Miesięcznik informatyków i menedżerów IT sektora publicznego

Rafał Malujda

Kary za naruszenie przepisów o ochronie danych

Świadomość tego, za jakie naruszenia przepisów o ochronie danych były w ostatnich latach w Europie nakładane kary oraz jakie praktyki zasadniczo były oceniane negatywnie, pomoże uniknąć naruszeń, a co za tym idzie – sankcji.

W ostatnich miesiącach dość intensywnie jesteśmy „straszeni” zapisami dotyczącymi kar za naruszenie przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: rodo). Oczywiście zapisów rodo nie można bagatelizować, z drugiej strony nie można „straszyć” nimi ponad miarę, nie wyjaśniając jednocześnie, za co i w jakim zakresie można faktycznie ponieść odpowiedzialność.

Europejski „rekord”

2 lutego 2017 r. włoski organ ochrony danych (Garante) nałożył rekordową grzywnę w wysokości 5 880 000 EUR na brytyjską spółkę działającą we Włoszech za naruszenie przepisów dotyczących konieczności uzyskania zgody na przetwarzanie danych. Jest to największa kara, jaka kiedykolwiek została wydana przez europejski organ ochrony danych w związku z naruszeniem unijnych ram ochrony danych. Garante nałożył grzywnę na firmę, która miała przekazywać pieniądze do Chin w imieniu osób fizycznych bez ich wiedzy i zgody, a zatem nie uzyskała zgody osób fizycznych na przetwarzanie ich danych. Wysokość grzywny odzwierciedla fakt, że naruszenie miało wpływ na znaczną liczbę osób, co przypomina zapisy rodo dotyczące dużej skali lub ryzyka. Garante stwierdził, że firma popełniła oddzielne naruszenia prywatności dla każdego podmiotu danych, którego dane zostały wykorzystane bez jego zgody. Grzywna odpowiada zatem kwocie uzyskanej z sumy grzywien nałożonych za każde naruszenie popełnione przez spółkę. Według władz włoskich przedsiębiorstwa podzieliły duże transfery pieniężne na mniejsze w celu uniknięcia wykrycia i przypisały transfery podmiotom danych, które nie były tego świadome. Dane osobowe tych osób uzyskano z bazy utworzonej przez jedną z firm. Miało to nastąpić w celu ominięcia obowiązujących włoskich przepisów dotyczących przeciwdziałania praniu pieniędzy i uniknięcia ujawnienia nazw prawdziwych stron przekazujących pieniądze.

Włoski regulator stwierdził, że firmy naruszyły włoskie zasady dotyczące prywatności, ponieważ przetwarzały dane osób bez ich wiedzy i zgody. Organ ochrony danych stwierdził, że naruszenia zostały popełnione „w związku z bazą danych o znacznym rozmiarze i znaczeniu”, co jest szczególnie usankcjonowane przez włoski kodeks ochrony danych osobowych. Garante nałożył wysokie kary na każdą z firm uczestniczących w systemie przekazów pieniężnych w wysokości 5 880 000, 1 590 000, 1 430 000, 1 260 000 i 850 000 EUR, co daje łącznie ponad 11 milionów euro. Garante obliczył grzywny w następujący sposób: zastosował karę w wysokości 10 000 EUR za każdy podmiot danych, którego prawa zostały naruszone (jest to grzywna minimalna za naruszenie zasad zgody); oraz zastosował dodatkową grzywnę w wysokości 50 000 EUR ze względu na rozmiar i znaczenie bazy danych. Ponieważ jedna z firm stwierdziła, że przetwarza dane 583 podmiotów danych bez ich zgody, Garante nałożył na tę spółkę grzywnę w wysokości 5 880 000 EUR (czyli 10 000 EUR pomnożoną przez 583 ofiary plus kolejne 50 000 EUR). Decyzja ta jest tym bardziej interesująca, że wykazuje „gotowość” przynajmniej jednej unijnej instytucji ochrony danych do nakładania grzywien, które wydają się bardziej zgodne z systemem sankcji wynikającym z ogólnego rozporządzenia o ochronie danych (rodo), pomimo iż rodo stosowane będzie od maja 2018 roku. W ramach rodo firmy mogą być karane grzywnami w wysokości do 20 milionów euro lub do 4% ich rocznych obrotów na całym świecie. Specyficzne nadużycia spółek i próby uniknięcia włoskiego systemu przeciwdziałania praniu pieniędzy niewątpliwie również stanowiły czynnik wpływający na ocenę i zachowanie Garante.

Niebezpieczne autoprofilowanie

Microsoft narusza prawo ochrony danych w systemie Windows 10 – tak stwierdził w jednym ze swoich ostatnich postępowań holenderski organ ochrony danych. Microsoft naruszył holenderskie przepisy o ochronie danych, przetwarzając dane osobowe osób korzystających z systemu operacyjnego Windows 10 na swoich komputerach. Taki jest wniosek Holenderskiego Urzędu Ochrony Danych (DPA) po przeprowadzeniu dochodzenia w sprawie Windows 10 Home i Pro. Firma Microsoft nie informowała bowiem użytkownika w jasny sposób o typie danych, których używa i do jakiego celu. Ze względu na podejście firmy Microsoft użytkownicy nie mogli udzielić prawidłowej zgody na przetwarzanie swoich danych. Firma nie informowała użytkowników jednoznacznie o ciągłym gromadzeniu danych osobowych w zakresie korzystania z aplikacji i zachowań związanych z przeglądaniem stron internetowych za pośrednictwem przeglądarki Edge (wtedy, gdy używane są ustawienia domyślne). W świetle tak jednoznacznych ustaleń Microsoft stwierdził, że doprowadzi do zgodności swoich systemów z właściwymi przepisami – jeżeli tak się nie stanie, na pewno zostanie na niego nałożona stosowna kara.

Sprawa jest o tyle – z perspektywy rodo – istotna, że w Holandii ponad 4 miliony aktywnych urządzeń korzysta z Windows 10 Home i Pro. Microsoft nieustannie zbiera dane techniczne i dane użytkowników z tych urządzeń (np. które aplikacje są zainstalowane i, jeśli użytkownik nie zmienił domyślnych ustawień, jak często te aplikacje są używane, a także dane dotyczące sposobu przeglądania stron internetowych). Dane te nazywane są „danymi telemetrycznymi”. Dzięki telemetrii Microsoft monitoruje (i profiluje?) zachowania użytkowników systemu Windows i wysyła te dane „do siebie”.

[...]

Autor jest radcą prawnym, rzecznikiem patentowym, specjalizuje się w prawie nowych technologii i branży IT.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej