W ostatnim czasie Prezes Urzędu Ochrony Danych Osobowych nie ma lekko. Wojewódzki Sąd Administracyjny orzekł, że kara nałożona na szkołę w Gdańsku oparta była na naruszeniu prawa przez organ nadzorczy w zakresie interpretacji przepisów. Naruszenie polegało na zastosowaniu interpretacji niezgodnej z zasadami prawa europejskiego.

Reklama

Organ upierał się na stanowisku, w którym zgoda nie może być uznana za prawidłowo wyrażoną. Warto zacytować:

W tej sytuacji, Sąd uznał, że – wbrew stanowisku organu nadzorczego – skarżąca Szkoła nie naruszyła generalnego zakazu przetwarzania danych osobowych ustanowionego w przepisie art. 9 ust. 1 RODO, albowiem legitymowała się wyraźną zgodą na przetwarzanie danych biometrycznych uczniów udzieloną przez ich rodziców.

Naruszenia w praktyce UODO

Powyższe wskazuje na wyjątkowo twardą linię interpretacyjną organu (nie pierwszy już raz), w której wszelkie wyjątki, uzasadnienia do nich są traktowane jako niedozwolone lub jako próby obejścia prawa.

Podobnie zaczyna sprawa wyglądać w przypadku zgłoszenia naruszeń. Przepis art. 33 RODO stanowi, że nie trzeba zgłaszać naruszenia organowi, jeśli jest mało prawdopodobne, aby naruszenie to skutkowało ryzykiem naruszenia praw i wolności. Na swojej stronie organ publikuje artykuł o wymownym tytule:

O naruszeniu ochrony danych trzeba powiadomić organ nadzorczy

Link do artykułu: Aktualności – UODO

A następnie opisuje przykład spółki ENEA, jako ukaranej za brak zgłoszenia. Pytanie tylko, z jakiego powodu organ odrzucił tłumaczenie spółki, w którym ta wyjaśniała, że po przeprowadzeniu postępowania doszła do wniosku, że jest małe prawdopodobieństwo naruszenia.

Wydaje się, że po raz kolejny inspektorzy organu zdają się nie zauważać, że elementem ryzyka jest prawdopodobieństwo. Estymacja skutku, czyli wymyślanie co się może stać, jakie będą efekty to jest jedna ze składowych. Drugą jest prawdopodobieństwo.

Czy naprawdę prawdopodobieństwo wykorzystania danych przez normalnego obywatela, działającego zgodnie z prawem będzie wysokie? Jeśli dowie się, że posiadanie tych danych może stanowić przestępstwo z art. 107 UODO?

Podsumowanie

Jak widać to już drugi obszar działania, w którym organ stawia na twarde stanowisko. Warto przygotować się dobrze do naruszeń, jak i do przetwarzania w oparciu o różne przesłanki.

A czy zgłaszać wszystkie naruszenia? Zapewne urząd tak by chciał.