał w tym kontekście, że dla stwierdzenia naruszenia nie ma znaczenia, czy nieuprawniony adresat faktycznie zapoznał się z tymi danymi, a więc złożone przez niego oświadczenie było bez znaczenia dla rozpoznania sprawy.
C. Obniżenie wyniku analizy z powodu małej liczby osób, której dotyczy naruszenie
W ocenie PUODO nie ma podstaw do przyjmowania jako czynnika zmniejszającego ryzyko okoliczności, że naruszenie dotyczyło małej liczby osób. Z punktu widzenia osoby dotkniętej naruszeniem nie ma bowiem znaczenia, czy naruszenie dotyczyło również innych osób, czy tylko jej [12].
D. Obniżenie oceny ryzyka z uwagi na sporządzenie dokumentów w innym języku, niż język kraju w którym doszło do naruszenia.
Ww. przykład dotyczy decyzji wydanej w sprawie Sądu Okręgowego w Krakowie. Sprawa dotyczyła doręczenia przez operatora pocztowego adresatowi uszkodzonej i niekompletnej przesyłki. W przesyłce znajdowały się dokumenty w języku polskim wysłane do Wielkiej Brytanii. W ocenie PUODO sam fakt, że w kraju do którego zostały wysłane dokumenty językiem urzędowym jest inny język, niż język w którym zostały sporządzone dokumenty nie uzasadnia obniżenia poziomu ryzyka związanego z ujawnieniem danych. PUODO powołał się tutaj choćby na możliwość skorzystania z translatora, czy fakt że duża ilość osób w Wielkiej Brytanii posługuje się językiem polskim.
Uwzględnienie ryzyka związanego z naruszeniem tajemnicy zawodowej
W decyzji dotyczącej Link4 i decyzji dotyczącej Centrum Klinicznego WUM PUODO podkreślił, że dokonując oceny okoliczności naruszenia należy zwrócić uwagę na okoliczność, czy na administratorze nie ciążą dodatkowe obowiązki dotyczące przetwarzanych danych w zakresie ich poufności, w szczególności czy przepisy nie nakładają na administratora obowiązku zachowania tajemnicy. W rozpatrywanych sprawach administratorzy byli zobowiązani do zachowania tajemnicy ubezpieczeniowej (Decyzja Link4) i medycznej (Decyzja dot. Centrum Klinicznego). Naruszenie ww. tajemnic może przyczynić się do przesądzenia, że naruszenie powoduje wysokie ryzyko naruszenia praw lub wolności podmiotu danych [13].
Analiza decyzji PUODO prowadzi ponadto do wniosku, że PUODO negatywnie ocenia brak reakcji administratorów na pisma PUODO kwestionujące sposób dokonania oceny naruszeń [14]. Wymierzając administracyjną karę pieniężną Link 4, PUODO wziął pod uwagę, że Link4 nie wycofał się ze swojej oceny i nie zgłosił naruszenia, mimo otrzymania pisma z wezwaniem do wyjaśnień ze strony PUODO. Zostało to ocenione jako okoliczność obciążająca i to w kilku kontekstach: (i) ze względu na długi czas trwania naruszania przez Link4 art. 33 RODO dotyczącego terminu zgłaszania naruszeń, (ii) w kontekście umyślnego charakteru naruszenia (uznano, że Link4 umyślnie nie zgłosił naruszenia, mimo że wszczęcie postępowania przez PUODO w przedmiocie obowiązku zgłoszenia naruszenia powinno wzbudzić wątpliwości co do słuszności jego stanowiska) oraz (iii) jako niezadowalająca współpraca z PUODO (nie zgłoszenie naruszenia mimo otrzymania od PUODO pisma informującego o obowiązkach ciążących na administratorze w związku z naruszeniem, czy wszczęcia postępowania administracyjnego w tej sprawie).
Dlatego w przypadku otrzymania od PUODO pisma z wezwaniem do wyjaśnień / informacją dotyczącą naruszenia warto jeszcze raz przeanalizować dokonaną uprzednio ocenę naruszenia. W przypadku, gdy mamy wątpliwości co do jej prawidłowości, bezpieczniejszym rozwiązaniem może okazać się dokonanie ponownej oceny i zgłoszenie naruszenia. Może to bowiem zostać potraktowane jako okoliczność łagodząca. Przy czym oczywiście taka decyzja powinna być podejmowana indywidualnie w każdej sprawie, przy uwzględnieniu wszystkich jej okoliczności.
[1] Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych w roku 2022, str. 128-129. uodo.gov.pl/pl/p/o-nas.
[2] Decyzja DKN.5131.45.2022 z dnia 14 marca 2023 r., www.uodo.gov.pl/decyzje/DKN.5131.45.2022.
[3] Informacja na stronie internetowej PUODO, dostęp: 24.01.2004, uodo.gov.pl/pl/138/2965.
[4] Decyzja DKN.5131.43.2022 z dnia 12 lipca 2023 r., https://uodo.gov.pl/decyzje/DKN.5131.43.2022.
[5] Decyzja DKN.5131.49.2021 z dnia 1 marca 2023 r., www.uodo.gov.pl/decyzje/DKN.5131.49.2021.
[6] Decyzja nr DKN.5131.55.2022 z dnia 18 października 2023 r., uodo.gov.pl/decyzje/DKN.5131.55.2022.
[7] Decyzja DKN.5131.3.2021 z dnia 21 czerwca 2021 r., uodo.gov.pl/decyzje/DKN.5131.3.2021.
[8] „Wymaga podkreślenia to, że ze względu na specyfikę ocenianej przy jej pomocy materii, metoda ta wymaga od administratora szacowania przyjmowanych wartości przed ich ujęciem ze wzorze – niestety w tym zakresie często dochodzi do błędów w ocenie, niedoszacowania lub przyjmowania zbyt „optymistycznych” założeń. Dlatego dokonywana w oparciu o tę metodologię ocena (podobnie jak w przypadku wykorzystania każdego innego narzędzia ułatwiającego szacowanie ww. ryzyka) powinna zostać przez administratora zweryfikowana z uwzględnieniem ogólnych zasad dokonywania tej oceny. Stosując przepisy rozporządzenia 2016/679 należy mieć bowiem na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły) […].” – Decyzja PUODO z dnia 18 października 2023 r., DKN.5131.55.2022 stwierdzająca naruszenie przez Link4.
[9] Decyzja DKN.5131.3.2021 z dnia 21 czerwca 2021 r., uodo.gov.pl/decyzje/DKN.5131.3.2021.
[10] Sprawa była rozpatrywana przez Wojewódzki Sąd Administracyjny w Warszawie, sygnatura akt: II SA/Wa 3024/21, wyrok w tej sprawie zapadł w dniu 19 kwietnia 2022 r. https://orzeczenia.nsa.gov.pl/doc/32075E3E00.
[11] Decyzja DKN.5131.34.2021 z dnia 6 lipca 2022 r., www.uodo.gov.pl/decyzje/DKN.5131.34.2021.
[12] Decyzja w sprawie Ergo Hestia.
[13] „Zgodnie z tym przepisem [art. 40 ust. 1 ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty], lekarz ma obowiązek zachowania w tajemnicy informacji związanych z pacjentem, a uzyskanych w związku z wykonywaniem zawody. Powyższa okoliczność dodatkowo przesądza o zasadności przyjęcia, że w związku z przedmiotowym naruszeniem ochrony danych osobowych wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby fizycznej dotkniętej tym naruszeniem.” – Decyzja dot. Centrum Klinicznego WUM.
[14] Przykładowo w Decyzji Link4 PUODO stwierdził: „Administrator nie jest związany opinią osób trzecich w zakresie oceny ryzyka naruszenia praw lub wolności osób fizycznych wiążącego się z zaistniałym naruszeniem, to jednak powinien wziąć pod uwagę choćby fakt, że Prezes UODO pouczał go w wezwaniu z dnia 29 kwietnia 2022 r. o treści art. 33 ust. 1 i 3 rozporządzenia 2016 / 679 oraz o sposobach dokonania zgłoszenia naruszenia. W przedmiotowej sprawie również wszczęcie przez organ nadzorczy postępowania administracyjnego w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 nie skłoniło Administratora do pogłębionej refleksji na temat prawidłowości przyjętej w tej sprawie oceny ryzyka naruszenia praw lub wolności osoby fizycznej będącej podmiotem danych […].”.
Czasopismo dostępne w prenumeracie na stronie internetowej wydawcy TUTAJ.
Materiał prasowy: radca prawny Ewa Kuczyńska.
fot. Ewa Kuczyńska, Kancelaria Prawna GFP_Legal Wrocław
#PUODO #RODO #ODO #OchronaDanychOsobowych #MetodykiOcenyNaruszeń #Naruszenia #DecyzjePUODO #MagazynODO #KancelariaPrawnaWrocław #RadcaPrawnyWrocław #KancelariaPrawnaGFPLegal #GFPLegal