Rewolucja w ochronie danych? Sąd podważa wieloletnią praktykę

Od kilku lat każdy podmiot przetwarzający dane osobowe zobowiązany jest do przestrzegania rygoru określonego w unijnym rozporządzeniu nazywanym popularnie „RODO”. Praktyka oraz wymogi stawiane sprzedawcom, przedsiębiorcom i innym podmiotom jest jednak kreowana również przez organy administracji. To one wskazują jakie postępowanie jest poprawne, a jakie zagrożone karą. Taki stan rzeczy sprawia, że bez zmiany aktu prawnego mogą zmieniać się związane z nim uprawnienia i obowiązki. W tym przypadku mamy do czynienia z przełomowym wyrokiem Sądu Administracyjnego w Warszawie. Zdaniem Sądu, jeden z najczęściej występujących typów wycieków danych wcale nie musi wiązać się z wysokim ryzykiem naruszenia praw osoby poszkodowanej. Jest to o tyle istotne, że w sprawie rozpoznawanej przez Sąd podmiot odpowiedzialny za naruszenie był zagrożony karą w wysokości niemal 160 000 zł. Czy to oznacza, że możemy spodziewać się zmiany dotychczasowej praktyki UODO?

W przedmiotowej sprawie chodzi o ujawnienie numeru PESEL poprzez wysłanie wiadomości mailowej do niewłaściwej osoby. Jest to przypadek, który w praktyce zdarza się dość często. Jeden z podmiotów, u którego doszło do wycieku danych, nie zdecydował się na powiadomienie Urzędu oraz osoby zainteresowanej, gdyż w jego opinii uzyskanie informacji o usunięciu maila z danymi przez osobę niepowołaną do ich otrzymania było wystarczającym działaniem zapobiegawczym. Co ciekawe, dotychczas przedstawiony przypadek traktowany był jako „wysokie ryzyko naruszenia praw i wolności”. Taki stan rzeczy sprawiał, że niepowiadomienie Urzędu Ochrony Danych Osobowych (dalej: UODO) o wystąpieniu wycieku wiązało się z odpowiedzialnością finansową. Organ administracyjny argumentował to przede wszystkim różnego rodzaju zagrożeniami, jakie mogą się wiązać z ujawnieniem numeru PESEL osobom niepowołanym. Wskazując owe zagrożenia wymieniał m.in.:

• możliwość zaciągnięcia zobowiązań finansowych za pośrednictwem instytucji pozabankowych,
• zawarcie umowy cywilnoprawnej na szkodę osoby, której numer PESEL wykorzystano,
• ograniczenie możliwości korzystania z praw obywatelskich przez osobę poszkodowaną.

Sąd rozpoznając sprawę podmiotu, który był odpowiedzialny za niezgłoszony do UODO wyciek numeru PESEL, nie uznał jednak argumentów organu administracyjnego za przekonujące. Uzasadnieniem korzystnego dla administratora danych rozstrzygnięcia było niedostateczne wykazanie przez UODO, że możliwe jest wykorzystanie numeru PESEL na wskazane wyżej sposoby. Trzeba przyznać, że pogląd Sądu nie jest w tym przypadku szczególnie kontrowersyjny, gdyż numery PESEL m.in. osób zasiadających w organach spółek handlowych są powszechnie dostępne w Krajowym Rejestrze Sądowym, a brak jest informacji o ich nagminnym wykorzystywaniu w przestępczych celach. Nieuznanie naruszenia za wysokie sprawia, że administrator nie jest zobowiązany do poinformowania o tym fakcie osoby zainteresowanej. W przedmiotowej sprawie doprowadziło to również do uchylenia przez Sąd kary finansowej.

Trzeba przyznać, że zmiana nurtu w praktyce orzeczniczej i administracyjnej jest zjawiskiem, które należałoby ocenić pozytywnie. Zbyt skrupulatne działanie organów publicznych doprowadza z czasem do absurdalnych rozstrzygnięć, które w żaden sposób nie przyczyniają się do bezpieczeństwa danych osobowych nas wszystkich, ale za to utrudniają w sposób znaczący zarządzanie nimi przez podmioty administrujące. Równocześnie, świadomość społeczna co do bezpieczeństwa danych osobowych jest nadal dość niska. Skutkuje to wyciekami powodowanymi przez samych zainteresowanych, którzy nie mają świadomości jakie konsekwencje może spowodować ujawnienie niektórych haseł w połączeniu z np. numerem PESEL. Być może należałoby zrobić krok w tył, jeżeli chodzi o wymagania i praktykę wobec podmiotów profesjonalnych, ale za to zaproponować nowe rozwiązania w kwestii edukacji i uświadamiania całego społeczeństwa. W końcu uregulowanie administrowania danymi ma na celu przede wszystkim zapewnienie bezpieczeństwa ich właścicieli.