O pseudonimizacji w decyzji o pierwszej karze GDPR w Polsce

26.03.2019 to początek egzekwowania GDPR w Polsce.

Sprawa dotyczy firmy, która pobierała z publicznych rejestrów informacje o przedsiębiorcach i na tej podstawie oparła swój model biznesowy (w bazie 7.594.636 rekordów osób). Zgodnie z wymogami GDPR, firma powinna poinformować osoby fizyczne o przetwarzaniu danych. Zrobiono to jedynie wobec 682 439 osób, których adresy e-mail były znane. Z resztą osób nie skontaktowano się, co było świadomą decyzją. Decyzję tę zakwestionowało UODO, zdecydował nałożyć €220 tys kary i nakazał firmie w ciągu 3 miesięcy poinformować wszystkie osoby, których dane znajdują się w bazie danych (firma ocenia koszt spełnienia tego obowiązku na ponad 33 mln złotych).

Sama decyzja o karze znajduję się tutaj. GDPR w akcji.

UODO zpseudonimizowało decyzję

Treść decyzji z jakiegoś powodu UODO zanonimizował, a właściwie zpseudonimizował: nie podano np. nazwy firmy. Podawanie takich informacji do publicznej informacji jest standardem w wielu krajach. Trudno powiedzieć, dlaczego UODO zdaje się stosować inną praktykę, bo chodzi o świadomość użytkowników i konsumentów. Informacja o podejściu do ochrony danych jest istotna z punktu widzenia użytkownika. Można spodziewać się, że użytkownicy mogą preferować usługi firm bez historii problemów z ochroną prywatności i danych. Przy anonimizacji decyzji UODO, informacje te będą jednak dla użytkowników niedostępne. Istotne pozytywne aspekty wiążące się GDPR nie byłyby więc w Polsce dostępne.

Nieskuteczna metoda UODO

Metoda pseudonimizacji zastosowana przez UODO delikatnie mówiąc nie spełnia swojej roli. Bardzo łatwo ją odwrócić, a by to zweryfikować nie trzeba było poświęcić wiele czasu.

W treści decyzji mamy jak poniżej.

  • Spółka zamieściła także na swojej stronie internetowej o adresie www.[…].pl, w zakładce „Dane i prywatność”/”Informacja o przetwarzaniu danych osobowych”, informację o przetwarzaniu danych osobowych przez X. ([…]). Spółka opublikowała również na swojej stronie internetowej www.[…].pl, w zakładce „Dane i prywatność” / Informacja o przetwarzaniu danych osobowych”, pod adresem https://www.[…].pl/rodo/, pełną klauzulę informacyjną, odpowiadającą wymogom art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679.

  • Firma dane pozyskuje m.in. z "Centralnej Ewidencji i Informacji o Działalności Gospodarczej, z Bazy REGON Głównego Urzędu Statystycznego, z Monitora Sądowego i Gospodarczego"

Wystarczy proste zapytanie Google by ustalić pewien zakres możliwości.

Na jednej z tych stron łatwo dostrzec wymienione źródła danych bardzo zbliżone do treści decyzji.

I w taki sposób dowiadujemy się, że chodzi o firmę BisNode, która szczęśliwie sama się też ujawniła.

Podsumowanie

To naturalne, że decyzje UODO powinny być szczegółowe. Trudno jednak zrozumieć, dlaczego zdecydowano się na pseudonimizację i do tego w tak nieskuteczny sposób.

Ten prosty przypadek pokazuje że skuteczna pseudonimizacja może być bardzo trudna, a czasem wręcz niemożliwa. Rzeczony przypadek jest rzeczywiście prosty, i tę "pseudonimizację" można było zrobić lepiej. Chodzi jednak o szerszą zasadę.

Ostatecznie priorytetem powinna być jednak transparentność dla użytkowników. Przede wszystkim nie wydaje się, aby sama praktyka pseudonimizacji takich decyzji była najwłaściwszą.