Pierwsza w Polsce kara za naruszenie przepisów RODO - milion złotych

Urząd Ochrony Danych Osobowych nałożył pierwszą karę za naruszenie przepisów o ochronie danych osobowych. Na Bisnode Polska została nałożona kara w wysokości 943 tys. złotych za niedopełnienie obowiązku informacyjnego.

Pierwsza w Polsce kara za naruszenie przepisów RODO - milion złotych

Dorota Kraskowska

26 marca 2019

Urząd Ochrony Danych Osobowych nałożył pierwszą karę za naruszenie przepisów o ochronie danych osobowych. Na Bisnode Polska została nałożona kara w wysokości 943 tys. złotych za niedopełnienie obowiązku informacyjnego.

Kontrolą objęto przetwarzanie danych osobowych przez spółkę, pozyskiwanych ze źródeł publicznie dostępnych, w tym z rejestrów publicznych, m.in.:

1) Rejestru Przedsiębiorców Krajowego Rejestru Sądowego,

2) Centralnej Ewidencji i Informacji o Działalności Gospodarczej,

3) Bazy REGON Głównego Urzędu Statystycznego.

Zebrane dane osobowe były oferowane przez firmę użytkownikom, chcącym zweryfikować wiarygodność różnych przedsiębiorców. Co takiego nie spodobało się UODO, że w konsekwencji firma za takie praktyki została ukarana wysoką grzywną? Otóż firma poinformowała o zbieraniu i przetwarzaniu danych osobowych tylko tych przedsiębiorców, którzy w którymś z wymienionych wyżej rejestrów podali adresy e-mail, przy czym dotyczy to zarówno przedsiębiorców, którzy aktualnie prowadzą działalność gospodarczą bądź tę działalność zawiesili, jak i o tych, którzy tej działalności gospodarczej już nie prowadzą, lecz prowadzili ją w przeszłości. Przedsiębiorcy, którzy nie wskazali swoich adresów e-mail, nie zostali poinformowani o zbieraniu i przetwarzaniu ich danych osobowych. UODO podkreśla, że wiele osób, których dane przetwarza ta firma, nie miała o tym pojęcia. Kara została nałożona właśnie za niedopełnienie obowiązku informacyjnego.

- Spółka nie dopełniła obowiązku informacyjnego w stosunku do ponad 6 mln osób. Spośród około 90 tys. osób, których spółka poinformowała o przetwarzaniu danych, ponad 12 tys. wniosło sprzeciw wobec przetwarzania ich danych. Pokazuje to, jak ważne jest prawidłowe spełnienie obowiązków informacyjnych dla realizacji uprawnień przysługujących nam zgodnie z RODO — mówi Piotr Drobek, Dyrektor Zespołu Analiz i Strategii w UODO.

Przepis RODO stanowią, że nie ma obowiązku informowania o przetwarzaniu danych, jeśli wymagałoby to niewspółmiernie dużego wysiłku w porównaniu do korzyści uzyskanych z takiej działalności — na to powołała się ukarana spółka.

Czytaj także:

Nowe obowiązki informacyjne administratora danych

Treść zgody i obowiązki informacyjne według RODO

RODO, czyli o czym mowa w art. 14 ust. 1-3? Omówienie prawne decyzji UODO    

Prezes Urzędu Ochrony Danych Osobowych zarzucił ukaranej spółce naruszenie przepisów RODO polegające na niepodaniu informacji zawartych w art. 14 ust 1 i 2 RODO wszystkim osobom fizycznym, których dane osobowe spółka przetwarza, prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalności.

Zgodnie z art. 14 ust. 1 rozporządzenia 2016/679, jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:

  1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela,

  2. gdy ma to zastosowanie — dane kontaktowe inspektora ochrony danych,

  3. cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania,

  4. kategorie odnośnych danych osobowych,

  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,

  6. gdy ma to zastosowanie — informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu udostępnienia.

Natomiast z treści art. 14 ust. 2 rozporządzenia 2016/679 wynika, że poza informacjami, o których mowa powyżej, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:

  1. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,

  2. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) — prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią,

  3. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,

  4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) — informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,

  5. informacje o prawie wniesienia skargi do organu nadzorczego,

  6. źródło pochodzenia danych osobowych, a gdy ma to zastosowanie — czy pochodzą one ze źródeł publicznie dostępnych,

  7. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz — przynajmniej w tych przypadkach — istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Artykuł 14 ust. 3 rozporządzenia 2016/679 wskazuje, w jakim czasie administrator winien zrealizować obowiązek informacyjny, o którym mowa w ust. 1 i 2, czyli:

  1. w rozsądnym terminie po pozyskaniu danych osobowych — najpóźniej w ciągu miesiąca — mając na uwadze konkretne okoliczności przetwarzania danych osobowych,

  2. jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą — najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą lub

  3. jeżeli planuje się ujawnić dane osobowe innemu odbiorcy — najpóźniej przy ich pierwszym ujawnieniu.

W przypadku ukaranej spółki obowiązek, o którym mowa w art. 14 rozporządzenia 2016/679, został przez spółkę dopełniony wyłącznie w odniesieniu do 682 439 osób fizycznych prowadzących działalność gospodarczą, których dane osobowe spółka przetwarza w systemie informatycznym, odnośnie których spółka posiadała adres elektroniczny (adres e-mail) i wysłała korespondencję elektroniczną zawierającą „Informację o przetwarzaniu danych osobowych”.

Natomiast, przedmiotowy obowiązek wynikający z art. 14 rozporządzenia 2016/679 nie został przez spółkę spełniony w stosunku do pozostałych osób fizycznych prowadzących działalność gospodarczą, których dane są przetwarzane w systemie informatycznym, czyli takich, których adresów poczty elektronicznej (e-mail) spółka nie posiadała. Z ustaleń Prezesa UODO wynika, że spółka nie spełniła tego obowiązku wobec tych osób fizycznych prowadzących działalność gospodarczą, co do których nie posiadała adresu e-mail w swojej bazie danych, przy czym zarówno chodzi o przedsiębiorców, którzy prowadzą aktualnie działalność gospodarczą („nie zamknęli” tej działalności są aktywni, bądź zawieszeni), jak i o tych, którzy zaprzestali prowadzenia działalności gospodarczej.

Prezes UODO stwierdził również, że samo umieszczenie informacji, wymaganych w art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679, na stronie internetowej spółki, w sytuacji posiadania przez spółkę danych adresowych (a niekiedy również numerów telefonów) osób fizycznych prowadzących jednoosobową działalność gospodarczą (aktualnie lub w przeszłości), umożliwiających przesłanie pocztą tradycyjną korespondencji zawierającej wymagane tym przepisem informacje (lub przekazanie ich drogą kontaktu telefonicznego), nie może być uznane za wystarczające spełnienie przez spółkę obowiązku, o którym mowa w art. 14 ust. 1-3 rozporządzenia 2016/679.

Przepisy RODO a niewspółmiernie duży wysiłek — jak to rozumieć?

Ukarana spółka powołała się na przepis RODO stanowiący, że nie ma obowiązku informowania o przetwarzaniu danych, jeśli wymagałoby to niewspółmiernie dużego wysiłku w porównaniu do korzyści uzyskanych z takiej działalności.

RODO w swoich zapisach daje możliwość odstąpienia od spełnienia obowiązku informacyjnego w stosunku do osoby której dane dotyczą, m.in. w sytuacji, gdyby wymagałoby to niewspółmiernie dużego wysiłku, jednakże określenie to jest tym samym bardzo ocenne i nie ma jego ustawowej definicji. W każdym przypadku ta kwestia będzie oceniana bardzo indywidualnie, w zależności od kontekstu danej sprawy, wagi naruszenia, możliwości spełnienia obowiązku informacyjnego itp.

W przypadku wydanej obecnie decyzji, Prezes UODO stwierdził, że przesłanka wyłączająca spełnienie obowiązku informacyjnego w zakresie, w jakim: udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, nie znajdzie zastosowania w odniesieniu do osób fizycznych prowadzących działalność gospodarczą, których dane osobowe spółka przetwarza.

W ocenie Prezesa UODO wysłanie bowiem informacji, o których mowa w art. 14 rozporządzenia 2016/679 pocztą tradycyjną, na adres osoby fizycznej prowadzącej działalność gospodarczą, lub w drodze kontaktu telefonicznego, nie jest czynnością „niemożliwą” oraz nie wymaga „niewspółmiernie dużego wysiłku”, w sytuacji posiadania przez spółkę w bazie systemu informatycznego danych adresowych, w odniesieniu do osób fizycznych, prowadzących jednoosobową działalność gospodarczą (aktualnie lub w przeszłości), a także dodatkowo — numerów telefonów — w odniesieniu do części tych osób.

Prezes UODO podkreśla przy tym ważną kwestię, że w odróżnieniu do ww. osób fizycznych, odmienna jest sytuacja osób będących udziałowcami lub członkami organów spółek i innych osób prawnych, których dane spółka przetwarza. W rejestrach publicznych (w szczególności w Rejestrach KRS) brak jest bowiem danych teleadresowych tych osób, w związku z czym spółka musiałaby poszukiwać tych danych w innych źródłach, co już mogłoby stanowić dla spółki „niewspółmiernie duży wysiłek".

Odnośnie kosztów na jakie powołuje się spółka, tzn. wysokości powiadomienia, Prezes UODO wskazuje natomiast, że spółka prowadzi działalność gospodarczą na polskim rynku od ponad 25 lat. W stosunku do części osób posiadała jedynie numery telefonów komórkowych, co oznacza, że mogła spełnić obowiązek informacyjny za pośrednictwem tego narzędzia komunikacji. Jeśli zaś chodzi o te osoby, co do których spółka dysponuje wyłącznie adresami korespondencyjnymi, Prezes UODO wskazał, że z przepisów nie wynika, żeby administrator miał obowiązek wysyłania takiej informacji np. przesyłką poleconą, chodzi o to by tylko administrator mógł stosownymi dowodami wykazać, że ów obowiązek informacyjny został przez niego spełniony wobec podmiotów, których dane osobowe przetwarza. Istotą spełnienia obowiązku jest takie działanie administratora w sposób czynny, aktywny wobec osoby, której dane dotyczą, poprzez podanie tej osobie określonych przepisami RODO informacji.

Niezależnie od wskazanych wyżej metod spełnienia obowiązku informacyjnego, w ocenie Prezesa UODO spółka może zrealizować go w dowolny sposób.

Jako pierwsza kara nałożona w Polsce za naruszenie przepisów RODO, wzbudza dziś duże emocje wśród komentatorów. Prezes UODO swoją decyzją nałożył na spółkę nie tylko karę finansową, ale i konieczność spełniania obowiązku informacyjnego.

Spółka zaskarżyła decyzję wyroku do Wojewódzkiego Sądu Administracyjnego. Bisnode Polska nie zgadza się z interpretacją UODO dotyczącą proporcjonalności wysiłku związanego z obowiązkiem informacyjnym (art. 14 ust. 5 lit. b RODO).

Na pewno temat będziemy dla Państwa monitorować.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!