Milion złotych kary za niewypełnienie obowiązku informacyjnego z RODO
25 marca Prezes Urzędu Ochrony Danych Osobowych poinformował o nałożeniu pierwszej w Polsce kary za nieprzestrzeganie przepisów RODO. Kara jest dość wysoka (ok. 1 miliona złotych) i dotyczy niespełnienia obowiązku informacyjnego przez spółkę, która pozyskiwała z powszechnie dostępnych źródeł (rejestrów publicznych) dane osobowe osób fizycznych prowadzących działalność gospodarczą (adresy, numery telefonów), po czym te dane przetwarzała.
Czym jest obowiązek informacyjny z RODO i kiedy można go nie wykonywać?
Przekazanie pewnych podstawowych informacji dotyczących przetwarzania danych osobie, której dane są przetwarzane, jest jednym z podstawowych obowiązków wynikających z RODO. Co istotne, obowiązek ten istnieje zarówno wtedy, gdy przetwarzane dane osobowe pozyskiwane są od osoby, której dane dotyczą, jak i wtedy, gdy źródłem tych danych nie jest taka osoba. Tego drugiego przypadku dotyczy art. 14 RODO, zgodnie z którego ust. 1 administrator powinien przekazać osobie, której dane dotyczą, m.in. informacje co do tożsamości administratora, celów przetwarzania danych osobowych, kategorii przetwarzanych danych. Nie jest to jednak obowiązek bezwzględny, gdyż zgodnie z art. 14 ust. 5 RODO obowiązek informacyjny jest wyłączony w szeregu przypadków, np. jeżeli osoba, której dane dotyczą, dysponuje już wymaganymi informacjami lub jeżeli udzielenie takich informacji okazało się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.
Czy wysłanie informacji o przetwarzaniu danych tradycyjnym listem wiąże się z niewspółmiernie dużym wysiłkiem?
W omawianej sprawie spółka, na którą została nałożona kara, powołała się właśnie na wyłączenie, o którym mowa w art. 14 ust. 5 lit. b) RODO. Wskazała mianowicie, że wykonanie obowiązku informacyjnego w stosunku do osób, których dane przetwarzała, łączyłoby się z niewspółmiernie dużymi kosztami związanymi z wysyłką listów tradycyjną pocztą. Mogłoby to kosztować, wedle szacunków spółki, nawet 30 mln złotych. Z tego też względu spółka ograniczyła się do umieszczenia stosownych informacji na swojej stronie internetowej oraz do wysłania informacji do osób, których adresami mejlowymi dysponowała.
PUODO nie podzielił tej argumentacji. Wskazał, że wysyłka listów w opisanej sytuacji nie stanowiłaby niewspółmiernie dużego wysiłku. Taki wysiłek, wg PUODO, wystąpiłby, gdyby spółka nie dysponowała adresami osób, których dane przetwarza, i musiałaby je pozyskać specjalnie w celu wykonania obowiązku informacyjnego.
Wysokość kary budzi kontrowersje w środowisku. Niektórzy wskazują, że kara jest niewspółmierna do wagi naruszenia, a niepoinformowanie osób fizycznych prowadzących działalność gospodarczą o przetwarzaniu ich danych osobowych nie oznacza od razu, że zostały naruszone ich prawa i wolności. Inni zaś twierdzą, że kara jest adekwatna, ponieważ zaniechanie wykonania obowiązku informacyjnego uniemożliwia osobom, których dane dotyczą, skorzystanie z innych przysługujących im praw wynikających z RODO. Wyrażono także pogląd, że pierwotnym problemem w przedmiotowej sprawie jest nie wysokość kary, ale to, czy w opisanym stanie faktycznym w ogóle istniał obowiązek informacyjny. Nie budzi bowiem wątpliwości, że osoby prowadzące działalność gospodarczą, których dane dostępne są w publicznych rejestrach, mają wobec swojej prywatności mniejsze oczekiwania niż np. nieprowadzący działalności gospodarczej konsument, którego dane co do zasady nie są dostępne publicznie. Ta kwestia nie zostały szerzej omówiona przez PUODO.
Wątpliwości budzi także podejście PUODO do przesłanki „niewspółmiernego wysiłku”. Można znaleźć argumenty przemawiające za tym, że jeśli wykonanie obowiązku informacyjnego może generować koszty przekraczające obrót spółki (a tak, wedle doniesień medialnych, było w opisanym przypadku), mamy do czynienia z sytuacją wyłączającą konieczność wykonania obowiązku informacyjnego.
Ukaranej spółce przysługuje skarga do sądu administracyjnego, który w przypadku złożenia skargi zapewne przeanalizuje ww. sporne zagadnienia.
Katarzyna Szczudlik