#CyberMagazyn: Jan Komosa: Ochrona danych osobowych nie musi być równoznaczna z ochroną prywatności

Ochrona danych osobowych dotyczy również użytkowników sieci. Dobrze wiedzieć, które urzędy w Polsce odpowiadają za pilnowanie tego, aby te dane były właściwie zabezpieczane. W rozmowie z adwokatem Janem Komosą kontynuujemy temat przestrzegania zapisów RODO (Ogólne rozporządzenie o ochronie danych) oraz wykazujemy różnice pomiędzy ochroną danych osobowych, a ochroną prywatności.

Michał Górski, CyberDefence24: Czy często dochodzi do naruszenia RODO w Polsce?

Jan Komosa, adwokat: Trudno powiedzieć, jaka jest skala przestrzegania lub nieprzestrzegania RODO.  (...) Moje odczucie jest takie, że biznes raczej chce być zgodny z przepisami. Problemem może być to, że organ nie publikuje konkretnych wytycznych i trudno się dowiedzieć, jakie będzie miał podejście.

Dlatego też może dochodzić do rozbieżności w zakresie interpretacji przepisów, co nie oznacza a priori, że RODO nie jest przestrzegane. Brakuje np. poradnika dla małego i średniego e-commerce. Co prawda, ostatnio został zatwierdzony pierwszy kodeks, ale jak na razie dotyczy on tylko branży medycznej.

Jak wygląda kwestia ochrony danych osobowych w Polsce? Który urząd za co dokładnie odpowiada?

Jeśli mówimy stricte o przetwarzaniu danych osobowych, to tutaj kompetentny jest Urząd Ochrony Danych Osobowych. W kwestii cookies, marketingu telefonicznego czy mailowego to kompetentnym organem jest Urząd Komunikacji Elektronicznej, a Prezes UODO może być kompetentny, o ile jest w stanie udowodnić, że określone działanie dotyczy danych osobowych. A z tym bywa różnie.  

Były już wyroki sądów administracyjnych ws. decyzji UODO. W jednym przypadku sąd stwierdził, że urząd niewystarczająco udowodnił, jakoby sam numer telefonu stanowił dane osobowe. Z kolei w innym wyroku sąd stwierdził, że urząd niewystarczająco udowodnił, że samo IP stanowi dane osobowe. Jak więc widzimy, istotne jest przygotowanie przez organ bardzo dobrego uzasadnienia.

Czy w takim razie ochrona prywatności i ochrona danych osobowych to jest to samo?

Dobrze jest zrozumieć, że prywatność i ochrona danych osobowych – choć zbiegają się ze sobą – to są to trochę inne pojęcia. Przykładowo, podmiot (np. Big Tech) może dbać o ochronę naszych danych osobowych i np. nie dopuścić do tego, by one wyciekły, ale jednocześnie nie oznacza to, że koniecznie dba o naszą prywatność, gdyż może nas nadmiernie monitorować, geolokalizować, profilować. Pojęcie prywatności jest szersze i może np. obejmować tajemnicę korespondencji.  

Pozostając w temacie danych i ich ochrony. Załóżmy, że zostaje przeprowadzony atak hackerski na bank. W wyniku ataku dochodzi do kradzieży pieniędzy oraz danych części klientów. Czy można uznać, że bank jest współwinny za doprowadzenie do takiej sytuacji?

Rozróżnijmy kwestie bezpieczeństwa pieniędzy, a danych osobowych, gdyż może tutaj dochodzić do różnych reżimów prawnych. W tym pierwszym przypadku są to przepisy bankowe, o usługach płatniczych, itp. W drugim to głównie RODO. Odpowiadając na pytanie w kwestii danych osobowych – to zależy od poziomu ryzyka i dobranych zabezpieczeń. Nigdy nie mamy 100 proc. bezpieczeństwa. Zawsze istnieje szansa, że nawet najlepsze zabezpieczenia zostaną złamane. Zasadne jest pytanie o to, jak dane były przetwarzane, jak oszacowany był poziom ryzyka – a w konsekwencji – jaki dobrano poziom zabezpieczeń, itd.

Na gruncie cywilnym w jednym z przypadków, w wyroku z 2012 roku, sąd stwierdził, że bank był winny, ponieważ zastosował nieadekwatny poziom zabezpieczeń i zasądził zadośćuczynienie w kwocie 10 tys. złotych. Jednak dotyczyło to danych kandydata z rekrutacji, a nie danych osobowych klienta.  

Czy to oznacza, że przy każdym skutecznym ataku hakerskim administrator będzie winny? Niekoniecznie. (...) Poziom zastosowanych zabezpieczeń może być adekwatny, a pomimo to może dojść do wycieku.  Nie zawsze firma prywatna może mieć środki do tego, aby bronić się przed każdym możliwym atakiem np. przed atakami sponsorowanymi i inspirowanymi przez obce państwa.

Na tym polega podejście oparte na ryzyku, że mają być zastosowane adekwatne środki zabezpieczeń, a nie zawsze najlepsze, jakie istnieją. Niemniej organ może mieć w tym zakresie inne zdanie, niż ja. Istotne, aby sposób szacowania ryzyka był rzetelny, a nie życzeniowy. Przy odpowiednim oszacowaniu ryzyka, można następnie dobrać odpowiedni poziom zabezpieczeń.

Często słyszymy o wielomilionowych karach nakładanych na firmy, które łamały zasady RODO. A jak jest z osobami prywatnymi? Czy mogą upominać się o swoje prawa?

W 2018 roku, czyli kiedy była tworzona nowa ustawa o ochronie danych osobowych (pod RODO), zawarto, że środki z kar administracyjnych trafią do budżetu państwa. Wątpię, żeby coś miało się zmienić w najbliższym czasie. Na temat ewentualnej zmiany nie toczy się obecnie żadna debata. Poza tym wątpię, aby był klimat polityczny do takiej zmiany.

Inną sprawą jest to, czy środki z kar finansowych faktycznie trafią do budżetu państwa, bo na razie sporo decyzji jest zaskarżanych do sądów. Ostatnio głośna była sprawa wyroku NSA ws. Morele.net . Ostatecznie kara - prawie 3 milionów złotych - nie zostanie zapłacona, gdyż Naczelny Sąd Administracyjny uchylił decyzję organu o nałożeniu kary.

Podobnie może być za granicą. Firma Meta dostała karę w Irlandii, tylko że już nie tylko sama Meta, ale również irlandzki organ (DPC) chce to zaskarżyć, ponieważ nie zgadza się z tym, co mu zostało narzucone w ramach współpracy międzynarodowej. Zatem powstaje pytanie, czy ta duża kara rzeczywiście zostanie zapłacona? Należy jednak pamiętać, że podmiot danych zawsze może złożyć skargę do organu lub dochodzić swoich praw w postępowaniu cywilnoprawnym.

Podsumowując, czy osoba prywatna ma szansę w pojedynku sądowym z Big Techami itd.?

Musimy wierzyć, że ma to sens. Po to mamy sądy i system prawny. Jeśli przestaniemy wierzyć w państwo prawa, to zostanie nam wiara w system prawa silniejszego, a stąd już niedaleka droga do różnych radykalnych posunięć.  

Osobiście widzę pewne możliwości na wygranie „z dużymi". Przykładem może być sukces Maxa Schremsa (kampania przeciwko Facebookowi za naruszenie prywatności). Niemniej, należy pamiętać, że milionowe kary, o których czytamy, są karami administracyjnymi. A zatem podmiot danych może liczyć na zadośćuczynienie adekwatne do poziomu strat, wszystko zależy od konkretnego przypadku. Kwoty, jakie dotychczas orzekły sądy, nie zbliżają się do miliona, a są bardziej w granicach kilkuset lub kilku tysięcy złotych.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].