Dwa lata RODO: „Testy zderzeniowe” na dwie gwiazdki

Artykuł
25.05.2020
37 min. czytania
Tekst

Dwa lata temu cieszyliśmy się, że po trzech dekadach obowiązywania starych, niedostosowanych do globalnej cyfrowej rzeczywistości przepisów o ochronie danych osobowych nastało RODO. Nowe, wspólne dla całej Unii Europejskiej standardy miały chronić mieszkańców Europy przed zakusami firm także spoza Unii – szczególnie internetowych gigantów, którzy z gromadzenia danych na masową skalę uczynili model biznesowy XXI wieku. Po dwóch latach, odkąd RODO jest w pełni stosowane, możemy od pełnego nadziei oczekiwania przejść do głębszej analizy: co w tej reformie działa, a co wymaga poprawy. Niestety, nasze „testy zderzeniowe” nie wypadają pomyślnie.

Jeśli kierowca gna 200 km/h krętą drogą obsadzoną drzewami, pasy i poduszki bezpieczeństwa mogą go nie uratować przy zderzeniu z jednym z nich. W naszych testach to firmy i organy publiczne są nieodpowiedzialnymi kierowcami: ich interpretacje i praktyki ukształtowały standard ochrony danych, który rozczarował konsumentów i obywateli. Inna rzecz, że same pasy i poduszki też się zacinają: Urząd Ochrony Danych Osobowych, który powinien dostrzegać i korygować błędne interpretacje i ryzykowne praktyki, nie zawsze to robi. Większej aktywności oczekiwalibyśmy też od Europejskiej Rady Ochrony Danych Osobowych, która mogłaby lepiej koordynować egzekwowanie przepisów, szybciej i skuteczniej wykorzystując przyznane jej narzędzia (np. możliwość wydawania opinii i wiążących decyzji). Jest jeszcze jeden element układanki: sądy (administracyjne i cywilne), które – według naszego rozeznania – jeszcze nie miały wielu okazji, by zmierzyć się z RODO. Ich czas nadchodzi, a rola może być równie ważna, jak edukowanie kierowców z naszej metafory, żeby nie jeździli z nadmierną prędkością.

 

Zapraszamy na subiektywny przegląd problemów, o które w ostatnich dwóch latach rozbiły się nasze nadzieje na lepszy standard ochrony danych osobowych. Naszą rolą jest testowanie skuteczności nowego prawa w zderzeniu z praktyką firm i organów państwa, a więc siłą rzeczy dostrzegamy przede wszystkim to, co działa źle na styku konsument–biznes i obywatel–państwo. Żeby nieco rozszerzyć tę perspektywę, poprosiliśmy o opinię zaprzyjaźnionych prawników: wytrawnych praktyków, jeśli chodzi o stosowanie RODO. Niestety, oni też przynieśli nam przykłady mechanizmów, które nadal nie działają tak, jak powinny.

Test internauty, który nie chce być towarem

Problem: wyciek danych na giełdach reklam    |    Testuje: Fundacja Panoptykon

Kiedy użytkownik czeka na załadowanie strony internetowej utrzymującej się z reklam, w tle odbywa się błyskawiczna aukcja na giełdzie reklamowej. Wiek, płeć, miejsce zamieszkania, model urządzenia, lokalizacja, wyszukiwane słowa i odwiedzane strony – dane użytkowników płyną szerokim strumieniem do zewnętrznych firm z branży reklamowej, odpowiedzialnych za to, kto jaką reklamę obejrzy na danej stronie. Dane z profili marketingowych trafiają nie tylko do firmy, która wygrała konkretną aukcję i na odwiedzanej stronie wyświetliła swój baner, ale też do setek innych podmiotów, które wzięły w niej udział. Problem dotyczy wszystkich stron internetowych, które utrzymują się z targetowanej reklamy. W ten sposób stają się one narzędziem ciągłego wycieku danych użytkowników Internetu, w tym danych wrażliwych.

RODO kontra giełdy reklam

Funkcjonowanie giełd reklamowych wysyłających dane użytkowników do setek podmiotów bez ich wiedzy i możliwości kontroli narusza podstawowe zasady RODO. Po pierwsze, na aukcje trafia więcej danych, niż jest to potrzebne, by dopasować reklamę. Po drugie, informacje te mogą ujawniać dane wrażliwe, bo na podstawie lokalizacji, adresów stron, na które wchodzą użytkownicy, czy historii zakupów można wywnioskować, na co chorują, ile zarabiają czy jakie mają poglądy polityczne. Każda strona internetowa ma na takiej giełdzie przypisaną kategorię, która sama w sobie może wskazywać na słabości, problemy czy przekonania użytkowników (takie jak „wsparcie dla ofiar przemocy”, „zaburzenia odżywiania” czy „scjentologia”).

Jak podkreśla ICO (brytyjski odpowiednik UODO), przetwarzanie danych w celu obsługi aukcji reklamowych wymaga wyraźnej, dobrowolnej i świadomej zgody użytkowników. Tymczasem „zgoda” na tak daleko ingerujące w prywatność przetwarzanie danych jest zbierana hurtowo dla wszystkich firm uczestniczących w aukcjach. Do tego dzieje się to z wykorzystaniem okienek, które utrudniają niewyrażenie zgody lub wręcz stosują cookie walls (jeśli użytkownik nie zaakceptuje śledzących ciasteczek, nie może korzystać ze strony), co wprost narusza wytyczne Europejskiej Rady Ochrony Danych.

Internauci często nie są nawet świadomi istnienia profilu reklamowego zawierającego ich dane, nie mówiąc już o jego zawartości. Nie są też w stanie prześledzić, do kogo trafiają ich dane, ani – tym bardziej – skorzystać ze swoich praw, np. prawa do skorygowania lub usunięcia danych.

Szybka koalicja i wolne urzędy

Po niemal 12 miesiącach badania (zwieńczonego raportem), jak śledząca reklama wpływa na prywatność, w styczniu 2019 r. Fundacja Panoptykon złożyła do Prezesa UODO skargi przeciwko Google i Interactive Advertising Bureau – podmiotom odpowiedzialnym za stworzenie warunków i zasad działania giełd reklamowych. Podobne skargi we wrześniu 2018 r. zostały złożone w Wielkiej Brytanii i Irlandii. Zgodnie z mechanizmem one stop shop (art. 56 RODO) polski urząd przekazał skargi odpowiednio do Irlandii i Belgii. W kolejnych miesiącach do tych samych organów trafiło kilkanaście analogicznych skarg z całej Europy.

Mimo że od złożenia polskich skarg mija już 16 miesięcy, do tej pory nie zapadły rozstrzygnięcia. Nie dostaliśmy też żadnych sygnałów ze strony UODO, że naciska na swoje zagraniczne odpowiedniki w celu podjęcia działań, np. wykorzystując tryb pilny (art. 66 RODO) lub domagając się prowadzenia wspólnych operacji (art. 62 RODO). Wreszcie – mimo że naruszenie ma systemowy charakter i dotyczy milionów użytkowników Internetu w całej Europie, a rozstrzygnięcie tej sprawy wyznaczy interpretację RODO dla międzynarodowej branży reklamowej – Europejska Rada Ochrony Danych Osobowych nadal nie wydała opinii w tej sprawie.

Dowiedz się więcej:

Test rodzica pod presją

Problem: wymuszenie zgody na marketing    |    Testuje: Fundacja Panoptykon

Bezpłatne wakacyjne ubezpieczenie dla wszystkich dzieci w Polsce – tak latem 2019 r. największy polski ubezpieczyciel lansował ofertę pod hasłem „Wakacje z PZU”. W rzeczywistości klienci skuszeni ofertą mieli za ubezpieczenie zapłacić, tyle że nie gotówką ani przelewem, a danymi osobowymi. Rodzice chcący ubezpieczyć dzieci musieli wyrazić „zgodę” na wykorzystanie danych, m.in. numeru telefonu, do celów marketingowych – i to nie samego PZU, ale firm powiązanych z ubezpieczycielem: Alior Banku czy Link4. Zdaniem PZU klienci mieli wybór – mogli zapłacić ok. 10 zł za równoważne ubezpieczenie, bez przekazywania danych w celach marketingowych. Problem w tym, że informacja o tej alternatywie pojawiła się dopiero w piśmie do Prezesa UODO, który – zaalarmowany przez klientów – zażądał wyjaśnień (o czym piszemy niżej). Samych klientów o niej nie informowano, mimo że PZU miało do tego wiele okazji: od materiałów marketingowych po sam formularz przystąpienia do ubezpieczenia.

PZU nie jest jedynym graczem na rynku, który testuje, ile dla polskiego konsumenta warte są jego dane osobowe. Podobną strategię stosują też np. firmy telekomunikacyjne czy dostawcy internetu i telewizji pod postacią „5 zł zniżki za zgodę marketingową”. Ale trzeba przyznać, że to właśnie PZU zaproponował najlepszą stawkę – całkowite zwolnienie z opłat… I w tym cały problem: ciężko taką ofertę odrzucić.

RODO a wymuszona zgoda

Zgoda na przetwarzanie danych musi m.in. być dobrowolna, co oznacza, że będzie ważna tylko wtedy, gdy osoba, której dane dotyczą, ma rzeczywisty wybór i nie zachodzi ryzyko wprowadzenia w błąd, zastraszenia, przymusu lub negatywnych konsekwencji (np. znacznych dodatkowych kosztów), jeżeli jej nie wyrazi.

Jak podkreśla w swoich wytycznych Europejska Rada Ochrony Danych, zgoda na przetwarzanie danych nie może być „zapłatą” za usługę. Jeżeli zgoda staje się warunkiem wykonania umowy (pomimo że przetwarzanie danych w tym zakresie nie jest niezbędne do wykonania umowy; por. art. 7 ust. 4 RODO), nie będzie uważana za dobrowolną. W takiej sytuacji zgoda będzie ważna tylko wtedy, gdy klienci mają realną alternatywę w postaci równoważnej usługi niewymagającej przekazania danych.

Kluczowe dla oceny sprawy jest to, że klienci PZU w momencie podejmowania decyzji, czy udzielić zgody na marketing, czy nie, nie wiedzieli o alternatywnej ofercie. Co więcej, taka „darmowa” oferta tak czy inaczej byłaby trudna do odrzucenia. Dlatego w naszej ocenie pozyskiwane przez PZU zgody na przetwarzanie danych w celach marketingowych były jednak wymuszone – a więc również nielegalne z punktu widzenia RODO.

UODO ma wątpliwości, a Panoptykon przyłącza się do postępowania

Oferta PZU wzbudziła wątpliwości Prezesa UODO, który w czerwcu 2019 r. zażądał od PZU wyjaśnień dotyczących zasad pozyskiwania danych dzieci w związku z „darmową” ofertą ubezpieczenia. Urzędowi najwyraźniej nie wystarczyły wyjaśnienia ubezpieczyciela, że w celach marketingowych pozyskiwane były dane rodziców, a nie dzieci, ponieważ postępowanie nadal się toczy. W listopadzie 2019 r. przedstawiliśmy Prezesowi nasze stanowisko i złożyliśmy wniosek o przyłączenie do postępowania jako organizacja społeczna. 23 stycznia 2020 r. Prezes UODO wydał postanowienie dopuszczające nas do udziału w postępowaniu, co daje nam możliwość m.in przejrzenia akt sprawy i wyrażania stanowiska, a po jej zakończeniu – ewentualnego zaskarżenia decyzji Prezesa UODO do sądu administracyjnego.

Niedługo minie rok od momentu, w którym UODO zainteresowało się tematem. Tymczasem w maju 2020 r. Europejska Rada Ochrony Danych wydała ważne wytyczne, które pokazują, jak interpretować warunki ważności zgody, o których mowa w RODO. Gdyby sprawę PZU oceniać na bazie tego dokumentu, państwowy ubezpieczyciel raczej by się nie wybronił.

Dowiedz się więcej:

Test odrzuconego kredytobiorcy

Problem: bezwartościowe wyjaśnienia decyzji kredytowych    |   Testuje: Fundacja Panoptykon

Ponad 40 proc. Polek i Polaków ma kredyt. W relacji z bankami zwykle znajdują się w roli petentów, których życie jest brane pod lupę i oceniane przez niejawny algorytm. Od osób starających się o kredyt bank może zażądać wszelkich informacji związanych z ich sytuacją majątkową, zawodową i rodzinną. Może też na własną rękę zweryfikować cel kredytu (np. sprawdzić, w jakiej fazie jest inwestycja, którą ma sfinansować) i sprawdzać dane potencjalnego klienta w zewnętrznych bazach (m.in. w BIK-u i w innych bankach). Z drugiej strony do niedawna osoba, której bank odmówił kredytu, mogła tylko zgadywać, co konkretnie okazało się przeszkodą – wysokość zarobków, rodzaj umowy, niespłacony na czas rachunek sprzed paru lat czy może tylko sektor zatrudnienia, który – wedle bankowych prognoz – ma się nie najlepiej.

Bez rzetelnych informacji o tym, co źle wpłynęło na ich wiarygodność i zdolność kredytową, kredytobiorcy byli zagubieni. Według danych Rzecznika Finansowego zdarzało się, że przy kolejnym wniosku zaniżali swoje wydatki, narażając się na odpowiedzialność karną i ryzykując, że tak pozyskany kredyt wciągnie ich w spiralę zadłużenia. Taka sytuacja nie służyła również bankom, w których interesie nie jest zgadywanie, który klient skłamał we wniosku, ale zgromadzenie rzetelnych i pełnych danych.

Polskie prawo daje więcej niż RODO

Takiej przejrzystości w relacji bank–klient powinno służyć RODO, które daje każdemu kredytobiorcy prawo do zweryfikowania, poprawienia i uzupełnienia swoich danych. W praktyce trudno sobie jednak wyobrazić klienta, który jedną ręką składa wniosek o pilny kredyt, a drugą z miejsca domaga się dostępu do swoich danych osobowych. Dlatego większą wartość dla kredytobiorców ma prawo do wyjaśnienia podstaw decyzji kredytowej, kiedy ta już zapadnie.

Niestety, z samego RODO (por. art. 22) wynika tylko prawo do wyjaśnienia „logiki” decyzji, która została podjęta automatycznie – przez algorytm, bez udziału człowieka. A przecież przy wyższych kredytach wnioski są oceniane przez pracownika banku, którego algorytm jedynie wspomaga. Dlatego cieszyliśmy się, kiedy wiosną 2019 r. polskie przepisy implementujące RODO przyznały kredytobiorcom dodatkowe uprawnienia. Zgodnie z nowym art. 70a prawa bankowego konsument zawsze może uzyskać „informacje na temat czynników, w tym danych osobowych, które miały wpływ na dokonaną ocenę zdolności kredytowej” – bez względu na to, czy decyzja kredytowa została podjęta w sposób automatyczny i bez względu na to, czy była pozytywna, czy negatywna.

Oporne banki kontra wolno działające organy

W połowie 2019 r. sprawdziliśmy, jak banki stosują te przepisy i na jakie wyjaśnienia ubiegający się o kredyt mogą w praktyce liczyć. Niestety, testy wypadły fatalnie. Banki, do których wysłaliśmy wnioski o informacje, odpowiadały ogólnymi formułkami lub wskazywały kategorie danych osobowych, które wzięły pod uwagę przy podjęciu decyzji (np. „dane o wysokości i stabilności dochodu” lub „dane dotyczące relacji klienta z bankami”). A przecież z przepisów jasno wynika, że powinny podać konkretne dane, które miały istotny wpływ na decyzję kredytową. To oznacza, że np. jeśli problemem okazały się zbyt niskie dochody, bank powinien wskazać, jaką wysokość dochodów klienta wyliczył i wziął pod uwagę przy podejmowaniu decyzji.

O problemie poinformowaliśmy Komisję Nadzoru Finansowego, Urząd Ochrony Danych Osobowych i Urząd Ochrony Konkurencji i Konsumentów. Na początku listopada Prezes UODO zwrócił się do Komisji Nadzoru Finansowego i Związku Banków Polskich z pytaniem, jak w praktyce jest realizowane prawo do wyjaśnienia. W szczególności „czy w związku z udzielaniem odpowiedzi osobom wnioskującym o wyjaśnienie banki podają im konkretne dane osobowe, które wpłynęły na ocenę zdolności kredytowej, czy przekazywane są ogólne kategorie danych”. Niedługo po tej interwencji Związek Banków Polskich zapewnił nas, że banki pracują nad modyfikacją procedur. Może wkrótce znów będziemy je testować?

Dowiedz się więcej:

Test profilowanej użytkowniczki

Problem: profile marketingowe poza kontrolą użytkowników    |    Testuje: Fundacja Panoptykon

Dominujący w Internecie model biznesowy zakłada finansowanie treści z przychodów reklamowych („darmowe” treści w zamian za obejrzenie reklamy). Tak długo, jak zysk wydawców jest uzależniony od klikalności banerów reklamowych, mają oni silną motywację do śledzenia i profilowania osób odwiedzających ich strony. Największe portale do monitorowania aktywności swoich użytkowników stosują wyrafinowane narzędzia. Stawką jest odkrycie tych cech, które mogą okazać się cenne dla reklamodawców. Mniejsze nie próbują nawet startować w tej konkurencji i zdają się na wyspecjalizowanych pośredników z branży adtech. Z perspektywy użytkowników efekt jest jednak podobny: wejście na jakąkolwiek stronę niesie ze sobą ryzyko bycia „namierzonym”.

W skomercjalizowanej sieci użytkownik jest po prostu celem (targetem) reklamowym. Śledzenie i wyciąganie wniosków z lokalizacji, historii wyszukiwań, reakcji na przeglądane treści i subtelnych wzorów behawioralnych (np. sposobu wpisywania słów albo prowadzenia kursora) jest na porządku dziennym. Na podstawie tych informacji najlepsi w tej dziedzinie są w stanie ustalić cechy osobowości, dane wrażliwe (np. orientację seksualną i poglądy polityczne), przeżywane stany emocjonalne i aktualne potrzeby życiowe każdego użytkownika.

Portale internetowe kontra RODO

Zgodnie z RODO reklama behawioralna, serwowana w oparciu o inwazyjne metody śledzenia (w szczególności dane pochodzące z innych stron i usług), wymaga wyraźnej zgody użytkownika, ponieważ nie wytrzymuje testu uzasadnionego interesu (por. art. 6 (f)). Tymczasem w ustawieniach, które oferują popularne portale internetowe, możemy – co najwyżej – udzielić im ogólnej „zgody” na profilowanie w celach marketingowych. Bez informacji o tym, co konkretnie będzie przetwarzane i do której z długiej listy „zaufanych stron trzecich” ostatecznie ta informacja trafi. Co gorsze, często taka „zgoda” jest po prostu wymuszona przez nieczyste zagrania stron korzystających z tzw. dark patterns lub cookie walls. Obie praktyki są, według ostatnich wytycznych Europejskiej Rady Ochrony Danych, niezgodne z RODO.

Zgodnie z RODO każdy ma prawo dostępu do wszystkich danych, jakie są na jego temat przetwarzane (por. motyw 63 i art.15). W teorii ma zatem prawo zweryfikować swój profil marketingowy i przekonać się, w oparciu o jakie dane wyświetlają mu się profilowane reklamy. Również jeśli są to dane zaobserwowane albo wyinterpretowane z zachowania użytkownika. Tę interpretację wzmacnia motyw 60 RODO, który potwierdza, że administrator powinien ujawniać sam fakt profilowania i jego wyniki w ramach podstawowego obowiązku przejrzystości (por. art 5(1)(a)).

Na tropie profili marketingowych

Kto próbował, ten wie, że w praktyce próba ustalenia rzeczywistego profilu marketingowego to walka z wiatrakami. Max Schrems i jego organizacja NOYB od kilku lat prowadzą głośne sprawy przeciwko Facebookowi, w których jednym z zarzutów jest właśnie to, że użytkownicy nie mogą wydobyć od firmy pełnej kopii swoich danych.

Facebook broni się tym, że spełnienie tak postawionego żądania wymagałoby „totalnego przekształcenia” platformy. W czasie przesłuchania przed sądem w Wiedniu w lutym 2020 r. świadek Facebooka nie był jednak w stanie (albo nie chciał) odpowiedzieć nawet na podstawowe pytania o zakres przetwarzanych danych. W ocenie prawników NOYB ta konfrontacja potwierdziła, że pewne kwestie są już poza sporem. Tak, Facebook zbiera nasze dane behawioralne, również od tzw. partnerów (innych firm) i wyciąga z nich wnioski, bez wiedzy i zgody użytkowników.

Wiedząc o otwartym przez NOYB froncie walki z Facebookiem, w Polsce poszliśmy inną drogą. Latem 2018 r. zażądaliśmy ujawnienia profili marketingowych bezpośrednio od wydawców portali internetowych. Zainspirowały nas do tego ich własne komunikaty, w których prosili o zgodę na profilowanie, tłumacząc, że bez niej nie są w stanie utrzymać swojego modelu biznesowego. Pomyśleliśmy, że skoro nasze profile marketingowe są tak ważne, warto na nie przynajmniej rzucić okiem i może niektóre informacje skorygować. Swoje żądania wysłaliśmy do wiodącej trójki: Onetu, Interii i Wirtualnej Polski.

Ta sprawa okazała się maratonem… uderzania głową w ścianę. Mimo bogatej korespondencji do dziś nie nie udało nam się od żadnego z portali wydobyć pełnej kopii danych osobowych, a przynajmniej niczego, co by wyglądało na profil marketingowy, czyli zestaw istotnych z perspektywy reklamodawcy cech, który pochodzi z obserwacji zachowania konkretnej osoby na portalu. Czyżby ów mityczny profil tak naprawdę nie istniał? Nadal liczymy, że tę wątpliwość rozstrzygnie Prezes UODO, do którego poskarżyliśmy się już w styczniu 2019 r. Ale właśnie mija szesnasty miesiąc bez decyzji UODO. Ile jeszcze przyjdzie nam poczekać i czy w ogóle jest na co czekać?

Dowiedz się więcej:

Test obywatelki

Problem: bezprawne pozyskanie danych przez Pocztę Polską    |    Testuje: Fundacja Panoptykon

W ramach przygotowań do wyborów prezydenckich Poczta Polska zażądała od samorządów udostępnienia jej spisów wyborców. Pierwsze żądanie zostało wysłane zwykłym mailem, nawet bez podpisów osób upoważnionych do reprezentowania poczty, a dane miały być przesłane bez jakichkolwiek zabezpieczeń. Część samorządowców odmówiła udostępnienia list, powołując się na brak podstaw prawnych. Wcześniej poczta zwróciła się do Ministerstwa Cyfryzacji i pozyskała od niego dane zawarte w rejestrze PESEL, które miały posłużyć do przygotowania wyborów (mimo że – jak przyznał później prezes poczty – nie dałoby się przeprowadzić wyborów tylko na podstawie, bo nie uwzględniają dość powszechnej praktyki czasowego lub stałego dopisywania się wyborców do spisu poza miejscem zameldowania).

Do opisanej poniżej sytuacji doszło przed uchwaleniem tzw. ustawy kopertowej, kiedy poczta nie miała podstawy prawnej, żeby pozyskać dane obywateli – ani ze spisu wyborców, ani z rejestru PESEL.

Poczta kontra RODO (i Konstytucja Rzeczypospolitej Polskiej)

W tej sprawie doszło do naruszenia jednej z fundamentalnych zasad ochrony danych: legalności przetwarzania. Jedynym przepisem, na który powoływała się poczta – żądając udostępnienia danych najpierw ze spisów wyborców, a następnie z rejestru PESEL – był art. 99 tzw. ustawy covidowej, który pozwala pozyskiwać poczcie różne dane na potrzeby wyborów lub „realizacji innych obowiązków”. Rzecz w tym, że w chwili wysłania żądań poczta nie była prawnie zobowiązana do przygotowywania wyborów. Na gruncie obowiązujących przepisów nie miała też „innych obowiązków”, do których potrzebne byłyby te dane. Mogła się powołać tylko na ogólną (niewspominającą nic o danych osobowych) decyzję premiera, w której polecił on poczcie „podjęcie realizacji niezbędnych czynności zmierzających do przygotowania wyborów Prezydenta RP, poprzez przygotowanie infrastruktury organizacyjnej oraz pozyskanie niezbędnych zasobów materialnych”.

Tę sprawę dobrze podsumowuje stwierdzenie Trybunału Konstytucyjnego (sygn. K 41/02): „naruszenie autonomii informacyjnej poprzez żądanie niekoniecznych, lecz wygodnych dla władzy publicznej informacji o jednostce, jest typowym dla czasów współczesnych instrumentem, po który władza publiczna chętnie sięga i dzięki któremu uzyskuje potwierdzenie swojej pozycji wobec jednostki”.

Poczta działała zatem niezgodnie z RODO i z naruszeniem konstytucji, zgodnie z którą władza może sięgać po dane obywateli tylko w ramach obowiązujących przepisów.

Samorządy stawiają opór, a Panoptykon podpowiada, co robić

Wspólnie z Siecią Obywatelską Watchdog Polska, Helsińską Fundacją Praw Człowieka i Fundacją Batorego zwróciliśmy się do samorządów z apelem, by działały zgodnie z prawem i nie udostępniały danych zawartych w spisach wyborców. Przygotowaliśmy też poradnik dla obywateli i obywatelek, w jaki sposób mogą się sprzeciwić bezprawnym działaniom poczty. Poczta jednak poszła w zaparte i odrzuciła wnioski osób, które zażądały usunięcia ich danych, powołując się na tzw. ustawę covidową i to, że obowiązek wykorzystywania danych wypływa także z (nieobowiązującej wówczas) tzw. ustawy kopertowej.

Jedynie część samorządów sprzeciwiła się działaniom poczty, a żadna publiczna instytucja nie stanęła w obronie prawa obywateli do ochrony danych osobowych. Prezes UODO – podobnie jak wcześniej przewodniczący Państwowej Komisji Wyborczej – uznał, że przekazanie poczcie spisów wyborców przez gminy jest legalne. Nie zgadzamy się z tą opinią. Planujemy też skierować pozwy cywilne przeciwko poczcie w związku z naruszeniem przez nią RODO.

Dowiedz się więcej:

Test sędziego

Problem: naruszenie prywatności sędziów    |    Testuje: dr Marlena Sakowska-Baryła

Od 14 lutego 2020 r. sędziowie mają obowiązek składać pisemne oświadczenia o członkostwie w zrzeszeniach i partiach politycznych lub pełnieniu funkcji w organach fundacji (por. art. 88a ustawy o ustroju sądów powszechnych). Sędzia ma wskazać nazwę i siedzibę zrzeszenia, pełnione funkcje i okres członkostwa. Oświadczenia są jawne i podlegają udostępnieniu w BIP.

Według definicji słownikowej zrzeszenie to ‘organizacja skupiająca ludzi jednego zawodu lub mających wspólny cel’, a więc także wspólnota mieszkaniowa, spółdzielnia mieszkaniowa czy klub sportowy oraz kościół, wspólnota wyznaniowa i stowarzyszenie prowadzące szkołę, skupiające amazonki, cukrzyków lub opiekunów dzieci z autyzmem.

Zgodnie z obowiązującym prawem takie dane na temat sędziów mają być publicznie dostępne dla każdego zainteresowanego.

Zignorowany test niezbędności

Obowiązek publikacji w BIP informacji o członkostwie sędziów we wszelkiego rodzaju zrzeszeniach jest niezgodny z RODO. Po pierwsze, trudno go pogodzić z zasadą minimalizacji danych, zgodnie z którą można przetwarzać tylko te dane osobowe, które są adekwatne, stosowne i niezbędne do celów, w których są przetwarzane.

Po drugie, obowiązek nie tylko ujawnienia, ale też upublicznienia danych nie zdaje testu ważenia interesów, który wynika z art. 86 RODO (dane osobowe zawarte w dokumentach urzędowych mogą zostać ujawnione przez odpowiedni organ tylko pod warunkiem pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych). Udostępnianie wrażliwych danych sędziów w BIP bez żadnej refleksji nad ich prawem do prywatności nie da się pogodzić z tą zasadą.

Wreszcie – trudno obronić ten obowiązek na gruncie samej Konstytucji RP, która dla każdego udostępniania informacji o obywatelu przez władze publiczne wymaga zbadania, czy jest to niezbędne (por. art. 51 ust. 2).

Prywatne znaczy publiczne

Prezes Naczelnego Sądu Administracyjnego wystąpił w tej sprawie do Prezesa Urzędu Ochrony Danych Osobowych, kwestionując obowiązek upubliczniania informacji o członkostwie sędziów w zrzeszeniach jako niezgodny z RODO i konstytucją.

Prezes UODO nie podzielił jednak tych zastrzeżeń. Powołał się na to, co wszyscy wiemy: że składanie oświadczeń przez sędziów i wymóg ich publikowania w Biuletynie Informacji Publicznej wynika z przepisu ustawy.

W tej sprawie dowiedzieliśmy się zatem, że polskiemu Urzędowi Ochrony Danych Osobowych dla ujawnienia prywatnych danych sędziów wystarcza formalna podstawa prawna. Testem niezbędności będzie musiał się zająć inny organ.

Dowiedz się więcej:

Test osoby, której dane wyciekły

Problem: brak systemowego wsparcia dla ofiar wycieków    |    Testuje: dr Paweł Litwiński

Nigdy nie wiadomo, kiedy, skąd i jakie dane osobowe wyciekną, a liczba ujawnionych naruszeń bezpieczeństwa danych osobowych systematycznie rośnie. Coraz częściej wycieki zdarzają się podmiotom oferującym takie usługi, z których nie można tak po prostu zrezygnować: uczelnie, przychodnie, kancelarie prawne. Kiedy dojdzie do wycieku, trzeba się chronić przed skutkami kradzieży tożsamości. Ale jak to robić? Od czego w ogóle zacząć?

Osoba, która padła ofiarą wycieku danych osobowych, powinna odwiedzić co najmniej:

  • policję – w celu zgłoszenia przestępstwa i unieważnienia dowodu osobistego,
  • bank – w celu zastrzeżenia dowodu,
  • urząd gminy – w celu zawnioskowania o wydanie nowego dowodu.

Można również skorzystać z profesjonalnych usług, które pozwolą zminimalizować ryzyko wzięcia pożyczki na „wycieknięte” dane. Problem w tym, że tego rodzaju usługi są płatne, a firmy lub instytucje, z których wyciekły dane, zazwyczaj nie chcą za nie płacić. W takiej sytuacji znalazły się np. ofiary wycieku danych z SGGW – uczelnia nie chce się nawet z nimi spotkać, nie mówiąc już o pokryciu kosztów przeciwdziałania następstwom wycieku.

Ofiara wycieku kontra procedury

Unia Europejska już w 2011 r. rekomendowała ustanowienie w każdym kraju członkowskim jednego punktu, w którym ofiara wycieku danych osobowych będzie mogła uzyskać wszelką niezbędną pomoc. Takiego rozwiązania w Polsce do dzisiaj nie wdrożono.

RODO mówi wyraźnie: każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać odszkodowanie. Jeżeli więc wyciek danych osobowych spowoduje, że jego ofiara poniesie koszty, podmiot, który dopuścił do powstania wycieku, musi jej te koszty zwrócić. Problem polega na tym, że postępowania prowadzone przez Prezesa UODO trwają miesiącami, a jeżeli decyzja zostanie zaskarżona do sądu, okres oczekiwania na rozstrzygnięcie trzeba będzie liczyć już w latach. A to dopiero początek drogi, bo po uprawomocnieniu się decyzji organu ochrony danych lub wyroku, ofiara wycieku musi wszcząć przed sądem postępowanie o zwrot poniesionych kosztów. Wcześniej poniesie z własnej kieszeni nie tylko koszty związane z wyciekiem, ale też te związane z postępowaniem sądowym. Jeżeli przegra, administratorowi, któremu wyciekły dane, będzie musiała dodatkowo zwrócić koszty sądowe.

Potrzebne systemowe wsparcie

Nie ma systemowych rozwiązań, które chroniłyby ofiary wycieków danych osobowych. Co można poprawić? Ofiara wycieku nie powinna być zmuszona do odwiedzania szeregu instytucji tylko dlatego, że te ze sobą nie współpracują (dlaczego np. policja nie może przekazać do banku informacji o unieważnieniu dowodu osobistego?). Osoba dotknięta wyciekiem powinna też mieć możliwość skorzystania z gwarantowanej jej przez państwo ochrony przed skutkami kradzieży tożsamości na koszt tego, kto dopuścił do wycieku. I nie chodzi tutaj o wymianę dokumentów, bo przecież dane osobowe pozostają bez zmian. Chodzi o skuteczne i dostępne dla każdego rozwiązanie chroniące np. przed wzięciem pożyczki w oparciu o skradzione dane. Dzisiaj można skorzystać z takiej usługi odpłatnie, ale wiele osób nie wie nawet, że jest taka możliwość.

Dowiedz się więcej:

Test pracodawcy w czasach koronawirusa

Problem: mierzenie temperatury pracowników    |   Testuje: anonimowa testerka

Organizacja pracy podczas trwającej pandemii oznacza dla pracodawców konieczność wprowadzenia wielu zmian. Najczęstsze nowości to mierzenie temperatury, zbieranie oświadczeń o stanie zdrowia czy przeprowadzanie testów na obecność wirusa. To oznacza według RODO zbieranie danych szczególnych kategorii.

Pracodawca może przetwarzać takie dane osobowe, ale (zgodnie z art. 9 RODO) tylko na podstawie przepisu prawa lub zgody wyrażonej przez pracownika.

Pracownik pod presją

Obecnie nie ma przepisów, które wprost pozwalałyby pracodawcy przetwarzać dane o stanie zdrowia pracowników w celu zapobiegania rozprzestrzenianiu się COVID-19. Prezes UODO w swoich komunikatach wykluczył też możliwość powoływania się przez pracodawców na przepisy kodeksu pracy o BHP i przepisy specjalnych ustaw dotyczących COVID-19. Zdaniem UODO nie ma też możliwości przetwarzania tych danych na podstawie zgody pracownika, ponieważ – ze względu na słabszą pozycję w relacji z pracodawcą – pracownicy nie mogą swobodnie odmówić przekazania swoich danych, a więc zgoda nie będzie dobrowolna.

UODO podkreśla jednak, że obowiązek podjęcia określonych działań (takich jak mierzenie temperatury pracownikom) mogą nałożyć na pracodawców organy inspekcji sanitarnej. Takie uprawnienie, obok możliwości wydawania ogólnych zaleceń i wytycznych, przyznała sanepidowi tzw. ustawa covidowa.

Niezdecydowany jak GIS

W kwietniu Główny Inspektor Sanitarny zamieścił na swojej stronie internetowej wytyczne dla zakładów przemysłowych. Zarekomendował w nich pracodawcom mierzenie temperatury ciała pracowników i zbieranie oświadczeń o ich stanie zdrowia.

Na podstawie tych wytycznych niektórzy pracodawcy wdrożyli nowe procedury i zaczęli mierzyć temperaturę pracownikom. Tymczasem UODO uważa, że wytyczne GIS nie są wystarczającą podstawą do przetwarzania danych o zdrowiu. Może nią być wyłącznie decyzja GIS wydana dla konkretnego pracodawcy. W dodatku same wytyczne zniknęły ze strony GIS po kilku dniach od ich opublikowania. Z naszych informacji wynika, że przedsiębiorcy wystąpili do sanepidu o takie decyzje, jednak urząd, obciążony innymi pilnymi zadaniami, ich nie wydaje.

Wniosek? Mierzenie temperatury ciała pracowników wkracza w ich prywatność, a pracodawcy nie mogą opierać tej procedury na otrzymanej od pracowników zgodzie.

Dowiedz się więcej:

Test zagubionego administratora

Problem: brak rzetelnej oceny ryzyka    |   Testuje: dr Dominik Lubasz

Po przyjęciu RODO 4 lata temu wszystkie podmioty, których działalność związana jest bezpośrednio lub pośrednio z przetwarzaniem danych osobowych, stanęły przed koniecznością wdrożenia nowych przepisów. Praktyka pokazała, że wiele tych podmiotów błędnie zinterpretowało wynikające z nowych przepisów obowiązki i zamiast na rzetelnym przeprowadzeniu analizy ryzyka i wprowadzeniu praktycznych, dostosowanych do własnej działalności rozwiązań chroniących dane osobowe, skoncentrowało się na warstwie dokumentacyjnej, często sztampowej, niedostosowanej do swojej sytuacji i kontekstu przetwarzania przez siebie danych osobowych i związanych z tym zagrożeń. Tracą na tym wszyscy – administratorzy, ryzykujący otrzymanie kary za brak adekwatnych zabezpieczeń i procedur, i osoby, których dane nie są właściwie chronione.

Zabezpieczenia szyte na miarę

Jednym z fundamentów RODO jest podejście oparte na ryzyku. Oznacza to, że nie ma jednego uniwersalnego sposobu wdrożenia przepisów. Każdy administrator musi dokładnie przeanalizować swoją działalność i ocenić m.in., jakie dane i w jakim celu przetwarza oraz jakie ryzyko naruszenia praw i wolności podmiotów danych się z tym wiąże. Efektem takiej analizy powinno być wdrożenie środków organizacyjnych i technicznych, które są adekwatne do konkretnych okoliczności przetwarzania i zidentyfikowanych zagrożeń (por. art. 24, 25 i 32 RODO).

Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) administrator musi umieć wykazać, że istnieje relacja pomiędzy wdrożonymi rozwiązaniami a potencjalnym ryzykiem. Bez rzetelnej analizy ryzyka to niemożliwe. Na to zagadnienie zwrócił uwagę Prezes UODO w uzasadnieniu decyzji w sprawie sklepu Morele.net, w której doszło do poważnego wycieku danych. Prezes UODO uznał, że środki ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2,2 mln osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci, a środek uwierzytelniania dostępu do danych okazał się nieskuteczny. Spółka nie umiała też udokumentować, że przyjęte rozwiązania wynikały z przeprowadzonej analizy ryzyka.

Wybór prawidłowej metody analitycznej pozwoliłby nie tylko na zmierzenie poziomu ryzyka związanego z przetwarzaniem danych osobowych w ramach poszczególnych procesów przetwarzania danych, ale też na podjęcie uzasadnionej decyzji w kwestii środków organizacyjnych i technicznych, np. na wypadek wycieku. Jeśli dojdzie do naruszenia, odpowiednio przeprowadzona i udokumentowana analiza pozwoli administratorowi dowodzić przed organem, że dołożył wszelkich starań, żeby zminimalizować ryzyko (dlatego dokumentacja przeprowadzonej analizy, wyciągniętych wniosków i podjętych na jej podstawie decyzji jest kluczowa).

Administratorzy nie muszą wynajdować koła. Mają do dyspozycji różne narzędzia i aplikacje ułatwiające analizę ryzyka, np. program do analizy ryzyka opracowany przez CNIL czy polską aplikację GDPR Risk Tracker. Z pomocą przychodzą także wytyczne wydawane przez organy i instytucje unijne, np. opracowania wydane przez UODO: Jak rozumieć podejście oparte na ryzyku według RODO? oraz Jak stosować podejście oparte na ryzyku? lub zatwierdzone przez EROD Wytyczne dotyczące oceny skutków dla ochrony danych.

Błędna ocena ryzyka pod lupą UODO

Przywołana wyżej sprawa serwisu Morele.net zakończyła się nałożeniem przez Prezesa UODO kary na spółkę w wysokości prawie 3 mln złotych. Decyzja została zaskarżona do sądu, jednak skarga ta nie została jeszcze rozpoznana.

Problem dostrzegają jednak również inne organy krajowe, które nakładają na administratorów kary właśnie za brak rzetelnej analizy ryzyka skutkujący niewłaściwym doborem zabezpieczeń. Takie decyzje zostały wydane m.in. przez odpowiedniki UODO we Francji, Danii, Hiszpanii i Norwegii.

Dowiedz się więcej:

 

Testowali:

Karolina Iwańska, Katarzyna Szymielewicz, Fundacja Panoptykon

dr Marlena Sakowska-Baryła, radca prawny, partner w Sakowska-Baryła Czaplińska Kancelarii Radców Prawnych Sp.p. i redaktor naczelna „ABI Expert”

dr Paweł Litwiński, adwokat, Instytut Prawa Nowych Technologii i Ochrony Danych Osobowych Uczelni Łazarskiego

dr Dominik Lubasz, radca prawny, wspólnik w kancelarii Lubasz i Wspólnicy Kancelaria Radców Prawnych

Współpraca: Anna Obem, Wojciech Klicki, Maria Wróblewska

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon i przekaż nam 1% podatku (KRS: 0000327613).

Newsletter

Otrzymuj informacje o działalności Fundacji

Administratorem twoich danych jest Fundacja Panoptykon. Więcej informacji o tym, jak przetwarzamy dane osób subskrybujących newsletter, znajdziesz w naszej Polityce prywatności.