Rok 2020 przeszedł do historii. Z perspektywy branży RODO, wydarzyło się bardzo dużo. W mojej opinii, znacznie więcej niż w 2019 roku. Jedynym rokiem mijającej dekady, który dostarczył podobną ilość nowych informacji i zmian, był rok 2018.
Spośród wszystkich ważnych RODO wydarzeń 2020 roku, wybraliśmy dla Was pięć, naszym zdaniem najważniejszych. Zapraszam do lektury!
Bądź na bieżąco – zasubskrybuj nasze media społecznościowe
Pamiętaj – nowe orzeczenia, wytyczne i wydarzenia ze świata ochrony danych osobowych mają ogromny wpływ na bezpieczeństwo Twojego systemu RODO.
Żeby ułatwić Ci bycie na bieżąco przygotowaliśmy dla Ciebie serię RODO aktualności (publikacje co 2 tygodnie), kanał YouTube, na Facebooku i LinkedInie (publikacje co tydzień).
#1 RODO na wojnie z COVID-19
Od maja 2018 roku, nie mówiono tak dużo o RODO, a wszystko to w kontekście COVID-19. Zaczęło się bardzo nieśmiało. Pojawiły się pierwsze pytania o możliwość mierzenia temperatury w miejscu pracy. Później pracodawcy zaczęli rozważać możliwość pytań o kierunki zimowych urlopów. Kolejnym krokiem była analiza możliwości pracy zdalnej pod kątem zgodności z RODO. Wykonywano analizy ryzyka, przygotowywano poradniki, wytyczne. Ci, którzy rzetelnie oszacowali ryzyka dla pracy zdalnej już w marcu, podjęli dobrą decyzję.
Potem na pewien czas temat COVID-19 przycichł. Aż do ponownego, lawinowego tym razem wzrostu zakażeń. Pojawiły się nowe, bardzo praktyczne pytania związane z RODO. Czy możemy informować zespół o tym, kto konkretnie choruje? Pracodawca ma prawo nakazywać pracownikom wykonywanie testów na COVID-19? Czy możemy prosić pracowników o wysłanie wyników testów do pracodawcy?
Odpowiedzi na powyższe pytania i dużo więcej informacji na ten temat, znajdziesz w naszych blogowych publikacjach:
- Darmowe klauzule informacyjne związane z COVID-19
- Jak pracować zdalnie w zgodzie z RODO?
- Podstawowe pytania związane z COVID-19. Podstawa prawna mierzenia temperatury i pytań o wyjazdy zagraniczne.
- Czy mogę informować Zespół o tym kto jest zakażony? Czy pracownik musi informować pracodawcę o zakażeniu lub ekspozycji na zakażenie?
A także na naszym kanale YT:
COVID-19 w 2021
Czy RODO zdało ten trudny egzamin z elastyczności, możliwości racjonalnego i zdroworozsądkowego stosowania w obliczu kryzysowej sytuacji? W mojej opinii tak. Pojawiło się wiele różnych interpretacji przepisów. Wiele różnych odpowiedzi na wcześniej postawione pytania. Niemniej jednak, przepisy RODO okazały się być na tyle elastyczne, żeby umożliwić zdroworozsądkową wykładnię. RODO daje możliwość ochrony praw osób (przede wszystkim pracowników). Z drugiej strony umożliwia również pewną ingerencję w prywatność i tym samym skuteczną walkę z pandemią.
Czy administratorzy danych poradzili sobie z tym wyzwaniem? W mojej opinii tutaj również odpowiedź jest twierdząca. W większości przypadków kwestie COVID a prywatność, były konsultowane z IOD. Szukano optymalnych rozwiązań, żeby nie narazić pracowników na naruszenie ich prywatności. Pracownicy również byli wyrozumiali w stosunku do działań pracodawców. W większości przypadków rozumieli to, że pewne ograniczenia ich prywatności są niezbędne.
Czy nasz organ nadzorczy również spełnił pokładane w nim nadzieje? Większość ekspertów krytykuje UODO za brak bardziej jednoznacznych wytycznych czy rekomendacji. Nie otrzymaliśmy odpowiedzi na część pytań związanych ze stosowaniem RODO w sytuacji COVID-19. W związku z tym, Związek Firm Ochrony Danych Osobowych przygotował listę postulatów do Prezesa UODO. Ich spełnienie mogłoby bardzo pomóc w skutecznym stosowaniu RODO.
Czy UODO chce spełnić powyższe postulaty i ułatwić nam stosowanie RODO? Czy może rolą organu nadzorczego będzie ograniczenie się do bardzo ogólnych wytycznych i sygnalizacji? Podczas jednej z telekonferencji, dr Wojciech Wiewiórowski (Europejski IOD) sygnalizował, że od RODO oczekiwaliśmy właśnie deregulacji. Dzięki zostawieniu większej swobody administratorom danych, przepisy miały być bardziej życiowe i przyjazne w stosowaniu.
Deregulacja czy więcej wytycznych i wskazówek od organów nadzorczych? A jeśli już liczymy na pomoc instytucji, to które wytyczne mają być wiążące? Co z różnicami w podejściach europejskich regulatorów? To według mnie pytania, na które warto poszukać odpowiedzi w 2021 roku.
#2 Nowy szeryf w mieście? UODO nakłada kary
Zgodnie z informacjami zaczerpniętymi z naszych prywatnych źródeł oraz www.enforcementtracker.com, UODO nałożył 11 kar w 2020 roku. To o trzy kary więcej niż rok wcześniej. Łączna kwota nałożonych w 2020 roku kar, sumuje się do kwoty ok. 3 mln 400 tys. złotych. Osiem kar nałożonych w 2019 sumuje się łącznie do kwoty ponad 4 mln złotych. Organ nadzorczy nakłada niższe kary niż rok temu ale za to nieco częściej. Wiele z tych kar, dotyczy sytuacji pozornie dość błahych. Jeszcze kilka lat temu lekceważenie GIODO wielu administratorom uchodziło płazem.
Tymczasem, w roku 2020, UODO stanowczo dyscyplinował nie chcących z nim współpracować administratorów danych. Przykładem takiej dyscyplinującej decyzji jest np. kara dla Głównego Geodety Kraju. Pewności siebie UODO dodały również dwa kluczowe orzeczenia WSA, w sprawie Morele.net i Aleksandrowa Kujawskiego. Nie uprzedzajmy jednak faktów, ponieważ oba powyższe orzeczenia zasługują na odrębny akapit. Patrząc na obecną sytuację, wszystko wskazuje na to, że rok 2021 będzie rekordowy pod względem nałożonych przez UODO kar.
My tymczasem dalej będziemy komentować kary nakładane przez UODO na naszym blogu.
#3 Kary z 2019 dla Morele.net i Aleksandrowa Kujawskiego utrzymane przez WSA
W przypadku obu kar, eksperci podnosili liczne zarzuty i kwestionowali ich zasadność. My oczywiście również wiele pisaliśmy o obu powyższych sytuacjach.
Dodatkowe emocje wywoływał fakt, że kara dla Morele.net była najwyższą nałożoną do tej pory przez polski organ nadzorczy. Postępowaniu przed UODO zarzucano między innymi to, że nie zdecydowano się na powołanie biegłego. Biegły z zakresu obszaru IT security miał ocenić to czy stosowane przez spółkę zabezpieczenia były adekwatne. Z drugiej strony stał Prezes UODO, który również znalazł się pod dużą presją. Jeszcze na początku 2019 roku, zarzucano UODO brak stanowczości w karaniu naruszeń RODO.
W obu przypadkach WSA utrzymał kary nałożone przez organ nadzorczy. Były to pierwsze postępowania odwoławcze, przeprowadzone przed WSA.
Pamiętajmy jednak, że model sądowej kontroli decyzji zakłada, że sąd bazuje na dokumentach zebranych przez organ nadzorczy. Nie przeprowadza się dowodu z zeznań świadków czy opinii biegłego, co jest typowe dla postępowania administracyjnego. Wielu przedstawicieli doktryny wskazuje, że decyzje Prezesa UODO na etapie sądowym powinny być rozpatrywane w trybie postępowania cywilnego, jak to ma miejsce w przypadku decyzji Prezesa UOKiK.
W takich przypadkach sąd może przeprowadzić dowody, powołać biegłych, ocenić merytorycznie zasadność i celowość decyzji. Gdyby sprawami morele.net czy Aleksandrowa Kujawskiego zajął się sąd powszechny orzeczenia mogłyby zatem wyglądać inaczej. Być może w przyszłości, któraś ze spraw trafi przez Trybunał Sprawiedliwości Unii Europejskiej, który wymusi zmianę procedury odwoławczej z administracyjnej na cywilną.
W tym momencie jednak, jedyną możliwością odwołania się ukaranych administratorów pozostaje skarga do Naczelnego Sądu Administracyjnego, którą wnosi się na podstawie podejrzenia o naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe jego zastosowanie.
#4 SGGW i VIRGIN czyli jak UODO wyobraża sobie RODO w akcji
Na czym dokładnie polega monitorowanie przestrzegania RODO przez IOD? Jak powinien współpracować IOD z administratorem danych osobowych? Za co odpowiada IOD, a za co odpowiada administrator danych? W jaki sposób powinniśmy na bieżąco monitorować zabezpieczenia IT?
Jeśli nurtowały Cię kiedyś powyższe pytania, koniecznie przeczytaj decyzje UODO w obu powyższych sprawach. Uzasadnienia decyzji zawierają bardzo wartościowe informacje dla każdej osoby zajmującej się RODO.
My również pisaliśmy o karze dla SGGW. Obie kary odnotowaliśmy oczywiście w naszym rejestrze kar.
#5 Schrems II czyli kolejne zawirowania w transferach do państw trzecich
Na koniec bardzo ważne orzeczenie TSUE, dotyczące transferu danych do państw trzecich. Orzeczenie sprawiło, że Privacy Shield przestało być tarczą chroniącą transfer danych do USA. Nie to jednak było najważniejszą konsekwencją orzeczenia.
Wszelkie transfery danych osobowych do państw trzecich (również te oparte na standardowych klauzulach), wymagają oceny stanu prawnego państwa docelowego. Wyjątkiem od tej sytuacji są oczywiście transfery oparte na decyzji KE.
Wyrok TSUE mocno namieszał w obszarze transferu danych osobowych. W praktyce bardzo utrudnia współprace biznesowe z państwami trzecimi. Zmusza administratorów danych do prowadzenia analiz stanów prawnych państw trzecich. Jaka będzie odpowiedź rynku? Czy wyrok znacząco ograniczy transfery danych? Czy może administratorzy zaczną masowo analizować systemy prawne obcych państw? Odpowiedź poznamy zapewne w 2021 roku!
My przygotowaliśmy dla Was obszerny artykuł o transferze danych do państw trzecich. Tekst opisuje również konsekwencje orzeczenia Schrems II.
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.