Naruszenia związane z przetwarzaniem i ochroną danych osobowych w czasach pandemii w samorządzie

Z jednej strony, zagrożenia związane z pandemią „wymusiły” na ustawodawcy przyjęcie szeregu aktów prawnych, które w wielu kwestiach nałożyły szerokie ograniczenia w funkcjonowaniu władzy, przedsiębiorstw i obywateli. Pojawiły się także przepisy ograniczające lub wyłączające stosowanie dotychczasowych regulacji. Przepisy unijnego rozporządzenia regulującego kwestie związane z przetwarzaniem i ochroną danych osobowych, tj. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)[1] – zwanego powszechnie „RODO”, pozostały jednakże niedraśnięte i pomimo trudności, z którymi przyszło nam się mierzyć w nowej rzeczywistości – nadal muszą być stosowane i respektowane bez jakiejkolwiek taryfy ulgowej. Dotyczy to także samorządów terytorialnych. Czy jednostki samorządu terytorialnego oraz powiązane z nimi podmioty które powstały w celu realizacji zadań tych jednostek sprostały w trakcie pandemii obowiązkom ciążącym na nich z mocy RODO?

Wyciek danych osób przebywających na kwarantannie i objętych izolacją domową

Pracownik Urbis sp. z o.o. - spółki miejskiej odpowiedzialnej za gospodarkę odpadami na terenie miasta i gminy Gniezno - w sposób nieuprawniony pozyskał i ujawnił listę zawierającą adresy zamieszkania osób, które przebywały w marcu i kwietniu 2020 r. na kwarantannie orzeczonej decyzją administracyjną Państwowego Powiatowego Inspektora Sanitarnego w Gnieźnie oraz osób objętych kwarantanną obowiązkową w związku z przekroczeniem granicy kraju, a także dane adresowe osób odbywających izolację domową w związku ze stwierdzonym zakażeniem wirusem SARS-CoV-2. W toku postępowania prowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych (dalej także: „PUODO”), a wszczętego w wyniku zawiadomienia dokonanego przez inspektora sanitarnego w Gnieźnie o wycieku tych danych, zostało ustalone, iż Spółka Urbis pozyskała wykazy miejsc kwarantanny na terenie miasta oraz gminy Gniezna drogą elektroniczną od Komendy Powiatowej Policji w Gnieźnie. Wykazy były przesyłane w okresie od marca do kwietnia 2020 r., na indywidualny adres  e-mailowy wyznaczonego pracownika Spółki. Następnie, wykazy były przekazywane upoważnionym pracownikom Zakładu Oczyszczania Miasta, którzy mieli za zadanie zweryfikować, czy w danym okresie odpady mają być odbierane z miejsc, które widnieją na przedmiotowych wykazach. Powyższe działanie było uzasadnione ochroną życia i zdrowia pracowników Spółki poprzez zminimalizowanie ryzyka zetknięcia się przez nich przy wykonywaniu obowiązków pracowniczych z czynnikami ryzyka związanego z koronawirusem. Upoważnieni pracownicy, którzy otrzymali przedmiotowe wykazy, mieli obowiązek przekazać kierowcom wyłącznie informacje, czy mają oni odebrać odpady z danych punktów (wykazy nie miały być ujawniane do wglądu kierowcom). W tym celu, w kwietniu 2020 r. została wydrukowana pełna lista zawierająca lokalizacje osób przebywających na kwarantannie lub izolacji w warunkach domowych. W toku wykonywania obowiązków pracowniczych osoba odpowiedzialna za bezpieczeństwo wykazu pozostawiła go bez należytego nadzoru. Wykaz został bowiem pozostawiony na biurku tego pracownika, pomimo iż wykonywał on czynności pracownicze w innej części pomieszczenia. Co więcej w chwili realizacji tych czynności służbowych, pracownik odpowiedzialny za zapewnienie bezpieczeństwa wykazu, wykonywał je będąc odwrócony plecami do innego pracownika obecnego wówczas w biurze - kierowcy pojazdu odbierającego odpady. Obecny w pomieszczeniu kierowca wykorzystał chwilowy brak nadzoru pracownika odwróconego do niego plecami i wykonał zdjęcia wykazu nie będąc do tego upoważniony. Kierowca ten, miał zostać bowiem wyłącznie poinformowany przez osobę nadzorującą wydrukowany wykaz, czy odpady mają być odbierane z danych lokalizacji. Kierowca ten nie miał mieć dostępu do wykazu, w szczególności nie był on uprawniony do jego kopiowania i przekazywania go innym podmiotom. Mimo braku ku temu upoważnienia, udostępnił on wykonane zdjęcia innemu pracownikowi Spółki również zatrudnionemu na stanowisku kierowcy. Dane zostały udostępnione poprzez aplikację Messenger. W efekcie,  w prasie pojawiły się informacje, iż lista ta zaczęła krążyć w sieci[2]. Wobec pracownika, który nie wywiązał się prawidłowo z nadzoru nad listą Spółka wyciągnęła konsekwencje w postaci nałożenia kary porządkowej nagany, natomiast z kierowcą który wykonał i przesłał zdjęcia innemu pracownikowi - umowa o pracę została rozwiązana w trybie dyscyplinarnym. W ramach postępowania wszczętego przez Prezesa Urzędu Ochrony Danych Osobowych została wydana przez ten organ decyzja z dnia 12 listopada 2020 r., w ramach której zostało stwierdzone, iż w związku z wyżej opisanym działaniem pracowników Spółki doszło do naruszenia bezpieczeństwa ochrony danych po jej stronie (art. 4 pkt. 12 RODO). Nadto, w ocenie PUODO, Spółka naruszyła:

1. jedną z naczelnych zasad RODO – zasadę integralności i poufności danych obligującej do przetwarzania danych w takich sposób aby zapewnić im bezpieczeństwo (art. 5 ust. 1 lit. f RODO),

2. obowiązek zapewnienia bezpieczeństwa danych poprzez brak regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 lit. d RODO),

3. obowiązek oceny ryzyka wiążącego się z przetwarzaniem danych (art. 32 ust. 2 RODO), co w konsekwencji doprowadziło do braku przyjęcia odpowiednich środków technicznych  i organizacyjnych, w tym procedur przez Spółkę (art. 24 ust. 1, art., 15 ust. 1 RODO)

4. obowiązek zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych  - organ ten powziął wiadomość o naruszeniu od Państwowego Inspektora Sanitarnego w Gnieźnie, a nie od Spółki (art. 33 ust. 1 RODO) oraz  obowiązek zawiadomienia osób z listy o zaistniałym naruszeniu (art. 34 ust. 1 RODO).

Mocą wydanej decyzji Spółka została zobowiązana do zawiadomienia osób objętych wykazem o naruszeniu bezpieczeństwa ich danych oraz otrzymała od Prezesa Urzędu Ochrony Danych upomnienie. Z aktualnych doniesień prasowych wynika także, iż wobec kierowcy który wykonał i udostępnił zdjęcia zostało wszczęte postępowanie karne – do Sądu Rejonowego w Gnieźnie wpłynął akt oskarżenia wobec byłego pracownika Spółki, którzy orzeknie czy działanie tej osoby wypełniło znamiona przestępstwa[3].

Ryzyka związane z pracą zdalną

Pandemia znacząco wpłynęła na zmianę trybu pracy. Wielu pracodawców, w tym samorządy zdecydowały się na skierowanie pracowników samorządowych i urzędników do pracy zdalnej. Taki tryb wiąże się z wieloma niebezpieczeństwami, w tym z ryzykiem dla ochrony danych. Dotyczy to już chociażby tego, iż część dokumentów jest przechowywana nie w budynkach urzędów, jednostek czy spółek samorządowych, a w domach tych osób. Rodzi to bardzo wysokie ryzyko utraty czy wycieku informacji. Wielu pracowników pracuje ponadto w warunkach domowych nie na sprzęcie służbowym, a na prywatnym. Jedna ze spraw, legła u podstaw braku zapewnienia pracownikowi urzędu komórkowego telefonu służbowego. W wielu urzędach pracownicy posiadają wyłącznie stacjonarne telefony służbowe. Dla pracowników i urzędników  dotychczas oczywiście nie stanowiło to problemu. Pojawił się on z chwilą polecenia pracy zdalnej. I tak, w jednej z gmin, petent nie mógł skontaktować się telefonicznie z pracownikiem urzędu, który był odpowiedzialny za postępowanie w sprawie dotyczącej tego petenta. Powodem braku możliwości kontaktu telefonicznego był fakt, iż pracownik urzędu w „normalnym” trybie pracy miał do dyspozycji wyłącznie telefon stacjonarny. Inny pracownik będący w urzędzie, przekazał patentowi numer prywatny pracownika nadzorującego sprawę. Przekazanie numeru prywatnego pracownika, bez posiadania ku temu jego zgody, stanowi ewidentne naruszenie jego prawa do prywatności. Takie działanie ewentualnie byłoby możliwe, gdyby pracownik wyraził ku temu zgodę. Finalnie, pracownik wyraził zgodę na możliwość udostępniania jego numeru prywatnego po uprzedniej konsultacji z nim takiego działania. Gdyby jednak sprawa dotyczyła bardziej roszczeniowego pracownika, obrót sytuacji mogłyby być zupełnie inny. Wykorzystanie, w tym przekazanie numeru prywatnego musi mieć bowiem swoje oparcie w co najmniej jednej z podstaw przewidzianych RODO. Brak przesłanki do przetwarzania danych powoduje, iż dochodzi do naruszenia elementarnych przepisów RODO regulujących podstawy umożlwiające wykorzystywanie danych (art. 6 RODO) oraz zasady przetwarzania, tj. zasadę zgodności z prawem i rzetelności  oraz ograniczenia celu (art. 5 ust. 1 lit. a i b). Takie działanie, mogłoby zostać uznane także za naruszenie ochrony danych osobowych (art. 4 pkt. 12 RODO).

Kara pieniężna za naruszenie RODO w związku z korzystaniem z aplikacji

Ciekawy przypadek miał miejsce u naszych zamorskich „sąsiadów”, a dokładniej - w norweskiej gminie Ålesund[4].  Co prawda, jest to przypadek z innego kraju niż Polska, niemniej stanowi interesujący kazus, który wbrew pozorom ma także i dla nas znaczenie. RODO to rozporządzenie unijne, które ma zastosowanie w krajach Unii Europejskiej oraz Europejskiego Obszaru Gospodarczego i jest ono stosowane bezpośrednio. Innymi słowy, RODO obowiązuje  w takim samym kształcie zgodnie ze swoim zasięgiem terytorialnym. Z uwagi na bezpośredni skutek obowiązywania tego aktu prawnego (dla obowiązywania RODO w krajach UE oraz EOG nie jest wymagane przyjęcie jakiegokolwiek aktu prawnego), mówiąc kolokwialnie, RODO zarówno w Polsce jak i Norwegii, jest takie samo. Dzięki temu organy  nadzorcze z różnych krajów które stosują RODO, mogą korzystać (i korzystają) z własnych doświadczeń. Przechodząc zatem do meritum tej ciekawej sprawy, norweski organ ochrony danych (Datatilsynet) nałożył na gminę Ålesund karę pieniężną w wysokości 4.900 euro (50 000 koron). Dwie szkoły, podlegające pod wskazaną gminę, nakazały uczniom zainstalowanie i korzystanie na ich prywatnych telefonach komórkowych z aplikacji Strava. Rozwiązanie to było podyktowane sytuacją spowodowaną pandemią koronawirusa – tj. przejściem nauczania w tryb zdalny (który, jak wiemy, stał się codziennością także w naszym kraju). Miało ono na celu zapewnienie możliwości kontrolowania przez nauczycieli, czy uczniowie wykonali zadane im ćwiczenia z zajęć wychowania fizycznego. Kontrola ta była zapewniona poprzez funkcję śledzenia, co wiązało się z tym, iż nauczyciele uzyskali dostęp do danych o lokalizacji danego ucznia oraz innych informacji, które uczniowie wprowadzili do aplikacji. Strava posiada także funkcjonalności umożliwiające ocenę umiejętności i wydajności zarówno w odniesieniu do konkretnego ucznia, jak i w wariancie porównawczym wszystkich uczniów. W ocenie organu nadzoru, norweska gmina nie dokonała jednakże odpowiedniej kontroli w zakresie możliwości stosowania tej aplikacji. Norweski o organ stwierdził, iż przede wszystkim gmina nie wdrożyła odpowiednich procedur związanych z możliwością korzystania ze Stravy. w szczególności nie przeprowadziła – wymaganej zdaniem tego organu – oceny skutków dla ochrony danych (art. 35 RODO). Organ stwierdził, iż ocena taka była konieczna, albowiem sposób funkcjonowania aplikacji, zakres przetwarzanych za jej pomocą danych, jak i fakt korzystania z niej na urządzeniach prywatnych, wiązał się z ryzykiem naruszenia prywatności uczniów. W ramach kontroli zostało także stwierdzone, iż gmina nie wdrożyła odpowiednich środków technicznych i organizacyjnych (art. 32 RODO). Równocześnie organ podkreślił, iż to nie sama aplikacja stanowi problem, ale brak należytego działania po stronie gminy Ålesund w zakresie spełnienia wymogów zapewnienia bezpieczeństwa danych.

Pandemia pandemią, a wiele nieprawidłowości bez zmian

Pomimo trwającej pandemii i wywołanych niejako w jej wyniku wyżej opisanych zdarzeń, naruszenia RODO które miały miejsce przed marcem 2020 r. są nadal aktualne. Dotyczy to w szczególności braku powoływania przez jednostki samorządowe inspektorów ochrony danych pomimo posiadania ku temu obowiązku lub zatrudniania osoby na takie stanowisko, niemniej niespełniającej wymaganych przez RODO warunków. Coraz częstszym zjawiskiem jest powoływanie „fikcyjnych” inspektorów – zatrudnienie osoby na takim stanowisku często ogranicza się wyłącznie do jej figurowania wyłącznie na papierze.[5] Rola takiej osoby w strukturze organizacyjnej jest z kolei nieoceniona – posiadanie fachowca z zakresu ochrony danych w wielu przypadkach jest skutecznym sposobem niwelującym lub minimalizującym prawdopodobieństwo wystąpienia naruszenia RODO, w tym ochrony danych osobowych. Kolejny problem to fakt, iż w dalszym ciągu samorządy nie potrafią ocenić, kiedy pełnią rolę administratora danych, a kiedy podmiotu przetwarzającego. Wiąże się to z kolejnym naruszeniem RODO – brakiem umów powierzenia przetwarzania danych, których jednym z najważniejszym elementów jest ustalenie pomiędzy stronami zasad i warunków przetwarzania i bezpieczeństwa danych.

Jakie są wnioski?

Mimo publikacji decyzji PUODO dotyczących naruszeń RODO oraz komunikatów, w tym wytycznych dotyczących zapewnienia bezpieczeństwa danych w czasach pandemii, obecna sytuacja stała się w dużej mierze źródłem wielu zdarzeń które realnie wpłynęły na brak adekwatnej ochrony danych czy wręcz zdemaskowały brak wdrożenia odpowiednich środków które taką ochronę by zapewniły. Skutkiem tych zdarzeń jest przede wszystkim utrata prawa do prywatności przez osoby, których dotyczyły dane naruszenia oraz inne r potencjalne ryzyka, które wiążą się z pozyskaniem danych przez osoby nieuprawnione. Zdecydowanie jest to sygnał do konieczności poprawy standardów ochrony danych w jednostkach samorządowych, tym bardziej biorąc pod uwagę fakt, iż nieprawidłowości w tym zakresie były wskazywane przez NIK jeszcze przed rozpoczęciem pandemii.[6]

Radca prawny  z Kancelarii Ostrowski i Wspólnicy sp. k. w Toruniu