Pierwsza kara nałożona przez Edytę Bielak-Jomaa, prezes UODO, wynosi 943 tysiące złotych. Spółka Bisnode ma zapłacić za to, że nie wysłała do każdej osoby prowadzącej działalność gospodarczą informacji o tym, że przetwarza jej dane. Decyzja już wzbudza kontrowersje wśród prawników, bo chodzi o dane pozyskane z jawnych rejestrów, a spełnienie obowiązku informacyjnego może kosztować spółkę miliony złotych.

Pierwsza kara nałożona przez Edytę Bielak-Jomaa, prezes UODO, wynosi 943 tysiące złotych. Spółka Bisnode ma zapłacić za to, że nie wysłała do każdej osoby prowadzącej działalność gospodarczą informacji o tym, że przetwarza jej dane. Decyzja już wzbudza kontrowersje wśród prawników, bo chodzi o dane pozyskane z jawnych rejestrów, a spełnienie obowiązku informacyjnego może kosztować spółkę miliony złotych.

Prezes UODO nałożyła pierwszą karę, w związku z naruszeniem unijnego rozporządzenia o ochronie danych osobowych. 15 marca ukarała jedną z firm zajmujących się dostarczaniem informacji o kontrahentach. Zarzuciła jej, że nie dopełniła obowiązku informacyjnego wobec osób prowadzących jednoosobową działalność gospodarczą i nałożyła 220 tys. euro kary. Chodzi o dane 3,6 mln osób prowadzących aktualnie działalność gospodarczą i 2,33 mln tych, którzy ją zawiesili. UODO nie podało jednak, kogo ukarało. W środę spółka Bisnode poinformowała, że to ona jest adresatem decyzji.

Czytaj również:

Firma ukarana milionową karą za naruszenie RODO odwoła się do sądu >>

Prezes UODO: Nie ma jednej formy spełnienia obowiązku informacyjnego >>

Zgodnie z RODO, karę na złotówki przelicza się po kursie z dnia 28 stycznia roku, w którym została nałożona, czyli z dnia ochrony danych osobowych. Daje to ok. 950 tys. złotych. Pieniądze te zasilą budżet państwa.

Eksperci nie mają wątpliwości, że kara jest wysoka, a Prawo.pl ustaliło, że UODO zamierza jeszcze wymierzyć dwie inne. W pierwszej sprawie nie była kwestionowana podstawa przetwarzania danych, tylko nie spełnienia obowiązku informacyjnego. Pierwsza decyzja UODO wpłynie też na inne branże. Spowoduje, że wykonywanie go stanie się bardziej powszechne. Eksperci mają jednak wątpliwości, czy powinien być on spełniany wobec danych pochodzących z publicznych rejestrów: Centralnej Ewidencji Działalności Gospodarczej (CEDiG), Krajowego Rejestru Sądowego (KRS), GUS czy Monitora Sądowego i Gospodarczego. W omawianej sprawie wykonanie oznaczałoby konieczność wydania nawet 30 mln złotych na wysłanie listu do kilku milionów osób, choć padają też niższe kwoty. UODO podkreśla również, że obowiązek można spełnić w innej formie. Nie wszyscy zgadzają się z taką opinią.

Zobacz w LEX:

Praktyczne omówienie obowiązku informacyjnego w świetle RODO >

Jak przygotować się na kontrolę inspektorów UODO w zakresie zgodności wykorzystywanego monitoringu wizyjnego z przepisami RODO >

UODO sieje strach

- Kara, w kontekście rodzaju naruszenia przepisów, jakim jest niewypełnienie obowiązku informacyjnego, wydaje się być niewspółmierna do wagi tego naruszenia - wskazuje Krzysztof Szura, radca prawny z kancelarii NGL Wiater. - Fakt niepoinformowania osób fizycznych o przetwarzaniu ich danych osobowych nie powoduje automatycznie, że w istotny sposób zostały naruszone ich prawa i wolności. Na ocenę wysokości kary powinno wpłynąć też to, czy organ nadzorczy rozważał nałożenie innych środków mających na celu doprowadzenie do zgodnego z prawem przetwarzania danych - podkreśla mec. Szura. Prezes UODO uzasadnia, że wysokość kary powinna być na tyle duża, by ukarany nie wkalkulował jej w koszty swojej działalności. Ustalając ją brał pod uwagę m.in. świadome podjęcie decyzji o niezrealizowaniu obowiązku informacyjnego. Prezes podkreśla też, że spółka od lat nie spełniała obowiazku. Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński, zwraca uwagę na inny problem. Jego zdaniem kara jest zbyt wysoka, bo kwestia, czy w takim stanie faktycznym istniał obowiązek informacyjny, może budzić wątpliwości.





Kara za oszczędzanie na listach

Zgodnie z art. 14 RODO, jeżeli danych nie pozyskano od osoby, której dotyczą, administrator ma jej przekazać pewne informacje. Wśród nich powinny być kategorie przetwarzanych danych, podstawa prawna i cel przetwarzania, informacja o tym, komu są przekazywane, i czy poza granice Unii, jak zostały pozyskane, czy ze źródeł publicznych oraz o przysługujących prawach. Paweł Litwiński zauważa jednak, że RODO zwalnia z tego obowiązku, jeżeli jego wykonanie jest niemożliwe lub gdy wiązałoby się z „niewspółmiernie dużym wysiłkiem".

Zobacz procedurę w LEX: Realizacja obowiązku informacyjnego przy gromadzeniu danych osobowych >

Ukarana przez prezes UODO firma, nie wysłała pocztą wymaganych informacji, właśnie z powodu wysokich kosztów. Poinformowanie wszystkich osób mogłoby ją kosztować nawet 30 mln złotych, czyli więcej, niż obrót firmy. Dlatego informację umieściła na swojej stronie internetowej. Przesłała ją też elektronicznie do tych, których miała adres mailowy.

UODO uznał to za naruszenie RODO. Wskazał, że skoro firma posiada adresy osób fizycznych, to powinna je poinformować, że przetwarza ich dane. A pozyskując dane z CEIDG, ma adres, gdzie działalność została zarejestrowana, a czasami nawet numer telefonu. Może więc wysłać tradycyjny list czy sms. Prezes UODO uznała, że gdyby firma musiała te dane pozyskiwać, dopiero wówczas byłby to niewspółmiernie duży wysiłek.

Czytaj również: Kto jest oficjalnym kandydatem PiS na nowego szefa UODO >>

– Powstaje pytanie, czy koszt był rzeczywiście niewspółmierny i do czego trzeba odnosić ten „wysiłek”? – pyta Paweł Litwiński. Jego zdaniem, koszty mają znaczenie. – Zależnie od tego, kogo dane dotyczą, koszty wysyłki powinny przesądzić o tym, że obowiązek informacyjny będzie wyłączony – uważa Paweł Litwiński. Tyle, że powoływanie się na milionowe koszty wysyłki, nie przekonuje UODO, a wręcz jest argumentem za nałożeniem kary. Paweł Litwiński zwraca jeszcze uwagę, że ważne jest, czyje dane są przetwarzane.

Zobacz w LEX: Środki ochrony prawnej przysługujące w razie naruszenia ochrony danych >

Przedsiębiorca to nie Kowalski

Dane podawane przez przedsiębiorców podczas zakładania działalności gospodarczej do CEIDG są jawne. Są publicznie dostępne i każdy z nas może do nich zajrzeć. – Tu mamy dane przedsiębiorców z jawnych ewidencji, z którymi codziennie zapoznają się miliony osób. To znaczy, że istniejące po ich stronie uzasadnione oczekiwanie prywatności jest mniejsze, bo ich dane są z definicji jawne – uważa Paweł Litwiński. Dlatego, jego zdaniem, obowiązek wysłania listu jest wymaganiem niewspółmiernym. Edyta Bielak-Jomaa,prezes UODO, zauważa, że wśród danych były też rekordy osób, które wyrejestrowały lub zawiesiły swoją działalność. Zdaniem Macieja Gawrońskiego, radcy prawnego, partnera w Gawroński & Piecuch w takich sytuacjach, gdy chodzi o poinformowanie milionów, firma mogła była wybrać formę kampanii telewizyjnej. - Koszt nadanie kilkunastu lub kilkudziesięciu ogłoszeń w jednym z głównych darmowych kanałów naziemnej telewizji cyfrowej zapewne nie byłby wyższy niż wysokość kary nałożonej przez UODO - zauważa Gawroński. Nie wiadomo jednak, czy uznano by to za spełnienie obowiązku informacyjnego. - W decyzji nie wskazaliśmy, że spółka musi wysłać informację listem poleconym. Wręcz napisaliśmy, że nie musi. To spółka musi zdecydować jak zrealizować obowiązek, do wyboru ma różne formy, w tym ogłoszenia w mediach - podkreśla prezes UODO. Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji nie mam pewności, czy taka realizacja obowiązku byłaby skuteczna. - Byłbym bliższy stanowiska, że nie. Nie mamy przecież pewności, ze informacja do osób zainteresowanych dotrze. Powiedziałbym nawet, że bardziej prawdopodobne jest, że do osób takich trafi informacja udostępniona na stronie internetowej danej firmy, którą mogą odwiedzać - uważa Maciej Kawecki. I dodaje, że realna wysokość kar może być wyższa niż kwoty wskazane w samej decyzji. - Istotą decyzji jest bowiem nie ukaranie, ale wezwanie do usunięcia naruszenia. Usuwanie naruszenia może czasami kosztować więcej, niż sama kara. To faktycznie podwyższa jej realną wysokość - mówi Kawecki.

KRS to nie to samo co CEIDG

Warto przypomnieć, że w styczniu dr Edyta Bielak–Jomaa wydała decyzję w sprawie przetwarzania danych pochodzących z Krajowego Rejestru Sądowego przez portal rejestr.io prowadzony przez Fundację ePaństwo. Uznała, że wolno gromadzić dane osobowe dostępne w publicznych rejestrach i udostępniać je odpłatnie przez internet. Właściciele witryn powielających dane, np. z KRS nie muszą ani informować o tym osób, których te dane dotyczą, ani respektować ich prawa do sprzeciwu. Ponadto swego czasu toczył się spór pomiędzy spółką Info Veriti a prezesem GIODO o obowiązek informacyjny. Wówczas funkcję tę pełnił Wojciech Wiewiórowski, który nakazał spółce poinformować osoby o tym, że przetwarza ich dane pozyskane z KRS. Wówczas, zdaniem GIODO, tylko w ten sposób mogły one skorzystać z przysługujących im praw, np. sprawdzenia, czy ich dane są poprawne. Naczelny Sąd Administracyjny uznał jednak, że firma nie musi spełniać obowiązku informacyjnego właśnie z powodu jego wysokich kosztów. Tyle, że to dotyczyło danych z KRS, a więc kosztem byłoby jeszcze ustalenie adresu doręczeń. NSA wskazał, że sankcja powinna być adekwatna, współmierna do stopnia naruszenia prawa, a także winna uwzględniać zagrożenie praw osoby, której dane dotyczą.

Inne branże muszą mieć się na baczności

Prawnicy podkreślają jednak, że kara sprawi, że firmy będą częściej informować o przetwarzanych danych. – Obowiązek informacyjny dotyczy praktycznie każdej branży, np. firm z sektora telemarketingu, nowych technologii. Decyzja powinna zatem spowodować, że jego wykonywanie stanie się bardziej powszechne – komentuje Paweł Litwiński. W sektorze prywatnym zaś UODO kontroluje w szczególności firmy telemarketingowe, banki i ubezpieczycieli. Maciej Gawroński uważa, że ta decyzja pokazuje, że UODO zwraca uwagę na spełnianie obowiązku informacyjnego. – Widać, że nie można podchodzić do niego pobieżnie. Niezbędne informacje muszą być przekazane tak, aby osoba, której dotyczą je zrozumiała i znała swoje prawa – uważa mec. Gawroński. I przypomina, że francuski odpowiednik Urzędu Ochrony Danych Osobowych nałożył na Google 50 mln euro kary za utrudnianie dostępu do informacji o zasadach przetwarzania danych. Zarzucił, że użytkownicy nie są w stanie łatwo sprawdzić, jakie dane są przetwarzane i przez jaki czas. - Polska kara może wydawać się wysoka jak za samo niespełnienie obowiązku informacyjnego z powołaniem się na niewspółmiernie duży wysiłek. Weźmy jednak pod uwagę szczególne okoliczności sprawy: kilka milionów osób objętych przetwarzaniem, w tym połowa już nie prowadziła działalności. Patrząc na skalę, kara nie jest wysoka, wypada kilkanaście groszy na osobę, do której trzeba dotrzeć z informacją - zauważa Maciej Gawroński.

Mec. Litwiński przyznaje, że UODO zaakcentował konieczności wykonywania obowiązku informacyjnego. - Informacja o tym, co się dzieje z moimi danymi, to podstawa, aby można było korzystać z naszych praw przewidzianych w RODO. Dobrze więc, że UODO kładzie nacisk na przekazania informacji, a nie stworzenia możliwości zapoznania się z nimi – podkreśla mec. Litwiński. Maciej Kawecki dodaje, że to jedno z podstawowych praw wynikających z RODO. - Bez niego nie możemy korzystać z przyznanych regulacjom unijną praw. Jak mamy przykładowo wystąpić z wnioskiem o aktualizację naszych danych nie wiedząc, że są przetwarzane - podkreśla Maciej Kawecki.

Ukarana firma może odwołać się do Wojewódzkiego Sądu Administracyjnego. Wszczęcie procesu wstrzyma wykonanie decyzji do czasu wydania prawomocnego wyroku przez sąd.

Sprawdź w LEX, jak wygląda kontrola UODO:

Nie masz dostępu do tych materiałów? Sprawdź, jak go uzyskać >>