9/2/2024
Ta sprawa jest dość zagmatwana bo dotyczy braku anonimizacji decyzji UODO w sprawie braku anonimizacji, który to brak anonimizacji UODO krytykowało. Ale zostańcie z nami, bo warto!
UODO pochwalił się wczoraj ciekawym wyrokiem dotyczącym braku anonimizacji informacji publicznej. Ten wyrok jest ciekawy sam w sobie, ale jeszcze ciekawszy jest komunikat prasowy UODO, który go dotyczy. Dlaczego? Bo UODO przypadkiem (?) ujawniło w nim, kogo dotyczy ta wcześniej zanonimizowana przez UODO decyzja, chroniąca prywatność “ofiary”.
“Prokuratura z G.” ujawniła zbyt dużo dziennikarzowi
Zacznijmy od początku. Na stronach UODO znajdziecie “starą” decyzję DKN.5131.45.2022. Została ona wydana w sprawie naruszenia przepisów RODO przez…
Prokuraturę Rejonową w G. z siedzibą w G. przy ul. (…)
To jest dosłowny cytat z decyzji UODO. Urząd (wtedy) nie ujawnia nazwy prokuratury o którą chodziło. Nie podaje ulicy. Wiadomo tylko, że chodzi o prokuraturę w mieście na literę “G”. Nie ma w tym też niczego nadzwyczajnego. Prezes UODO robi tak od czasu wydania swojej pierwszej decyzji. Dane o ukaranych przedsiębiorcach i instytucjach są “anonimizowane” i dzięki temu nie cierpią one za bardzo. Tylko czy ta anonimizacja jest skuteczna?
Wracając do meritum samej decyzji: w rozpatrywanej przez UODO sprawie chodziło o to, że wójt Gminy Ł., a wcześniej radny tej gminy, poskarżył się na Prokuraturę w G. w związku z tym, że prokuratura udostępniła dziennikarzowi pewne dokumenty w ramach dostępu do informacji publicznej. W dokumentach było dość dużo danych wójta.
…udostępnione zostały jego dane osobowe w postaci imienia i nazwiska, serii i numeru dowodu osobistego, numeru PESEL, adresu zamieszkania, numeru telefonu, informacji o wynagrodzeniu, płci, stanie cywilnym, stopniu pokrewieństwa oraz miejscu zatrudnienia. Oprócz danych ww. osoby udostępnione również zostały dane osobowe jego żony w zakresie jej imienia i nazwiska, daty urodzenia, płci, stanu cywilnego, stopnia pokrewieństwa, numeru PESEL, informacji o wynagrodzeniu oraz miejscu zatrudnienia. Ponadto, udostępniono informacje na temat małoletniego dziecka w zakresie imienia i nazwiska, daty urodzenia, płci, stanu cywilnego, stopnia pokrewieństwa, numeru PESEL, informacji o miejscu nauki oraz danych dotyczących zdrowia…
Dziennikarz dostał dokumenty z tymi danymi, ale (na szczęście) przed publikacją poddał je anonimizacji. Niemniej już samo ujawnienie tych wszystkich danych dziennikarzowi było – zdaniem wójta i PUODO – naruszeniem zasad poufności tych danych. Werdykt: informację publiczną należało udostępnić, ale należało też usunąć z tej informacji dane osobowe, zwłaszcza tak istotne jak PESEL.
W konsekwencji prokuratura dostała 20 tys. zł kary. Za to, że dokonała naruszenia, nie poinformowała o nim UODO oraz nie poinformowała o naruszeniu osób, których dane dotyczyły.
Prokuratura odwołuje się od kary, ale…
Prokuratura poskarżyła się na decyzję UODO do Wojewódzkiego Sądu Administracyjnego w Warszawie. Przed Sądem podnosiła argumenty, że dużego ryzyka naruszenia praw i wolności w tym przypadku nie było. Wszak dziennikarz nie miał zamiaru popełniać przestępstw używając tych danych. WSA w Warszawie zgodził się jednak z UODO w kwestii tego, że naruszenie było dość poważne, i że prokuratura – zdaniem sądu – próbowała jedynie umniejszać znaczenie popełnionego naruszenia.
Tyle jeśli chodzi o spór UODO vs “prokuratura z G.”, który sam w sobie jest ciekawy z racji tego co anonimizować w informacjach publicznych. A teraz popatrzmy na wczorajszy komunikat prasowy, który UODO wydał z okazji tego korzystnego dla siebie wyroku.
UODO opisuje porażkę prokuratury, ale…
W komunikacie tym czytamy:
WSA w Warszawie oddalił skargę Prokuratury Rejonowej w Gorlicach na decyzję Prezesa UODO, w której organ nadzorczy nałożył na administratora karę w wysokości 20 tys. zł.
I tutaj można by było zadać pytanie — jaki był sens anonimizacji decyzji DKN.5131.45.2022, skoro na podstawie komunikatu prasowego można ustalić, że chodzi o prokuraturę w Gorlicach?
Ujawnienie prokuratury oznacza automatyczne ujawnienie innych szczegółów z decyzji UODO. W tym danych wójta-ofiary, o których anonimizacje UODO z prokuraturą walczyło. No bo zgadnijcie ile jest gmin wiejskich na literę “Ł.” w okolicach Gorlic?
Wbrew pozorom, naszym celem nie jest pstrykanie UODO w nos. Bo całkowicie popieramy podejście urzędu w sprawie z prokuraturą. Pierwotnie ten artykuł chcieliśmy napisać:
- o bardzo rozsądnej naszym zdaniem decyzji UODO i ciekawym sporze z prokuraturą,
- o tym, jak nawet doświadczonym ludziom, którzy zawodowo zajmują się ochroną danych, może się zdarzyć drobna, tzw. OPSEC-owa wpadka i że anonimizacja informacji bywa trudna
- o tym, jak taka drobna wpadka, przy pomocy różnych prostych osintowych technik może pomóc w ustaleniu pełnych danych poszkodowanego. Na marginesie możemy dodać, że znamy prosty sposób na zdobycie nie tylko imienia i nazwiska wójta gminy Ł., ale także numeru PESEL, chociaż nigdzie w ww. dokumentach się on nie pojawia.
Co na to UODO?
Zwróciliśmy się oczywiście przed publikacją artykułu do UODO z prośbą o skomentowanie decyzji o braku anonimizacji danych w komunikacie o wyroku dotyczącym braku anoimizacji danych. Mówiąc dokładniej, zadaliśmy rzecznikowi prasowemu urzędu następujące pytania:
- Czy decyzje UODO muszą być anonimizowane?
- Czy UODO nie zechce teraz zanonimizować tego komunikatu prasowego?
- Hipotetycznie… gdyby kiedyś UODO ujawnił zbyt dużo informacji w informacji publicznej to czy prawo dopuszcza zgłoszenie do UODO skargi na UODO?
Podkreślamy, że trzecie pytanie ma charakter raczej filozoficzny, ale nie mogliśmy się powstrzymać przed zadaniem go w tej sytuacji ;-)
Rzecznik prasowy Urzędu Adam Sanocki odpowiedział nam, że decyzje Prezesa UODO stanowią informację publiczną, ale “nawet takie informacje podlegają anonimizacji.” — Wynika to stąd, że prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Dlatego anonimizacja ma polegać na takim przetworzeniu treści, by uniemożliwić identyfikację występujących w dokumencie osób fizycznych – dodał Adam Sanocki.
Odnośnie ujawnienia nazwy prokuratury w komunikacie UODO, rzecznik stwierdził, że w niektórych przypadkach dane ukaranego podmiotu nie były wcześniej ujawnione, a później tak. — Za podawaniem niezanonimizowanych nazw ukaranych administratorów danych przemawia interes publiczny. Dlatego obecnie nazwy podmiotów ukaranych przez Prezesa UODO za naruszenia przepisów RODO nie są anonimizowane.
Można podać UODO do UODO!
Na koniec warto wiedzieć, że owszem, prawo nie wyklucza możliwości złożenia skargi także na organ nadzorczy, gdyby osoba, której dane dotyczą uzna, że Prezes UODO niewłaściwie przetwarza jej dane osobowe. Tak więc skarga do UODO na UODO jest niewykluczona.
Ciekawe tylko jak potem sąd oceniałby obiektywność organu nadzorczego? Albo jaką karę UODO wymierzyłoby sobie samo, gdyby doszło do wniosku że musi dokonać samoukrania? Jak wiemy, zdarzały się już ciekawe sprawy sądowe, w których skarżący narzekał na zbyt małe zobiektywizowanie ocen dokonanych przez UODO — np. ta opisywana przez nas wczoraj.
Informacja lubi uciekać
Na tle tego “incydentu” można zadać bardzo dobre pytania m.in. o to, czy w ogóle jest sens anonimizować decyzje UODO? Przykładowo decyzje UOKiK nie są anonimizowane, a przecież mają duże (czasem negatywne) znaczenie dla firm, których dotykają. Kolejne dobre pytania powinny dotyczyć tego, czy nie istnieje jakiś zakres danych osobowych w informacjach publicznych, z którym po prostu musimy się pogodzić?
Jedno jest pewne. Informacje są kropkami, które da się łączyć i jeśli ktoś jest uparty to spróbuje to zrobić. Jeśli więc boicie się, że informacja publiczna lub komunikat UODO może, poprzez ujawnienie szczegółów, ujawnić też, że to o Was lub Waszą firmę chodzi, to polecamy przenieść się do gminy, której nazwa zaczyna się na popularną literę w obszarze miasta z równie pospolitą pierwszą literą. I nie wykazywać żadnych unikatowych cech, które z “wielu zwróconych dopasowań” wskazałyby właśnie na was. Powodzenia!
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Przecież czymś innym jest brak anonimizacji danych osobowych — i brak anonimizacji danych organu państwa (prokuratury).
Zwyczaj zastępowania nazw firm, miast, krojów pisma (!) etc. jest idiotyczny — ale jego brak to zupełnie inna para kaloszy.
Niekonsekwencja UODO w tym zakresie jest porażająca.
Ej, a gdzie rysunek z serii “YO DAWG…”??? :D
Zdobycie PESEL osób funkcyjnych w samorządach, czy administracji państwowej nie jest problemem. Każdego wójta/burmistrza/prezydenta, czy przewodniczącego razy można “odstrzelić” z “pesla” na legalu.
Dane Wójta Gminy Ł. nie zostały skuteczne zanonimizowane, stąd w internecie dostępny jest dokument zawierający nr PESEL (i nie tylko) Wójta. Należałoby dodać, że jest to dokument urzędowy, co tylko zwiększa absurd całej sytuacji.
Pan rzecznik mydli oczy. Po prostu UODO działa na tym obszarze od przypadku do przypadku a nie wg. ustalonego i uzasadnionego podejścia.
Taka prawda..
Im wiecej prob ujecia w przepisy zlozonego swiata, tym wiecej zapetlen i debilizmow bedzie.
A to dlatego, że o prawodawstwie trzeba myśleć w kontekście takim samym jak o oprogramowaniu. Jasno zdefiniować cele każdego przepisu (API) i jasno sformułować ‘testy’ pozwalające na sprawdzenie czy regulacja osiąga cel. Skoro bez takiego podejścia trudno marzyć o stworzeniu niezawodnego softu, to jaką naiwnością trzeba się wykazywać, by łudzić się, że da się stworzyć spójne i poprawne prawo działając metodą “punktowego łatania”?
Nie rozumiem, czy informacja publiczna nie jest, jak sama nazwa wskazuje, publiczna? Więc dlaczego należy ją anonimizować?
Informacją publiczną może być że toczy się postępowanie wobec osoby publicznej, zatrudnionej na stanowisku X. Ale dokument który to stwierdza zawiera dane które informacją publiczną nie są. Na przykład PESEL. Zawsze jak jest dokument publiczny i go się udostępnia, to anonimizuje się dane osobowe, bo one nie są informacją publiczną. No a jaki jest interes publiczny opublikować numer PESEL dziecka jakiegokolwiek Wójta w tym kraju? Kogo obchodzi PESEL Wójta, znajdziesz na BIP-ie w 99% przypadków. Ale jego dziecka?