„Przetwarzanie danych osobowych w zgodzie z RODO? No to trzeba zebrać zgody”. Traktowanie zgody na przetwarzanie danych osobowych, jako antidotum na wszelkie problemy z RODO, to popularny tok myślenia. Może Cię zaskoczę drogi czytelniku… Jest to błąd. Ostatnio przekonała się o tym jedna z wiodących globalnych firm doradczych.
Bohaterami dzisiejszej historii będą:
- grecki organ ochrony danych osobowych (HDPA) oraz
- kolejna (po Marriott i British Airways) znana marka, czyli PwC (Price Waterhouse Coopers – globalna sieć przedsiębiorstw świadczących usługi księgowe, audytorskie i doradcze).
Kara jaka została nałożona na PwC, to 150 tys. euro – niby dużo, ale nijak ma się do milionowych kar nakładanych np. przez organ brytyjski, czy francuski.
Oczywiście prócz kary finansowej, administrator został zobowiązany do przywrócenia prawidłowego stosowania przepisów.
Wróćmy jednak do meritum i wyjaśnijmy za co dokładnie została nałożona kara RODO dla PwC.
Za co PwC dostało karę?
HDPA otrzymał skargę dotyczącą nieprawidłowości przy przetwarzaniu danych osobowych pracowników w PriceWaterhouseCoopers Business Solutions SA (PwC BS). Na podstawie tej skargi rozpoczął kontrolę z urzędu.
W skardze informowano, że pracownicy PwC BS byli zobowiązani do wyrażenia zgody na przetwarzanie ich danych osobowych na potrzeby zatrudnienia.
Podczas kontroli stwierdzono, że nie ma przesłanek do stosowania tej podstawy prawnej. Ponadto PwC nie jest w stanie wykazać, że podjęło jakiekolwiek działania, by ustalić prawidłową podstawę prawną.
Nieprawidłowe wykorzystanie zgody i efekt kuli śnieżnej
Wykorzystujesz zgodę „bo tak jest najłatwiej i rozwiązuje wszystkie problemy”? Twój błąd może wywołać efekt kuli śnieżnej. Tak właśnie było w przypadku PwC BS. Oto kilka kwestii, na które zwrócił uwagę HDPA w swojej decyzji.
- Złamanie zasady legalności – dane osobowe pracowników przetwarzane są w oparciu o nieprawidłową podstawę prawną. HDPA zwróciło uwagę na to, że zgoda jest podstawą prawną, którą powinno się stosować, gdy nie ma możliwości wykorzystania pozostałych.
Zasady zgodnego z prawem, rzetelnego i przejrzystego przetwarzania danych osobowych zgodnie z art. 5 ust. 1 lit. a RODO wymagają, aby zgoda była stosowana jako podstawa prawna zgodnie z art. 6 ust. 1 RODO tylko wtedy, gdy inne podstawy prawne nie mają zastosowania, więc po dokonaniu wstępnego wyboru nie jest możliwe przejście na inną podstawę prawną.
- Złamanie zasady rozliczności – przed rozpoczęciem przetwarzania, administrator powinien zbadać jakie ma do tego podstawy prawne i udokumentować to. PwC BS nie był w stanie udowodnić, że podjął takie działania.
W tym przypadku, administrator dodatkowo sam na siebie ukręcił bat. Prawdopodobnie chcąc ratować sytuację, poproszono pracowników o podpisanie oświadczeń zgodnie z którymi potwierdzili oni, że ich „dane osobowe przechowywane i przetwarzane przez firmę są bezpośrednio związane z potrzebami stosunku pracy i organizacji praca, a ich dane były odpowiednie w kontekście stosunku pracy i organizacji pracy”.
Prawdę mówiąc nie wiem, co administrator chciał osiągnąć takim krokiem. Natomiast grecki organ potraktował te oświadczenia, jako próbę przerzucenia obowiązku rozliczności na pracowników. - Złamania zasady przejrzystości – administrator zastosował nieprawidłową podstawę przetwarzania. Opierając się o nią dopełniał obowiązku informacyjnego. Tak więc dopełniał go nieprawidłowo, bo dane osobowe były przetwarzane w rzeczywistości w oparciu o inne podstawy.
Co zrobić, by nie powtórzyć błędu PwC BS?
Zapamiętaj, że zgoda nie jest jedynym rozwiązaniem problemu legalności przetwarzania danych osobowych. Jest jednym z wielu rozwiązań. Co prawda w „wyliczance” w artykule 6 RODO, zgoda jest wymieniona na pierwszym miejscu, jednak traktuj ją jako ostateczność.
Przed rozpoczęciem przetwarzania danych osobowych sprawdź, czy mają zastosowanie pozostałe podstawy prawne z artykułu 6. Dopiero, gdy okaże się, że nie mają, możesz rozważyć zebranie zgód.
Pamiętaj o konsekwencjach, jakie zgoda za sobą niesie (art. 7 ust. 3 RODO):
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
Chcesz wiedzieć za co jeszcze nałożony grzywny? Sprawdź listę kar RODO.
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.