1 mln złotych za naruszenie RODO – pierwsza kara w Polsce

« Aktualności 26 marca 2019

We wtorek 26 marca 2019 r. Prezes Urzędu Ochrony Danych Osobowych (PUODO) Edyta Bielak – Jomaa poinformowała o nałożeniu pierwszej kary pieniężnej za naruszenie ogólnego rozporządzenia o ochronie danych (RODO). Kara na pierwszy rzut oka wydaje się dość wysoka – blisko 1 mln złotych. Dodatkowo ukarany podmiot został zobowiązany do wysłania listów do osób, które nie zostały poinformowane o przetwarzaniu ich danych osobowych.

zdjęcie_5

Kara związana jest z niewypełnieniem przez warszawską spółkę obowiązku informacyjnego wobec osób, których dane pozyskiwała ze źródeł powszechnie dostępnych (m.in. CEIDG, KRS). Pozyskane dane spółka wykorzystywała w celu tworzenia baz pozwalających na weryfikację wiarygodności podmiotów. Chodziło o osoby, które aktualnie prowadzą działalność gospodarczą, jak i o osoby, które zawiesiły lub zaprzestały prowadzenia działalności gospodarczej.

Spółka wypełniła obowiązek informacyjny tylko wobec osób, których adresy e-mail były dostępne w rejestrach (spółka wysłała emaile do tych osób). W przypadku pozostałych osób spółka posiadała tylko adresy korespondencyjne lub numery telefonów. W tym drugim przypadku ukarana powołała się na przewidziany w RODO wyjątek (tj. art. 14 ust. 5 lit. b). Zgodnie z nim nie jest konieczne spełnienie obowiązku informacyjnego wobec każdej osoby indywidualnie, jeśli udzielenie informacji dotyczących przetwarzania danych okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Ukarany podmiot twierdził, że koszty związane z wypełnieniem obowiązku informacyjnego tradycyjną pocztą są bardzo wysokie. Wobec tego zdecydował się na opublikowanie klauzuli informacyjnej dotyczącej przetwarzania danych osobowych na swojej stronie internetowej.

PUODO nie podzieliła jednak stanowiska spółki.

Zdaniem Prezesa doszło do poważnego naruszenia – podstawowych obowiązków, których niewypełnienie pozbawia osoby fizyczne realizacji ich praw. Z przedstawionych na razie informacji wynika, że PUODO skupiła się właśnie na aspekcie naruszenia praw osób fizycznych, nie pochyliła się natomiast nad głębszą interpretacją wyjątku opisanego w art. 14 ust. 5 lit. b RODO.

Nie ulega wątpliwości, że dane osób fizycznych prowadzących działalność gospodarczą podlegają takiej samej ochronie jak dane osobowe konsumentów, a wypełnienie obowiązków informacyjnych wobec tych osób jest istotne. Trudno jednak zaakceptować brak – jak się wydaje – pogłębionej analizy, czy nie mieliśmy w tym przypadku do czynienia z niewspółmiernie dużym wysiłkiem w realizacji wskazanego obowiązku.

Po informacji ogłoszonej przez PUODO w mediach pojawiają się wiadomości, jakoby baza wykorzystywana przez ukaraną spółkę miała około 6 mln rekordów, a jedynie w przypadku ok. 90 tysięcy osób podmiot ten dysponował adresami e-mail. Chociaż jak twierdzi PUODO, nie jest wymagane wysyłanie listów poleconych, można jednak przypuszczać, że koszt wysłania nawet zwykłych listów w tym przypadku znacząco przewyższy nałożoną karę pieniężną. Dodatkowo powstaje pytanie, czy w przypadku wysyłki zwykłych listów spółka byłaby w stanie wykazać, że wykonała obowiązek informacyjny zgodnie z zasadą rozliczalności?

Pozostaje nam czekać na opublikowanie decyzji PUODO wraz z uzasadnieniem (tu znajdziesz link bazy decyzji PUODO: https://www.uodo.gov.pl/pl/129). Wówczas przeanalizujemy bardziej szczegółowo tę sprawę. W uzasadnieniu decyzji powinniśmy znaleźć przesłanki, na których oparła się PUODO, nakładając karę (przesłanki są wskazane w art. 83 ust. 2 RODO). Ponadto powinna uzasadnić, dlaczego niemożliwe było w tym konkretnym przypadku powołanie się na wyjątek z art. 14 ust. 5 lit. b RODO. Z pewnością ewentualny brak szerszego uzasadnienia w ww. zakresie będzie trzeba ocenić krytycznie.

Na decyzję PUODO przysługuje skarga do sądu administracyjnego, z którego to prawa ukarana spółka z pewnością skorzysta. Wniesienie skargi wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.

Sprawa ta jest niewątpliwie bardzo ciekawa i będzie miała duży wpływ na interpretację przepisów RODO dotyczących realizacji obowiązku informacyjnego. Będziemy z pewnością śledzić ten temat i informować Was o jej przebiegu na bieżąco na naszej stronie internetowej.

26.03.2019 r., adw. Agnieszka Rapcewicz

   Nasza strona używa plików cookies. Pliki cookies wykorzystujemy w celu umożliwienia prawidłowego działania naszej strony internetowej oraz w celu prowadzenia anonimowych statystyk i innych działań analitycznych przedstawiających sposób korzystania ze strony internetowej przez użytkowników. Dalsze korzystanie ze strony internetowej oznacza zgodę na ich zapis lub wykorzystanie. Użytkownik może samodzielnie dokonać zmiany warunków przechowywania plików cookies w przeglądarce internetowej, z której korzysta.

Więcej informacji, w szczególności dotyczących przetwarzania danych osobowych, znajduje się w Polityce prywatności dostępnej tu.