O pierwszej administracyjnej karze "za RODO" w Polsce: analiza przyczyn i podstaw jej nałożenia.

W artykule tym postaram się wyłowić z dość obszernego opisu stanu faktycznego i uzasadnienia decyzji o nałożeniu kary to co jest istotne dla wszystkich administratorów, którzy w ramach swojej działalności przetwarzają dane osobowe. W dniu 26 marca 2019 roku na zapowiadanym wcześniej briefingu prasowym Prezes Urzędu Ochrony Danych Osobowych (UODO) pani dr Edyta Bielak-Jomaa poinformowała, iż decyzją ZSPR.421.3.2018 nałożyła na przedsiębiorcę (spółkę z ograniczoną odpowiedzialnością) z siedzibą w Warszawie administracyjną karę pieniężną w wysokości 943.470,00 zł z tytułu naruszenia postanowień art. 14 ust. 1-3 Ogólnego Rozporządzenia o Ochronie Danych (RODO) czyli niewypełnienia obowiązku informacyjnego wobec osób, których dane pozyskano z innego źródła niż one same. Decyzja nakazuje również ukaranemu podmiotowi wykonanie obowiązku wynikającego z naruszonego przepisu. Czyli sankcje wynikające z decyzji dotyczą naruszenia PRAWA nie zaś NARUSZENIA BEZPIECZEŃSTWA danych osobowych. Jakiego naruszenia, zdaniem Prezes UODO, dopuścił się administrator? Otóż kontrola prowadzona przez pracowników Urzędu we wrześniu 2018 roku w spółce wykazała, że spółka oferowała klientom raporty handlowe dotyczące przedsiębiorców, których dane pozyskiwała z elektronicznych, ogólnodostępnych i urzędowych baz KRS, CEiDG oraz REGON. W swojej bazie przedsiębiorca posiadał łącznie 7.594.636 rekordów danych dotyczących osób fizycznych (także przedsiębiorców) prowadzących jednoosobową działalność gospodarczą oraz osób będących wspólnikami lub członkami organów spółek, fundacji i stowarzyszeń. Jak wynika z uzasadnienia decyzji (cyt.): „Spółka spełniła indywidualny obowiązek informacyjny wobec 682 439 osób, w stosunku do których posiada w ramach rekordu bazy danych adresy poczty elektronicznej. W odniesieniu do 181 142 osób Spółka dysponuje wyłącznie numerami telefonów komórkowych, a w odniesieniu do 6.490.226 osób dysponuje wyłącznie adresami korespondencyjnymi, z czego 2.924.443 rekordy dotyczą nieaktywnych działalności gospodarczych”. W trakcie swojej kampanii informacyjnej Spółka wysłała 902 837 wiadomości elektronicznych – czyli tylko do tych podmiotów, których adres poczty elektronicznej posiadała. W pozostałych przypadkach Spółka posiadając adresy korespondencyjne oraz numery telefonów komórkowych do przedsiębiorców (część) zdecydowała, że ze względu na wysokie koszty takiej akcji (zarówno SMS-owej jak i wysłania korespondencji pocztą tradycyjną – wyliczono jej koszt na ok. 33 mln zł) obowiązek informacyjny na podstawie art. 14 ust. 1-3 RODO spełni poprzez opublikowanie stosownego komunikatu/klauzuli informacyjnej na swojej stronie internetowej. Administrator uznał, że „niewspółmierny wysiłek” finansowy oraz, w jego ocenie, niskie ryzyko naruszenia praw i wolności osób pozwalają mu na ograniczenie się do takiego komunikatu. Jak Prezes UODO uzasadniła nałożenie kary w oparciu o art. 83 ust. 2 lit. a-k RODO? - niespełnienie przez administratora obowiązku informacyjnego, - naruszenie ma charakter poważny – ze względu na profesjonalny charakter działalności spółki oraz liczbę podmiotów, których prawa naruszono, - świadoma decyzja spółki o nieinformowaniu podmiotów, których adresów poczty elektronicznej administrator nie posiadał, - brak wiedzy podmiotów danych o fakcie przetwarzania ich danych przez spółkę, - usprawiedliwianie się przez administratora wysokimi kosztami (mogącymi prowadzić do utraty konkurencyjności a nawet płynności finansowej) wykonania obowiązku informacyjnego jest niezasadne w kontekście wieloletniego doświadczenia spółki w zakresie takiej działalności i czerpania z niej dochodu oraz, co warto podkreślić (cyt):„…świadczy o obniżeniu wartości praw osób, których dane osobowe Spółka przetwarza, w stosunku do wartości finansów Spółki, której to argumentacji nie można uznać za zasadną w świetle wymogów rozporządzenia 2016/679.” Podzielam zdanie dr Pawła Litwińskiego (specjalista z zakresu ochrony danych osobowych, autor jednego z komentarzy do RODO), który komentując decyzje Prezes UODO słusznie podnosi kwestię, czy na pewno przedsiębiorcy zasługują na identyczną ochronę prawną jak konsumenci i czy wysokość kary (a może i sama kara pieniężna jako taka) jest współmierna do naruszenia (w tym wypadku prawa). Ja uważam, że nie i spodziewam się korekty tej decyzji w przypadku zaskarżenia jej do sądu. Póki co jednak jest ona (czy raczej jej uzasadnienie) znakomitym materiałem badawczym. Kolejna ważny aspekt sprawy – znowu powołajmy fragment decyzji Prezes Urzędu: „Spółka stosuje do przetwarzanych przez siebie danych osobowych wysokiej klasy zabezpieczenia techniczne, […]. Spółka posiada wdrożone szczegółowe procedury i instrukcje dla pracowników zapewniające bezpieczeństwo przetwarzania danych.” Możemy więc mieć świetne zabezpieczenia techniczne (informatyczne bazy danych), przyzwoite procedury i dokument (polityki, regulaminy) a potkniemy się na interpretacji przepisów. Przechodzimy więc do zagadnienia wykwalifikowanej kadry mającej wspomóc nas w procesie prawidłowego przetwarzaniu danych osobowych czyli Inspektora Ochrony Danych (IOD) lub innej osoby wskazanej przez administratora. Czy jest ktoś taki? Czy ma odpowiednie kwalifikacje? Czy (to chyba najważniejsze) bierzemy pod uwagę zdanie tej osoby?? Konkluzja: tworzenie masy zbędnych procedur, nabywanie gotowych dokumentów (w zasadzie ich wzorów) a nawet posiadanie prawidłowych procedur i zabezpieczeń nie chroni nas przed kłopotami jeśli nie będziemy posiadać w zasobie kadrowym kogoś, kto będzie w stanie właściwie zinterpretować przepisy o ochronie danych osobowych (RODO, ustawa o ochronie danych osobowych, przepisy dotyczące cyberbezpieczeństwa, Krajowych Ram Interoperacyjnych) także komplementarnie z przepisami sektorowymi, które dotyczą naszej działalności (prawo pracy, rachunkowość-podatki, telekomunikacja, medycyna, oświata, zamówienia publiczne czy transport). Kolejny wniosek jest taki, że przedsiębiorcy (czy w ogóle administratorzy bez znaczenia czy w sektorze publicznym czy prywatnym) powinni wspólnie z IOD-em przeanalizować swoje procedury postępowania w przypadku wystąpienia naruszeń oraz procedury realizacji praw osób fizycznych, w tym przede wszystkim sposób realizacji obowiązku informacyjnego. Niezbędna wydaje się także analiza umów z kontrahentami celem ustalenia czy wobec tych, którzy są przedsiębiorcami prowadzącymi jednoosobową działalność gospodarczą spełniliśmy obowiązek informacyjny. Przedsiębiorcy muszą więc zapewnić sobie profesjonalne wsparcie dotyczące ochrony przetwarzanych przez siebie danych, ponieważ każdy aspekt działalności (podpisanie umowy, przekazanie danych, akcja marketingowa, rekrutacja) będzie wymagał asysty merytorycznej specjalisty ds. ochrony danych osobowych lub IOD-a. To nie dokumenty zapewniają nam „zgodność z RODO” ale to jak realizujemy procedury i stosujemy przepisy. P.S. Specjalista ds. ochrony prywatności dr Łukasz Olejnik ze sporym prawdopodobieństwem ustalił kto jest adresatem kary pieniężnej w bardzo prosty sposób – uzasadnienie decyzji Prezes UODO opisywało przedmiot działalności ukaranej Spółki w identyczny sposób jak to miało miejsce na stronie internetowej tej spółki (BISNode). Czyli pseudonimizacja zastosowana przez Urząd okazała się mało skuteczna. Sama spółka także (już po fakcie) odnosi się do sprawy nałożenia kary na swojej stronie internetowej. https://www.bisnode.pl/wiedza/newsy-artykuly/decyzja-urzedu-ochrony-danych-osobowych-w-sprawie-bisnode/. Autor artykułu: Prawnik Tomasz Ptak - dział RODO Więcej ciekawych wpisów odnajdą Państwo śledząc Klub RODO na FB: www.facebook.com/KlubRODO/


Zobacz nasze pozostałe posty z tamatu RODO: