Od wejścia w życie Rozporządzenia 679/2016 (RODO), w Polsce nie zapadła dotychczas ani jedna decyzja organu nadzorczego, nakładająca karę finansową. Pomimo, iż przepisy Rozporządzenia wzbudziły szczególne poruszenie w naszym kraju, to właśnie nasz organ nadzorczy wykazał się nadzwyczajną powściągliwością. Dla przykładu, w tym samym czasie niemiecki odpowiednik UODO wydał już ok. 65 decyzji.

Ta sytuacja właśnie uległa zmianie. 15 marca br. Urząd Ochrony Danych Osobowych nałożył pierwszą karę finansową za naruszenie przepisów Rozporządzenia 679/2016 (RODO). Poruszenie „branży” budzi nie tylko przesłanka nałożenia rzeczonej kary, ale także sama kwota. Cytując sentencję decyzji: „943.470,00 PLN (słownie: dziewięćset czterdzieści trzy tysiące czterysta siedemdziesiąt złotych)”. Zatem prawie 1 milion złotych!

Ogólnie – czego dotyczy naruszenie?

Kara została nałożona za brak realizacji obowiązku informacyjnego. Choć trzeba przyznać, w szczególnej (z perspektywy przeciętnego przedsiębiorcy) odsłonie. Ukarano podmiot, który w obszarze swojego serwisu internetowego agregował dane osobowe przedsiębiorców. Bez ich wiedzy, ze źródeł trzecich. Naturalnie, w tej sytuacji powinien poinformować osoby, których dotyczą dane o tym fakcie, na podstawie art. 14 RODO. Dodatkowo powinien udzielić innych, wyczerpujących informacji. Po co? Na przykład, aby podmioty danych mogły skorzystać ze swoich uprawnień, choćby sprzeciwiając się takiemu przetwarzaniu. Tymczasem jak było?

Szczegóły – stan faktyczny ustalony przez UODO

Przyjrzyjmy się zatem temu, co ustalił UODO:

Prezes UODO, na podstawie zebranego materiału dowodowego, ustalił następujący stan faktyczny sprawy. (…)

2. W systemie informatycznym o nazwie „N[…]” (zwanym dalej: „system N[…]”) Spółka przetwarza dane osobowe osób fizycznych prowadzących działalność gospodarczą, które zostały pozyskane ze źródeł ogólnie dostępnych, w tym z rejestrów publicznych, m.in. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, z Bazy REGON Głównego Urzędu Statystycznego, z Monitora Sądowego i Gospodarczego ([…]).

3. W bazie danych „systemu N[…]” znajdują się dane dotyczące ok. 3,59 mln osób fizycznych prowadzących aktualnie jednoosobową działalność gospodarczą oraz osób fizycznych, które zawiesiły tę działalność oraz 2,33 mln osób fizycznych prowadzących w przeszłości działalność gospodarczą ([…]).

(…)

5. W dniu 27 kwietnia 2018 r., tj. przed dniem rozpoczęcia obowiązywania rozporządzenia 2016/679, Spółka wysłała informację o przetwarzaniu danych osobowych zatytułowaną „[…] – RODO – obowiązek informacyjny”na wszystkie adresy poczty elektronicznej posiadane w bazie danych systemu N[…] przypisane do przedsiębiorców prowadzących jednoosobową działalność gospodarczą ([…]). W trakcie ww. kampanii informacyjnej Spółka wysłała 902 837 wiadomości elektronicznych ([…]).

6. Spółka zamieściła także na swojej stronie internetowej o adresie www.[…].pl, w zakładce „Dane i prywatność”/”Informacja o przetwarzaniu danych osobowych”, informację o przetwarzaniu danych osobowych przez X. ([…]). Spółka opublikowała również na swojej stronie internetowej www.[…].pl, w zakładce „Dane i prywatność” / Informacja o przetwarzaniu danych osobowych”, pod adresem https://www.[…].pl/rodo/, pełną klauzulę informacyjną, odpowiadającą wymogom art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679.

7. Spółka podjęła decyzję, aby nie realizować obowiązku informacyjnego, poprzez wysłanie krótkich wiadomości tekstowych (SMS) wobec osób, których dane pozyskała ze źródeł publicznie dostępnych (w tym osób fizycznych prowadzących działalność gospodarczą), ponieważ nie posiada numerów telefonów w odniesieniu do każdej z tych osób, a także ze względu na wysokie koszty takiej akcji. Ze względu na wysokie koszty Spółka nie zdecydowała się również na spełnienie tego obowiązku drogą tradycyjnej korespondencji wysłanej do osób, których dane przetwarza ([…]).

(…)

9. Ponadto, z wyjaśnień Spółki wynika, że realizacja obowiązku informacyjnego w jego podstawowej formie (tj. indywidualnego kontaktu z każdą osobą, której dane dotyczą) powodowałaby po stronie Spółki „niewspółmierny wysiłek”, o którym mowa w art. 14 ust. 5 lit. b rozporządzenia 2016/679, rozumiany jako obciążenie organizacyjne (tzn. konieczność oddelegowania pracowników i zasobów rzeczowych – komputerów, urządzeń biurowych – do realizacji wyłącznie tego zadania) oraz finansowe (tzn. koszt druku, przygotowania do wysyłki i nadania, w tym papieru, tonera, kopert, znaczków pocztowych, obsługi zwrotów korespondencji, ewentualnie wynagrodzenie podmiotów, którym Spółka mogłaby zlecić wykonanie tego zadania), które w krytyczny sposób zakłóciłyby funkcjonowanie Spółki w stopniu, który mógłby wiązać się z koniecznością zakończenia prowadzenia działalności w Polsce.

Widzimy zatem, że ukarany podmiot agregował dane i nie dopełnił obowiązku informacyjnego. Co istotne jednak, zrealizował go w części obejmującej te rekordy, które nie zawierały adresu e-mail.

Umieścił także właściwe informacje na swojej stronie internetowej. Na tym jednak poprzestał, uznając iż dalsza realizacja obowiązku informacyjnego stanowi „niewspółmierny wysiłek”, który to stanowi przesłankę wyłączającą obowiązek udzielenia obowiązku informacyjnego na podstawie art. 14 RODO.

Uzasadnienie decyzji

Po przeanalizowaniu stanu faktycznego, wydając przełomową decyzję, UODO przytoczył oczywistą treść art. 14 RODO, stwierdził brak realizacji określonego w nim obowiązku informacyjnego oraz orzekł iż:

W kontekście powyższego Prezes UODO stwierdza, że samo umieszczenie informacji, wymaganych w art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679, na stronie internetowej Spółki, w sytuacji posiadania przez Spółkę danych adresowych (a niekiedy również numerów telefonów) osób fizycznych prowadzących jednoosobową działalność gospodarczą (aktualnie lub w przeszłości), umożliwiających przesłanie pocztą tradycyjną korespondencji zawierającej wymagane tym przepisem informacje (lub przekazanie ich drogą kontaktu telefonicznego), nie może być uznane za wystarczające spełnienie przez Spółkę obowiązku, o którym mowa w art. 14 ust. 1-3 rozporządzenia 2016/679.

Przesłanka wyłączająca spełnienie obowiązku informacyjnego, przewidziana w art. 14 ust. 5 lit. b) rozporządzenia 2016/679, tj. wyłączająca zastosowanie art. 14 ust. 1 do ust. 4 rozporządzenia 2016/679, gdy – i w zakresie, w jakim: udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, nie znajdzie zastosowania w niniejszej sprawie w odniesieniu do osób fizycznych prowadzących działalność gospodarczą, których dane osobowe Spółka przetwarza w bazie systemu N[…].

Zatem ocena nie jest korzystna dla podmiotu ukaranego. Nie zaszły bowiem – zdaniem UODO – przesłanki wyłączające stosowanie obowiązku informacyjnego z art. 14 RODO. Dlaczego?

Niewspółmiernie duży wysiłek – at. 14 RODO

Art. 14 RODO nakłada obowiązek udzielenia oznaczonych informacji osobom, których dane zostały zebrane z innych źródeł niż te osoby. Jednocześnie zawiera on wyłączenie. Obowiązek informacyjny nie musi byś stosowany m. in. wówczas, gdy wymaga to „niewspółmiernie dużego wysiłku”.

Nietrudno zauważyć, że pojęcie to jest nieostre. Podobnie jak w uprzednim stanie prawnym. Dlatego przy ocenie możliwości jego zastosowania raczej należy skłaniać się ku wykładni zawężającej. Podmiot ukarany rzeczoną karą postanowił jednak zastosować wykładnię rozszerzającą. Cóż, jak widać decyzja kosztowała prawie milion złotych – przynajmniej w rozumieniu UODO.

Jak zostało to ocenione przez UODO i jakie wnioski możemy przyjąć odnośnie wykładni pojęcia „niewspółmiernie dużego wysiłku”? W przełomowej decyzji znajdują się następujące argumenty:

• Wytyczne Grupy Roboczej Art. 29 (tak, tak, ona wciąż pozostaje wyrocznią) dotyczące konieczności „czynnego powiadamiania”.
• Zakres danych osobowych, którymi dysponowała ukarana spółka, w tym adresy korespondencyjne i numery telefonów. Zdaniem organu, dysponując tymi danymi, spółka mogła zrealizować obowiązek informacyjny.

Podsumowując, o tym czy udzielenie informacji z art. 14 RODO decyduje zakres przetwarzanych danych. Jeżeli pozwala on na dotarcie do podmiotów danych – nie ma zmiłuj.

Dodatkowo, wydając przedmiotową decyzję, organ zauważył także, iż:

• Spółka podjęła świadomą decyzję (motywowaną chęcią uniknięcia dodatkowych nakładów finansowych) o niezrealizowaniu wobec osób fizycznych prowadzących aktualnie (w tym aktywnych, zawieszonych) lub w przeszłości jednoosobową działalność gospodarczą obowiązku, o którym mowa w art. 14 ust. 1-3 rozporządzenia 2016/679 „ze względu na milionowe koszty” ([…]), co oznacza, że należy przypisać jej umyślność w naruszeniu wskazanych przepisów prawa (umyślny lub nieumyślny charakter naruszenia);
• uzasadnianie przez Spółkę niewykonania obowiązku wynikającego z art. 14 ust. 1 – 3 rozporządzenia 2016/679 wysokimi kosztami finansowymi, aż do próby przerzucenia odpowiedzialności – gdyby go wykonała – za ewentualny spadek jej konkurencyjności na rynku, czy też utratę płynności finansowej, aż do konieczności zakończenia prowadzonej działalności, stanowi okoliczność zdecydowanie działającą na niekorzyść Spółki.
• W ocenie Prezesa UODO dodatkową okolicznością obciążającą jest motywacja, którą kierowała się Spółka decydując, że wystarczającym sposobem przekazania informacji, o których mowa w art. 14 ust 1 i 2 rozporządzenia 2016/679, przedsiębiorcom, których adresami e-mail nie dysponuje, będzie opublikowanie ich na swojej stronie internetowej. Spółka nie ukrywa, że za tą decyzją stała kalkulacja kosztów związanych z bezpośrednimi formami dotarcia do osób, których dane przetwarza, a więc chęć uniknięcia dodatkowych związanych z tym kosztów. Spółka przy tym ma świadomość, że prawidłową, gwarantującą odpowiedni poziom zabezpieczenia praw i wolności podmiotów danych, formą podania im wymaganych informacji jest bezpośredni kontakt zainicjowany przez Spółkę.
• Rezygnacja z bezpośredniego kontaktu tylko z powodu związanych z tym kosztów należy ocenić negatywnie, szczególnie, że operacje na danych osobowych stanowią przedmiot podstawowej, czysto komercyjnej, profesjonalnej, wieloletniej działalności Spółki. Od Spółki, jako profesjonalisty w tego rodzaju działalności, należy wymagać takiego ukształtowania strony biznesowej swojej działalności, które uwzględniałoby wszelkie koszty niezbędne dla zapewnienia jej zgodności z przepisami prawa (w tym przypadku z przepisami o ochronie danych osobowych).

A zatem znaczenie miała okoliczność podjęcia „akcji informacyjnej” z art. 14 i jej przerwanie właśnie z uwagi na koszty, pomimo świadomości iż co do zasady obowiązek informacyjny powinien być spełniony.

Dodatkowo, koszty realizacji obowiązku informacyjnego nie wpływają – zdaniem organu – na możliwość zastosowania wyłączenia obowiązku informacyjnego z powołaniem na „niewspółmiernie duży wysiłek.

Jest to istotna wykładnia, którą na pewno będziemy uwzględniać podczas warsztatów z realizacji obowiązku informacyjnego, realizowanych w ramach organizowanych przez nas Kursach dla Inspektorów Ochrony Danych.

Ciekawostki

Jak na tak wysoką sankcję, zdziwienie budzą inne tezy decyzji:

• w toku postępowania nie ustalono, żeby konsekwencją stwierdzonego naruszenia było powstanie po stronie podmiotów danych szkód,
• nie zostało stwierdzone, żeby Spółka uprzednio dopuściła się naruszenia przepisów rozporządzenia 2016/679, które miałoby istotne znaczenie dla niniejszego postepowania;
• zarówno w toku przeprowadzonej kontroli, jak i w trakcie trwania niniejszego postępowania Spółka współpracowała z Prezesem UODO, (…),
• Prezes UODO pozyskał informację o niewypełnieniu przez Spółkę obowiązku z art. 14 ust. 1-3 rozporządzenia 2016/679, w trakcie kontroli przeprowadzanej w Spółce z urzędu (sposób, w jaki organ nadzorczy dowiedział się o naruszeniu).

Chyba największą ciekawostką dla osób „z branży” jest fakt, iż nie była to kontrola wszczęta wskutek skargi, a przeprowadzana z urzędu.

Stanowisko ukaranej spółki

Decyzja wydana przez UODO została zanonimizowana (choć wg niektórych z miernym skutkiem). Niezależnie, podmiot na który nałożono sankcję ujawnił się w formie oficjalnego oświadczenia. Dostępne jest ono tutaj.

Czego się dowiadujemy:

• Spółka uważa, iż zrealizowała obowiązek informacyjny określony w art. 14 RODO, poprzez umieszczenie informacji na własnych stronach internetowych.
• Spółka kwestionuje wykładnię UODO w przedmiocie proporcjonalnego wysiłku, wskazując że wysłała obowiązek informacyjny drogą elektroniczną (w zakresie rekordów, które to umożliwiały), a w pozostałym zakresie (tradycyjne adresy pocztowe i numery telefonów) było zbyt kosztowne i jako takie nieproporcjonalne.
• Realizacja obowiązku informacyjnego przez kanały cyfrowe, pocztą elektroniczną lub umieszczanie ogłoszeń jest bardziej pożądane zarówno przez odbiorców, jak i wysyłających.

Jaki będzie tej historii finał?

Spółce przysługuje prawo odwołania się od decyzji UODO. Wszystko wskazuje na to, że zostanie ono wykorzystane. Końcowo zatem, o utrzymaniu decyzji w mocy decydować będzie Sąd Administracyjny. Przed składem orzekającym stoi bezprecedensowe wyzwanie. Orzeczenie w niniejszej sprawie może bowiem rzutować na losy licznych na rynku podmiotów, agregujących dane.

Jak licznych? Wystarczy wpisać dane dowolnej jednoosobowej działalności gospodarczej w Google.

Pełna treść decyzji jest do pobrania tutaj.

Kontrola PUODO / Kontrola RODO – co robić?

Chcesz wiedzieć, jak przygotować się do kontroli PUODO / kontroli RODO? Przyjdź na nasze warsztaty RODO, podczas których omawiamy postępowanie kontrolne i naruszeniowe. Działamy na podstawie konkretnych pism organu nadzorczego, w konkretnych sprawach.

Opieramy się także na doświadczeniu z kontroli uprzedniego GIODO, w których uczestniczyliśmy.

Konkretnie i praktycznie.