W ostatnich dniach media obiegła wiadomość o nałożeniu przez Prezesa UODO prawie 240 000 zł kary na firmę gastronomiczną. Pracownik gastronomii zagubił bowiem pendrive z danymi osobowymi szczególnej kategorii. Urząd, w komunikacie na swojej stronie internetowej, uzasadnia swoją decyzję błędami firmy. Czy jednak słusznie?
Czy dane osobowe mogą być zabezpieczone w 100%?
Wiemy jak wartościowe są nasze dane osobowe. Wszyscy chcielibyśmy, aby nigdy nie dostały się one w niepowołane ręce. Jeśli udostępniamy swoje dane pracodawcy czy przedsiębiorcy chcielibyśmy, aby odpowiednio o nie zadbał. Ale czy nawet najbardziej rzetelny administrator danych może nas zapewnić na 100%, że nigdy nie dojdzie do incydentu z naszymi danymi?
Zgubione dane były niezaszyfrowane
Jak wynika z komunikatu UODO w sprawie, która zakończyła się drakońską karą, na zgubionym nośniku znajdowały się dane, które nie były zaszyfrowane. To podstawowy błąd. Jednakże brak szyfrowania mógł być błędem pracownika, a nie samej firmy. Pracownicy otrzymali bowiem filmy instruktażowe jak szyfrować dane. Nadto, firma wykazała, że posiadała dokumenty takie jak rejestr ryzyka czy potwierdzenia przeprowadzania monitorowania procedur RODO.
Administrator danych powinien mieć kulę do wróżenia?
Co więcej, warto podkreślić, firma sama zgłosiła incydent do UODO! Nie uchylała się także od ścisłej współpracy z urzędem i udostępniała wszelkie informacje w tej sprawie. Jak stwierdził jednak Prezes UODO, firma źle oceniła ryzyko dla danych. Założono, że nośniki danych mogą być skradzione albo zniszczone – nie wzięto jednak pod uwagę tego, że nośnik można po prostu zgubić bez złych intencji. Stąd też wysokość kary, uzależniona od obrotu firmy.
RODO to przede wszystkim najwyższa staranność
Przypomnijmy, że rozporządzenie unijne dotyczące danych osobowych, dotyczy przede wszystkim najwyższej staranności. Wydaje się zatem bardziej racjonalne niż polski urząd. Powiedzmy sobie to wprost, nieważne jak zaawansowane środki wdrożysz w firmie, nie jesteś w stanie przewidzieć wszystkich okoliczności świata i uniknąć ryzyka utraty danych. Wydawało się, że dążenie do minimalizacji owego ryzyka, uchroni przedsiębiorców od ponoszenia srogich kar. 238 345 złotych kary to naprawdę sporo. Nikt pewnie nawet nie zastanowił się nad losem tego pracownika. Kto wie, czy nie będzie teraz odpowiadał przed pracodawcą materialnie. Co najważniejsze, chyba też nikt w urzędzie nie pomyślał o tym, że zagubienie rzeczy nie jest jednoznaczne z tym, że dane zawarte na nośniku może sobie przetwarzać znalazca.
Wysokie kary mogą zniechęcić do współpracy z UDODO
Po pierwsze, nadal obowiązuje ustawa o rzeczach znalezionych. Zgodnie z nią każdy, kto znalazł rzecz i nie zna osoby uprawnionej do jej odbioru lub nie zna jej miejsca pobytu, niezwłocznie zawiadamia o znalezieniu rzeczy starostę właściwego ze względu na miejsce zamieszkania znalazcy lub miejsce znalezienia rzeczy. Użycie tej rzeczy czy jej zatrzymanie będzie więc niezgodne z prawem. Po drugie natomiast, przetwarzanie danych bez podstawy także jest niezgodne z przepisami ochrony danych. Dlaczego więc tylko administratorzy mają odpowiadać za potencjalne złamanie prawa przez innych? Oczywiście należy chronić dane osobowe i należy karać tych, którzy o nie nie dbają. Jednak nie można zapomnieć o tym, że zbyt wysoka kara może spowodować skutek odwrotny do zamierzonego. Każdy następny przedsiębiorca, przy incydencie, dwa razy zastanowi się zanim powiadomi UODO. A to już jest niebezpieczne dla nas – właścicieli tych danych.