ZWAD.405.31.331.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.), art. 7 ust. 1 i art. 60 ust. 1 lit. a) ustawy o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 ze zm.) oraz art. 29 i art. 32 ust. 1 i 4 w związku z art. 38 ust. 2,3 i 6, art. 39 ust. 1 oraz art. 57 ust. 1 lit. a) i art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 i Dz.U.EU.L.2018.127.2), po przeprowadzeniu postępowania administracyjnego w sprawie naruszenia przez Szpital w C. przepisów art. 29, art. 32 ust. 1 i 4w związku z art. 38 ust. 2, 3 i 6 oraz art. 39 ust. 1 rozporządzenia 2016/679 w zakresie, w jakim Szpital w C. zobowiązywał inspektorów ochrony danych do nadawania upoważnień personelowi w zakresie przetwarzania danych osobowych, Prezes Urzędu Ochrony Danych Osobowych
I. Stwierdzając naruszenie przez Szpital w C. przepisu art. 38 ust. 6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 i Dz.U.EU.L.2018.127.2) w zakresie, w jakim Szpital w C. zobowiązywał inspektora ochrony danych w okresie od dnia […] stycznia 2019 r. do dnia […] lipca 2020 r. do nadawania upoważnień personelowi w zakresie przetwarzania danych osobowych, udziela upomnienia Szpitalowi w C.
II. W pozostałym zakresie postępowanie umarza.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych, działając z na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 i Dz.U.EU.L.2018.127.2), zwanego dalej: rozporządzeniem 2016/679, pismem z dnia […] listopada 2019 r. zwrócił się do Szpitala w C., zwanego dalej: Szpitalem, o udzielenie szczegółowych informacji, dotyczących przyjętych przez Szpital rozwiązań w zakresie zapewnienia inspektorowi ochrony danych, zwanemu dalej: IOD, skutecznego wykonywania zadań. W odpowiedzi na ww. pismo, która wpłynęła do tutejszego Urzędu w dniu […] grudnia 2019 r. (znak: […]), Szpital poinformował m.in., że do zadań IOD określonych w pkt 6 procedury […] obowiązującej od dnia […] maja 2019 r., należy m.in. „nadawanie upoważnień personelowi w zakresie przetwarzania danych osobowych”.
Przedmiotowa informacja stanowiła w ocenie Prezesa Urzędu Ochrony Danych Osobowych wystarczającą przesłankę do wszczęcia z urzędu postępowania administracyjnego w sprawie naruszenia przez Szpital przepisów o ochronie danych osobowych w rozumieniu rozporządzenia 2016/679 w dniu […] czerwca 2020 r.
W toku przeprowadzonego w niniejszej sprawie postępowania Prezes Urzędu Ochrony Danych Osobowych, zwany dalej: Prezesem UODO, ustalił, co następuje:
1. Szpital jest administratorem danych w rozumieniu art. 4 ust. 7 rozporządzenia 2016/679.
2 .Pismem z dnia […] grudnia 2019 r. (prezentata Urzędu Ochrony Danych Osobowych: […] grudnia 2020 r.) Szpital poinformował Prezesa UODO, iż obowiązująca od dnia […] stycznia 2020 r. procedura […] przewiduje w pkt 6 obowiązek IOD „wystawiania pracownikom upoważnień do przetwarzania danych osobowych”. Podobne zapisy znalazły się w funkcjonujących od dnia […] maja 2019 r. procedurach: […] oraz […], które w pkt 6 określają „uprawnienie i odpowiedzialność IOD za nadawanie upoważnień personelowi Szpitala w zakresie przetwarzania danych osobowych”. Ponadto Szpital podkreślił, iż „nadrzędnym celem procedur jest zapewnienie adekwatnego poziomu ochrony pacjentów i pracowników w związku z przetwarzaniem ich danych osobowych”, a dla jego realizacji „wszyscy IOD zostali upoważnieni przez Administratora do udzielania upoważnień do przetwarzania danych osobowych innym osobom.”
3. Dnia […] lipca 2020 r. Szpital wystosował do Prezesa UODO pismo (prezentata Urzędu Ochrony Danych Osobowych: […] lipca 2020 r.), zawierające informacje o: dokonaniu zmiany „w trzech procedurach ([…], […],[…]), w których znalazły się w pierwotnej wersji zapisy, czyniące IOD odpowiedzialnym za nadawanie personelowi upoważnień w zakresie przetwarzania danych osobowych oraz wskazujące go jako osobę upoważnioną przez Administratora Danych, czyli Dyrektora Szpitala do wystawiania upoważnień do przetwarzania danych osobowych”, „odwołaniu przez Dyrektora Szpitala upoważnienia do udzielania upoważnień do przetwarzania danych osobowych, jakie było udzielone IOD oraz o wystawieniu upoważnień do udzielania upoważnień do przetwarzania danych osobowych Zastępcy Dyrektora ds. Administracyjno-Organizacyjnych i Koordynatorowi Sekcji ds. Osobowych”. Do ww. dokumentu dołączone zostały dowody, potwierdzające dokonanie przez administratora opisanych przez niego czynności, w postaci treści ww. regulacji wewnętrznych.
W tym stanie faktycznym Prezes UODO zważył, co następuje.
Zgodnie z art. 4 ust. 7 rozporządzenia 2016/679, administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Do obowiązków administratora określonych na gruncie art. 32 ust. 1 ww. źródła prawa należy zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych, a więc takich środków technicznych i organizacyjnych, które uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, zapewniają stopień bezpieczeństwa odpowiadający temu ryzyku. W tym celu administrator podejmować ma, na gruncie art. 29 oraz art. 32 ust. 4 rozporządzenia 2016/679, działania gwarantujące, by każda osoba fizyczna, działająca z jego upoważnienia, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na jego polecenie, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. Literalna wykładnia tych przepisów pozwala stwierdzić, że możliwe jest udzielenie przez administratora upoważnienia podległemu pracownikowi do przetwarzania danych osobowych, obejmującego swoim zakresem również delegację uprawnienia do wykonywania obowiązków administratora w zakresie nadawania w jego imieniu upoważnień do przetwarzania danych osobowych. Podstawowy zakres zadań IOD, wśród których na próżno szukać jednak tych związanych z nadawaniem pracownikom administratora upoważnień do przetwarzania danych osobowych, określony został przez unijnego ustawodawcę w art. 39 ust. 1 rozporządzenia 2016/679, niemniej jednak zgodnie z art. 38 ust. 6 ww. rozporządzenia IOD może wykonywać też inne zadania i obowiązki, o ile administrator lub podmiot przetwarzający zapewni, aby te zadania i obowiązki nie powodowały konfliktu interesów.
Należy jednak przyjąć, że z uwagi na specyfikę zadań IOD ogniskujących się na doradzaniu oraz kontrolowaniu działalności administratora pod kątem zgodności operacji przetwarzania danych osobowych z przepisami o ochronie danych osobowych, administrator nie powinien przyznawać IOD uprawnień do nadawania w jego imieniu upoważnień do przetwarzania danych osobowych, pozostawiając IOD w procedurze wydawania upoważnień do przetwarzania danych osobowych sprawowanie funkcji doradczej i nadzorczej. Przyjęcie odmiennego założenia, w którym IOD byłby odpowiedzialny za przeprowadzenie tej procedury, a jednocześnie miałby monitorować jej zgodność z przepisami o ochronie danych osobowych, do czego zobowiązuje go unormowanie zawarte w art. 39 ust. 1 lit. b) rozporządzenia 2016/679, doprowadziłoby w efekcie do sytuacji, gdzie IOD sprawowałby nadzór nad własną działalnością, a więc do konfliktu interesów, czego wprost zakazuje art. 38 ust. 6 rozporządzenia 2016/679. Wyraźnego podkreślenia wymaga fakt, iż IOD, cechujący się szczególnym statusem w dziedzinie zapewniania właściwego przestrzegania przepisów o ochronie danych osobowych, musi mieć dla tego celu zagwarantowane odpowiednie warunki funkcjonowania, a więc takie, które pozwolą mu na efektywną, niezależną oraz prawidłową realizację obowiązków wynikających z przepisów prawa, co wynika z art. 38 ust. 2 i 3 rozporządzenia 2016/679. W tym kontekście za słuszny uznać należy pogląd, w którym nakładanie na IOD obowiązków prowadzących do powstania konfliktu interesów, stawia pod znakiem zapytania nie tylko możliwość efektywnego wypełniania przez niego zadań, do realizacji których zobowiązuje go dyspozycja normy art. 39 rozporządzenia 2016/679, ale godzi w same fundamenty instytucji IOD, opartej w pierwszym rzędzie na niezależności jego funkcjonowania.
W oparciu o zgromadzony materiał dowodowy oraz mając na uwadze powyższe uwagi stwierdzić należy, że Szpital niewłaściwie realizował obowiązek określony w art. 38 ust. 6 rozporządzenia 2016/679 poprzez zobowiązanie IOD do nadawania upoważnień personelowi w zakresie przetwarzania danych osobowych. Wskazać bowiem należy, iż rola IOD powinna koncentrować się na monitorowaniu przestrzegania przepisów o ochronie danych osobowych i wewnętrznych polityk oraz prawidłowego wykonywania wynikających z nich obowiązków, a także doradzaniu i podnoszeniu świadomości w zakresie tych obowiązków. Dlatego IOD nie powinien być osobą, która realizuje obowiązki określone w art. 29 i art. 32 ust. 1 i 4 rozporządzenia 2016/679, tym bardziej, że adresatem norm zawartych w przytoczonych przepisach jest administrator danych lub podmiot przetwarzający. Jak już wyżej wskazano, przyjęcie odmiennego poglądu powodowałoby konflikt interesów, którego występowania zakazuje w odniesieniu do IOD art. 38 ust. 6 rozporządzenia 2016/679. Zatem uprawniony jest pogląd, zgodnie z którym dla celów zapewnienia właściwej skuteczności systemowi ochrony danych osobowych przyjętemu przez Szpital najkorzystniejszym rozwiązaniem jest to, w którym upoważnienia do przetwarzania danych osobowych wydawane są przez osobę pełniącą funkcję kierowniczą w ww. podmiocie, w tym np. kierownika działu kadr lub kierowników innych komórek organizacyjnych, a więc osoby będące w stanie w sposób najbardziej precyzyjny określać, komu oraz w jakim zakresie upoważnienie powinno zostać nadane oraz na bieżąco je aktualizować.
W ocenie Prezesa UODO powyższy postulat został przez Szpital spełniony, na co wskazuje treść pisma przesłanego do tutejszego Urzędu w dniu […] lipca 2020 r., w którym administrator poinformował zarówno o dokonaniu zmiany „w trzech procedurach ([…],[…],[…]), w których znalazły się w pierwotnej wersji zapisy, czyniące IOD odpowiedzialnym za nadawanie personelowi upoważnień w zakresie przetwarzania danych osobowych oraz wskazujące go jako osobę upoważnioną przez Administratora Danych, czyli Dyrektora Szpitala do wystawiania upoważnień do przetwarzania danych osobowych”, jak i o „odwołaniu przez Dyrektora Szpitala upoważnienia do udzielania upoważnień do przetwarzania danych osobowych, jakie było udzielone IOD oraz o wystawieniu upoważnień do udzielania upoważnień do przetwarzania danych osobowych Zastępcy Dyrektora ds. Administracyjno-Organizacyjnych i Koordynatorowi Sekcji ds. Osobowych”. Uznać zatem należy formułowanie względem Szpitala przez Prezesa UODO nakazu przywrócenia stanu zgodnego z prawem w tym zakresie za niecelowe.
Tym niemniej okoliczności wskazujące na niewłaściwą realizację przez Szpital obowiązków określonych w art. 38 ust. 6 rozporządzenia 2016/679, poprzez zobowiązanie IOD w okresie od dnia […] stycznia 2019 r. do dnia […] lipca 2020 r. do nadawania upoważnień personelowi w zakresie przetwarzania danych osobowych, uznać należy za udowodnione (o czym świadczy treść obowiązującej od dnia […] stycznia 2019 r. procedury […] oraz funkcjonujących od dnia […] maja 2019 r. procedur: […] oraz […], które przewidywały „uprawnienie i odpowiedzialność IOD za nadawanie upoważnień personelowi Szpitala w zakresie przetwarzania danych osobowych”). Nie pozostawia również żadnych wątpliwości, że we wzmiankowanym, szerokim przedziale czasowym IOD zmuszony był do wykonywania obowiązków powodujących konflikt interesów, a zatem nie mógł należycie sprawować swojej funkcji, co w kontekście zadań IOD przewidzianych w art. 39 rozporządzenia 2016/679 sprawia, iż wagę tego naruszenia uznać należy za znaczną. Wobec powyższego, Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy właściwym środkiem naprawczym będzie udzielenie Szpitalowi, na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, upomnienia za niewłaściwą w okresie od dnia […] stycznia 2019 r. do dnia […] lipca 2020 r. realizację obowiązku określonego w art. 38 ust. 6 rozporządzenia 2016/679, poprzez zobowiązanie IOD do nadawania upoważnień personelowi w zakresie przetwarzania danych osobowych.
Niewłaściwa realizacja przez Szpital obowiązku wskazanego w art. 38 ust. 6 rozporządzenia 2016/679, poprzez zobowiązanie IOD do nadawania upoważnień personelowi w zakresie przetwarzania danych osobowych, nie budzi wątpliwości, a późniejsza zmiana przez Szpital procedur przetwarzania danych osobowych nie może powodować odstąpienia przez organ nadzorczy od wydania upomnienia, skoro istnienie naruszenia we wzmiankowanym, ponad rocznym okresie jest niepodważalne. Zgromadzony w przedmiotowej sprawie materiał dowodowy pozwala ponadto dostrzec, że przywrócenie zgodności przyjętych przez Szpital polityk ochrony danych osobowych z obowiązującym stanem prawnym, było dopiero wynikiem postępowań przeprowadzonych przez Prezesa UODO. Istnieje zatem uzasadnione podejrzenie, że gdyby nie powyższe działania ze strony organu nadzorczego, stan naruszenia prawa trwałby w dalszym ciągu.
Niemniej Prezes UODO, realizując swoje uprawnienie na mocy art. 58 ust. 2 lit. b) rozporządzenia 2016/679, uznał, że cel niniejszego postępowania, jakim jest przywrócenie stanu zgodnego z prawem, może być jednak osiągnięty poprzez zastosowanie środka o charakterze mniej dolegliwym. W ocenie organu nadzorczego upomnienie Szpitala za błędną realizację obowiązków spoczywających na nim, jako administratorze danych w rozumieniu art. 4 ust. 7 rozporządzenia 2016/679, stanowi właściwy przejaw realizacji zasady proporcjonalności.
Jednocześnie Prezes UODO, nie znajdując podstaw do uznania, że doszło do naruszenia przepisów o ochronie danych osobowych, umorzył postępowanie administracyjne w pozostałym zakresie objętym niniejszym postępowaniem.
Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.