Milion złotych kary za RODO

Dnia 26 marca br. UODO ogłosiło nałożenie pierwszej kary administracyjnej na podstawie rozporządzenia w sprawie PKB w wysokości prawie 1 mln PLN (ok. 230 000 EUR). Grzywnę nałożono na brokera danych za niedostarczenie informacji o prywatności do ok. 6,6 mln osób fizycznych prowadzących działalność gospodarczą.

Kilka słów o stanie faktycznym wydanej decyzji:

1. Kontrolą objęto przetwarzanie przez Spółkę danych osobowych pozyskanych ze źródeł publicznie dostępnych, w tym z rejestrów publicznych (m.in. KRS, CEIDG, bazy REGON, GUS). W zakresie danych pobieranych z CEIDG Spółka przetwarzała dane osób fizycznych prowadzących jednoosobową działalność gospodarczą, (zarówno tych aktywnych, zawieszonych, jak również wykreślonych już z rejestru). Zakres danych przetwarzanych o przedsiębiorcach Spółka obejmował ich dane adresowe (adres rejestrowy, adres do korespondencji lub adres operacyjny), w niektórych przypadkach również adres e-mail lub numer telefonu.
   
   
2. Realizując obowiązek informacyjny Spółka: (i) wysłała klauzule informacyjną drogą mailową do przedsiębiorców, których adres mailowy posiadała (ok.12% podmiotów z bazy) oraz (ii) umieściła na swojej stronie internetowej informacje o przetwarzaniu danych osobowych przez Spółkę.
   
   
3. Spółka nie podjęła decyzji o wysyłce SMSów (mimo posiadania części numerów do podmiotów danych), czy też tradycyjnej korespondencji mimo posiadania adresów) wskazując, iż koszt wysyłki listów poleconych jest tak wysoki, iż stanowiłby właściwie równowartość obrotu Spółki za ubiegły rok. W ocenie Spółki tak wysokie koszty stanowią "niewspółmiernie duży wysiłek", który jest przesłanką wyłączającą realizację obowiązku informacyjnego określoną w art. 14 ust. 5 RODO.

Stanowisko PUODO:

1. W wyniku przeprowadzonych działań Prezes UODO zarzucił Spółce niedopełnienie obowiązku informacyjnego wobec osób prowadzących jednoosobową działalność gospodarczą. Urząd przyjął, że w badanej przez niego sprawie nie znajdzie zastosowania wyłączenie obowiązku informacyjnego, na które powoływała się Spółka, a samo zamieszczenie informacji na stronie internetowej Spółki, w sytuacji w której posiada ona adresy pomiotów danych i może wysłać te informacje bezpośrednio do podmiotów danych – nie może być uznane za wystarczające do realizacji obowiązku informacyjnego.
   
   
2. Prezes Urzędu podkreślił, że z przepisów nie wynika konieczność wysłania przesyłki listem poleconym, a więc dopuszczalne jest zastosowanie przesyłki nierejestrowanej, przy czym administrator nadal musi wykazać, że obowiązek został przez niego spełniony.
   
   
3. Określając wymiar kary finansowej Prezes UODO – analizując przesłanki z art. 83 RODO – stwierdził że naruszenie ma poważny charakter, bowiem dotyczy podstawowych praw i wolności, a działalność Spółki ma charakter profesjonalny oraz zarobkowy i stanowi jej podstawy przedmiot działalności. Spółce przypisana została umyślność w naruszeniu przepisów, bowiem uznano, iż podjęła świadomą decyzję motywowaną chęcią uniknięcia dodatkowych nakładów finansowych o nierealizowaniu wobec osób fizycznych. Dodatkowo wskazano, iż powoływanie się przez Spółkę na wysokie koszty realizacji obowiązku stanowi okoliczność działającą na jej niekorzyść, bowiem świadczy o obniżeniu wartości praw osób, których dane dotyczą w stosunku do finansów Spółki, co Urząd nie uznał za zgodne z RODO.
   
   
4. Za okoliczności obciążające Prezes UODO uznał również dużą ilość podmiotów dotkniętych naruszeniem, czas trwania naruszenia oraz możliwe konsekwencje dla podmiotów danych, do których zaliczył: niewiedzę podmiotów danych o procesach przetwarzania oraz o możliwości skorzystania z przysługujących im praw.
   
   
5. Wreszcie na wymiar kary miało wpływ również założenie, aby był ona "skuteczna, proporcjonalna oraz odstraszająca" i aby nie dała się "wkalkulować" w koszty prowadzonej Spółki.

Rozstrzygnięcie zawarte w sentencji decyzji:

1. Na podstawie decyzji została nałożona kara w wysokości 220 tys. Euro, a także obowiązek podania informacji zawartych w art. 14 ust. 1 i 2 RODO w terminie 3 miesięcy od dnia doręczenia decyzji.
2. Od decyzji przysługuje skarga do Wojewódzkiego Sądu Administracyjnego w terminie 30 dni od dnia doręczenia.

Komentarz Bird & Bird:

1. Wydaje się, że z tej decyzji wynika kilka dobrych wiadomości dla biznesu:
   
   • UODO nie kwestionował podstawy prawnej przetwarzania pobranych danych osobowych, a możemy przypuszczać że taką przesłanką jest uzasadniony interes administratora danych
   • Administratorzy danych nie muszą powiadamiać członków organów spółek, których dane pochodzą z rejestrów publicznych
   • Administratorzy danych mogą wysyłać klauzule informacyjne używając przesyłek typu "list zwykły" (nie ma obowiązku używania przesyłek typu "list polecony"), co zmniejsza koszty
2. Decyzja wpłynie na brokerów danych oraz ich klientów oraz wszystkich innych administratorów danych, którzy zbierają dane ze źródeł publicznych. Aby ograniczyć ryzyko w tym zakresie można rozważyć zmianę swojego modelu biznesowego w celu ukształtowania usługi jako procesora bardziej niż kontrolera. Jednak klienci, którzy korzystają z usługi brokera danych, jeśli są uważani za administratora danych, powinni również rozważyć powiadomienie przedsiębiorców, których dane pozyskali. W rezultacie będziemy mieć więcej informacji o prywatności w naszych skrzynkach pocztowych i naszych skrzynkach SMS.
   
   
3. Uważamy, że istnieją mocne argumenty, by stwierdzić, że wydawanie tak dużo pieniędzy na przesłanie ogłoszenia informacyjnego należy uznać za niewspółmiernie duży wysiłek. Powinna istnieć równowaga między kosztem wysłania zawiadomienia a możliwością prowadzenia działalności. Powinniśmy pamiętać, że informacje dotyczą przedsiębiorców indywidualnych i konsumentów, a przedsiębiorcy indywidualni powinni oczekiwać, że jeśli ich dane będą publicznie dostępne, zostaną w jakiś sposób ponownie wykorzystane.

Niniejszy alert prawny ma charakter wyłącznie informacyjny i nie stanowi porady, ani opinii prawnej.

Dokładamy najwyższych starań, aby informować Państwa o aktualnym stanie prawnym oraz przedstawiać potencjalne konsekwencje omawianych regulacji dla biznesu. Ocena prawna konkretnej sprawy wymaga analizy okoliczności faktycznych i może odbiegać od informacji przedstawionych w newsletterze. W celu uzyskania porady prawnej w konkretnej sprawie, prosimy o kontakt z autorami newslettera.

Wszelkie informacje pozaprawne prezentowane w newsletterze, w tym dotyczące warunków rynkowych, specyfiki danej branży, opinii uczestników rynku i nie stanowią opinii autorów newslettera, ani Kancelarii Bird & Bird.

Kancelaria Bird & Bird nie może zagwarantować, że wszystkie informacje zawarte w newsletterze są kompletne, dokładne i przydatne. Kancelaria Bird & Bird nie ponosi odpowiedzialności za działania podjęte na podstawie informacji z newslettera, bez uzyskania indywidualnej porady prawnej.