Czy nadzorca RODO rusza do ofensywy?
Prawie rok po rozpoczęciu stosowania RODO polski organ nadzorczy – dotąd uważany za stosunkowo pobłażliwy – wymierzył pierwszą karę administracyjną na niebagatelną kwotę niemal 950 tysięcy złotych. Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) ukarał w ten sposób warszawską spółkę tworzącą bazy danych przedsiębiorców w oparciu o ogólnodostępne źródła takie jak CEiDG, KRS czy GUS. Powód? Niespełnienie obowiązku informacyjnego w stosunku do osób prowadzących jednoosobowe działalności gospodarcze, których dane znalazły się w bazach ukaranej spółki.
Jaka była przyczyna naruszenia? Oficjalne stanowisko UODO
Ukarana spółka, dysponując zakresem danych przedsiębiorców w postaci również ich danych kontaktowych (takich jak adres prowadzenia działalności, rzadziej adres e-mail), wysłała treść klauzuli informacyjnej w formie elektronicznej wszystkim osobom, których adresami e-mail dysponowała, natomiast w stosunku do reszty – z uwagi na olbrzymią, paromilionową liczbę rekordów i w oparciu o art. 14 ust. 5 RODO, zgodnie z którym administrator danych ma prawo zaniechać obowiązku informacyjnego, gdy okazuje się to „niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku”, – zdecydowała się na zaniechanie wysyłki tradycyjną drogą pocztową, szacując jej potencjalne koszty takiej wysyłki na ok. 30 (!) milionów złotych. Zamiast tego treść klauzuli została opublikowana na stronie internetowej spółki.
Z decyzji UODO wynika, że powyższa sytuacja nie wiąże się w opinii organu nadzorczego z „niewspółmiernie dużym wysiłkiem” dla administratora, w związku z czym przyjęte przez niego rozwiązanie w postaci publikacji klauzuli informacyjnej na stronie należy uznać za niewystarczające. Problematyczne w tym wszystkim jest, że dalej nikt nie jest w stanie nakierować administratorów na właściwe tory i pomóc im w interpretacji tego enigmatycznego określenia. Decyzja UODO jest natomiast jasnym sygnałem, że nawet wielomilionowe koszty nie mieszczą się pod pojęciem przedmiotowego niewspółmiernie dużego wysiłku.
Podczas konferencji prasowej w 26 marca 2019 r. Urząd zwracał uwagę, że osoby fizyczne, których dane widniały w bazie, nie miały o tym pojęcia i tym samym została im odebrana możliwość korzystania z przysługujących im na gruncie RODO praw. Na poparcie swojego stanowiska i wagi problemu przytoczone zostały dane liczbowe, zgodnie z nimi spółka dysponowała w sumie ok. 6 milionami rekordów, przy czym obowiązek informacyjny został spełniony tylko do 90 tys. osób, którzy udostępnili swój adres e-mail w publicznych rejestrach. Co więcej, w odpowiedzi na wiadomości e-mail od ukaranej spółki aż 12 tysięcy osób zgłosiło sprzeciw wobec przetwarzania ich danych w celach marketingowych.
»» O decyzji UODO czytaj tutaj:
Prawie milion złotych za złamanie RODO
Prezes UODO podkreśliła także, że umyślny charakter działań spółki – która mimo świadomości istnienia obowiązku informacyjnego w stosunku do osób w bazie – jest okolicznością dla administratora obciążającą, tak samo jak brak działań zmierzających do usunięcia naruszenia, ani nawet deklaracja takowych.
Eksperckim okiem
Nałożona kara budzi mnóstwo kontrowersji, od opinii skrajnie krytycznych po te pełne aprobaty dla decyzji Prezesa UODO. O ile cała sprawa wydaje się absurdem, a wiele osób nie ma złudzeń, że spółka podjęła rozsądne i proporcjonalne do swoich możliwości działania mające zapewnić spełnienie obowiązku z art. 14 RODO, a przygotowanie tak niebotycznej liczby przesyłek i ich wysyłka do adresatów wygenerowałaby koszty nieproporcjonalne w stosunku do potencjalnych zysków, o tyle prawdą jest, że osoby, których dane znalazły się bazie, zostały pozbawione możliwości korzystania z przysługujących im na gruncie RODO praw. Sprawa byłaby oczywista, gdyby spółka nie podjęła żadnych działań zmierzających do spełnienia obowiązku informacyjnego, natomiast fakt publikacji klauzuli na stronie i wysyłka mailowo jasno wskazują, że administrator podjął pewne, choć zdaniem Urzędu niewystarczające, kroki w kierunku zgodności z RODO. Ciekawym jest także, że Urząd „dla przykładu” postanowił ukarać organizację przetwarzającą dane przedsiębiorców, w stosunku do których jeszcze niedawno część przepisów związanych z ochroną danych osobowych, w tym tych dotyczących spełniania obowiązku informacyjnego, w ogóle nie miała zastosowania.
UODO nie ujawnił tożsamości ukaranego administratora, nieznane są również szczegóły sprawy, w tym przede wszystkim wszystkie cele, w których dane były przetwarzane. Należy jednak zadać sobie pytanie, czy w omawianej sytuacji doszło do znaczącego naruszenia praw osób fizycznych, których dane znalazły się w bazie – przecież dane te są jawne, widnieją w publicznych, dostępnych przez internet rejestrach, a dostęp może mieć do nich każdy.
Pewnym jest to, że Urząd przywiązuje dużą wagę do spełniania obowiązku informacyjnego, a nałożenie tak surowej kary należy czytać jako przestrogę dla organizacji, które często z wygody czy nadmiernych oszczędności część wynikających z RODO obowiązków traktują „po macoszemu”. Czujność przedsiębiorców została uśpiona przez stosunkowo niewielką aktywność Urzędu po 25 maja 2018 r., który mimo zapowiedzi o rozpoczętych kontrolach aż do stycznia br. wstrzymywał się z nakładaniem kar, teraz jednak tak zdecydowane działania z pewnością przyczynią się do wzmożonej „ostrożności” administratorów. Takie podejście rekomendowane jest także przez naszą firmę, ponieważ w kuluarach mówi się o zbliżających się dwóch kolejnych karach, a to i tak może być tylko początkiem ofensywy Urzędu Ochrony Danych Osobowych.
Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24