Powrót do wszystkich artykułówW dniu 15 marca 2019 r. została wydana pierwsza decyzja Prezesa Urzędu Ochrony Danych Osobowych. Prezes UODO – dr Edyta Bielak–Jomaa – nałożyła na warszawską spółkę karę za naruszanie ochrony danych osobowych w wysokości niemalże miliona złotych (220 tysięcy euro).
Na czym polegało naruszenie ochrony danych osobowych?
Spółka, na którą nałożona została kara, w ramach prowadzonej działalności gospodarczej, gromadzi dane osobowe pozyskiwane ze źródeł ogólnodostępnych – w szczególności z Centralnej Ewidencji i Informacji o Działalności Gospodarczej oraz Krajowego Rejestru Sądowego – w celu tworzenia z nich bazy danych pozwalającej na weryfikację wiarygodności przedsiębiorców. W związku z prowadzonym przetwarzaniem, na ukaranej spółce ciążył zgodnie z przepisem art. 14 ust. 1 i 2 RODO obowiązek informacyjny w stosunku do wszystkich osób, których dane znalazły się w prowadzonej bazie danych. Spółka zdecydowała się na bezpośrednie wypełnienie wspomnianego wyżej obowiązku jedynie w stosunku do osób, które podały w oficjalnych rejestrach swój adres e-mail. W pozostałym zakresie postanowiła natomiast wypełnić obowiązek informacyjny poprzez publikację klauzuli na stronie internetowej, opierając się na przepisie art. 14 ust. 5 lit. b) RODO, zgodnie z którym administrator nie musi wypełniać obowiązku informacyjnego w stosunku do osób, których dane pozyskał niebezpośrednio od nich w przypadku, w którym udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Za „niewspółmiernie duży wysiłek” spółka uznała skierowanie do osób fizycznych wiadomości sms oraz przesyłek pocztowych zawierających klauzule informacyjne uzasadniając, iż koszty tego rodzaju działań byłyby zbyt wysokie. Ostatecznie obowiązek informacyjny nie został wypełniony w sposób bezpośredni w stosunku do ponad 6 milionów osób fizycznych. W treści swojej decyzji Prezes Urzędu Ochrony Danych Osobowych wskazała, iż spółka miała absolutny obowiązek bezpośrednio poinformować o przetwarzaniu danych wszystkie osoby, których dane przetwarza oraz, że argument finansowy nie jest wystarczający dla przyjęcia, iż wypełnienie obowiązku informacyjnego wymaga niewspółmiernie dużego wysiłku.
Czy wysokość kary jest proporcjonalna do skali naruszenia?
Prezes Urzędu Ochrony Danych Osobowych uznała, że – w szczególności ze względu na umyślny charakter działania spółki oraz na powagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad RODO – rzetelności i przejrzystości oraz prawa do informacji – nałożona kara jest proporcjonalna do wagi naruszenia.
Dla większości przedsiębiorców oraz środowiska prawniczego wysokość kary stanowi jednak duże zaskoczenie – szczególnie biorąc pod uwagę fakt, iż została ona nałożona na przedsiębiorcę, który wdrożył RODO w swojej działalności, dokonując jedynie błędnej interpretacji przepisów rozporządzenia. Spółce przysługuje prawo do wniesienia skargi na decyzję PUODO do Wojewódzkiego Sądu Administracyjnego. Wniesienie skargi czasowo wstrzymuje wykonanie kary.
Co nałożenie pierwszej kary oznacza dla innych przedsiębiorców?
Prezes Urzędu Ochrony Danych Osobowych wskazuje, że nie będzie pobłażać przedsiębiorcom naruszającym przepisy. Po wejściu w życie RODO Urząd zwiększył zatrudnienie o ponad 100 osób oraz uruchomił szereg kontroli sektorowych – w 2019 roku będą to w szczególności obszary takie jak telemarketing, profilowanie w sektorze bankowym i ubezpieczeniowym czy system identyfikacji i monitoringu odpadów.
Kontroli mogą się więc spodziewać wszyscy przedsiębiorcy, którzy muszą pamiętać, że prowadzone przez nich przetwarzanie (w tym również w zakresie wypełniania obowiązków informacyjnych) musi być w sposób jak najbardziej skrupulatny dostosowane do przepisów RODO.
