Publicystyka - ngo.pl

Spółka, na którą nałożono karę przetwarzała w celach zarobkowych dane osobowe osób fizycznych, pobierane z rejestrów publicznych, takich jak Centralna Ewidencja i Informacja o Działalności Gospodarczej, bazy REGON i Krajowy Rejestr Sądowy. W swojej bazie zgromadziła dane 6 milionów osób. Jednocześnie spełniła obowiązek informacyjny jedynie wobec 90 tysięcy osób – były to osoby, których adresy e-mail posiadała spółka (wysłanie maili do tych osób nie stanowiło większego problemu). Pozostałe osoby nie zostały poinformowane z uwagi na zbyt wysoki koszt operacji.

Obowiązek informowania kto i na jakiej podstawie przetwarza dane jest jedną z podstawowych zasad zawartych w RODO. Wynika on z art. 14 Rozporządzenia. Osoba, której dane są przetwarzane, musi zostać powiadomiona między innymi o osobie administratora danych, celach przetwarzania danych, podstawie prawnej przetwarzania danych, kategoriach przetwarzanych danych, odbiorcach danych, okresie ich przetwarzania oraz prawach jej przysługujących zgodnie z przepisami RODO. Obowiązek ten wprowadzony został do przepisów RODO w celu umożliwienia decydowania o tym, co dzieje się z przetwarzanymi danymi osobowymi.

Niewypełnienie obowiązku informacyjnego odebrało możliwość skorzystania z praw osobom, których dane były przetwarzane, co jak stwierdził Prezes UODO „ma poważny charakter, gdyż dotyczy podstawowych praw i wolności osób, których dane przetwarza spółka, jak również dotyczy jednej z podstawowych kwestii, jaką jest informacja o tym, że dane są przetwarzane”. Co więcej Prezes UODO podkreślił, iż „Administrator miał świadomość o ciążącym na nim obowiązku informacyjnym. Stąd decyzja o nałożeniu na ten podmiot kary w tej wysokości”. Oznacza to, iż naruszenie, którego dopuściła się spółka miało charakter umyślny.

RODO przewiduje możliwość nakładania przez Prezesa UODO administracyjnych kar pieniężnych. Ich wysokość zależy od rodzaju naruszenia - w przypadku braku realizacji obowiązku informacyjnego może wynieść do 20 000 000 euro, a w przypadku przedsiębiorców - 4 procent całkowitego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa (art. 83 ust. 5 lit. b RODO). Trzeba pamiętać, że organizacja pozarządowa prowadząca działalność gospodarczą jest traktowana jak przedsiębiorca.

Decyzje o nałożeniu kary pieniężnej oraz jej wysokości podejmowane są przez organ nadzoru po uwzględnieniu wielu okoliczności naruszenia, takich jak charakter, waga, okres jego trwania, kategorie naruszonych danych oraz umyślność lub nieumyślność jego powstania (art. 83 ust. 2 RODO). W każdym przypadku okoliczności te oceniane są indywidualnie.

Zakłada się, że kara powinna mieć skutek w zakresie prewencji generalnej i indywidualnej. To znaczy zapobiegać podobnym naruszeniom w przyszłości przez administratora, który dopuścił się naruszenia, jak również mieć charakter odstraszający dla innych podmiotów.

Prezes ukaranej spółki na łamach Dziennika Gazety Prawnej (źródło: Dziennik Gazeta Prawna z dnia 28 marca 2019 r.) oświadczył, iż wyrok Prezesa UODO zostanie zaskarżony do sądu administracyjnego. Bisnode nie zgadza się bowiem z interpretacją UODO dotyczącą proporcjonalności wysiłku związanego ze spełnieniem obowiązku informacyjnego. Stanowisko spółki sprowadza się do powołania się na przesłankę niewspółmiernie dużego wysiłku w realizacji obowiązku informacyjnego (art. 14 ust. 5 lit. b RODO), która zwalnia administratora danych ze spełnienia obowiązku informacyjnego. Przesłanki zastosowania tego wyjątku są jednak niejasne i budzą wiele wątpliwości.

Prezes UODO w decyzji w sprawie ukaranej spółki wskazuje, iż „wysłanie informacji o których mowa w at. 14 RODO pocztą tradycyjną na adres osoby fizycznej prowadzącej działalność gospodarczą, lub w drodze kontaktu telefonicznego nie jest czynnością niemożliwą oraz nie wymaga niewspółmiernie dużego wysiłku w sytuacji posiadania przez spółkę w bazie systemu informatycznego danych adresowych”. Oznacza to, że zgodnie ze stanowiskiem Prezes UODO bardzo wysokie koszty nie są równoznaczne z niewspółmiernie dużym wysiłkiem.

Przyjęcie takiego stanowiska wzbudza kontrowersje. Wydaje się, że pomijanie kwestii związanych z kosztami realizacji obowiązku informacyjnego może doprowadzić do sytuacji, w której na administratora nałożone są obowiązki, których nie może zrealizować. Z drugiej strony trzeba również pamiętać, że zgodnie z orzecznictwem Naczelnego Sądu Administracyjnego względy natury finansowej nie powinny być traktowane jako podstawa do sprzecznego z prawem przetwarzania danych osobowych (Wyrok Naczelnego Sądu Administracyjnego z 4 marca 2002 r., II SA 3144/01).

Kilka miesięcy przed nałożeniem kary na Bisnode Polska Prezes Urzędu Ochrony Danych Osobowych wydał decyzję (niepublikowaną) w sprawie portalu Rejestr.io prowadzonego przez Fundację ePaństwo (źródło: Dziennik Gazeta Prawna z dnia 28 marca 2019 r.). Fundacja pozyskiwała, podobnie jak ukarana spółka, dane z publicznych rejestrów. W tym jednak przypadku Prezes UODO stwierdził, iż fundacja miała prawo przetwarzać pozyskane dane nie spełniając przy tym obowiązku informacyjnego. Wynika to z różnych zakresów przetwarzanych danych. Fundacja przetwarzała jedynie adresy podmiotów ujawnione w KRS oraz dane osób pełniących w tych podmiotach funkcje, również jedynie w zakresie ujawnionym w KRS. Zatem spełnienie wobec tych osób obowiązku informacyjnego wymagałoby uzyskania dodatkowych informacji, takich jak adres zamieszkania, adres email lub numer telefonu. Danych tych nie ma w publicznym rejestrze, stąd zastosowanie ma wyjątek „niewspółmiernie dużego wysiłku”.

Pierwsza kara nałożona przez Prezesa Urzędu Ochrony Danych Osobowych wzbudziła wiele dyskusji i kontrowersji. Z decyzji tej można wywieść wnioski na przyszłość co do stanowiska organu w podobnych sprawach. Po pierwsze należy przyjąć, że obowiązek informacyjny jest zasadą, a odstąpienie od niego wymaga bardzo mocnych argumentów. Po drugie sam fakt braku środków finansowych nie jest argumentem usprawiedliwiającym naruszanie obowiązków wynikających z RODO. Po trzecie zaś wysokość nałożonej kary daje podstawy sądzić, że przesłanka prewencji generalnej jest potraktowana przez Prezesa Urzędu Ochrony Danych Osobowych bardzo poważnie i miał być to sygnał dla wszystkich podmiotów przetwarzających dane osobowe, że naruszenia przepisów będą surowo karane.

zobacz: opisywana w artykule decyzja Prezesa UODO, nakładająca karę na Bisnode, decyzje PUODO w serwisie uodo.gov.pl