Pierwsza administracyjna kara pieniężna w wysokości 943 tysięcy złotych została nałożona przez UODO na spółkę za niedopełnienie obowiązku informacyjnego wobec osób, których dane osobowe były przetwarzane. Spółka została również zobowiązana do wykonania tego obowiązku w terminie trzech miesięcy od doręczenia decyzji.
Kontekst
Spółka, której nazwa nie została ujawniona i której głównym przedmiotem działalności od 25 lat jest świadczenie usług bazujących na przetwarzaniu danych osobowych, pozyskiwała dane w tym imię i nazwisko, nazwę przedsiębiorstwa, rodzaje działalności, adresy korespondencyjne, adresy e-mail oraz numery telefonów ze źródeł publicznie dostępnych (np. KRS, CEIDG), a następnie przetwarzała je w celach zarobkowych. W sumie, spółka posiadała dane osobowe prawie 3,59 mln osób prowadzących jednoosobową działalność gospodarczą oraz dane osób fizycznych, które zawiesiły tę działalność gospodarczą oraz dane 2,33 mln osób fizycznych prowadzących w przeszłości działalność gospodarczą, co w sumie daje dane ok. 6 mln osób, czyli w praktyce – dane 15,7% całej ludności Polski https://stat.gov.pl/podstawowe-dane/.
Spółka nie pozyskiwała danych bezpośrednio od osób, których dane dotyczą, wobec czego była zobowiązana do przedstawienia im obowiązku informacyjnego na podstawie art. 14 RODO.
Taki obowiązek informacyjny spółka wykonała wobec około 682 tys. osób, których adresy e-mail posiadała, czyli tylko wobec 11,4% osób, których dane były przetwarzane. Warto zauważyć, że ponad 12 tys. osób z tej grupy wniosło sprzeciw wobec przetwarzania ich danych. Spółka dysponowała jednocześnie adresami pocztowymi lub numerami telefonów komórkowych innych osób, których dane przetwarzała.
Stwierdzone naruszenie
Główną osią sporu jest ocena, kiedy administrator jest zwolniony z obowiązku informacyjnego z uwagi na niewspółmiernie duży wysiłek wymagany do jego realizacji. Jak wynika z decyzji, ukarana spółka wskazywała, że wykonanie obowiązku informacyjnego w drodze wysłania listów lub SMS wiązałoby się przede wszystkim ze znaczącymi kosztami, co skutkowałoby ewentualnym spadkiem konkurencyjności na rynku, czy nawet utratą jej płynności finansowej. Dodatkowo, wykonanie takiego obowiązku angażowałoby w istotnym stopniu personel spółki.
Argumentacja, że konieczność poniesienia nawet znaczących wydatków finansowych lub zaangażowania personelu stanowi niewspółmiernie duży wysiłek może jednak budzić wątpliwości. Modele biznesowe powinny bowiem zakładać zgodność z przepisami prawa. Trudno bowiem argumentować, że niewspółmiernie dużym wysiłkiem jest konieczność spełnienia bezwzględnie obowiązujących regulacji. Stosując taką wykładnię można byłoby np. przyjąć, że firma nie musiałaby przestrzegać regulacji dotyczących ochrony środowiska, które zapewne również zmniejszają jej rentowność. Chęć osiągania większego zysku nie zwalnia jednak z obowiązku przestrzegania prawa. Wątpliwości może też budzić sposób wyliczenia ewentualnego kosztu wykonania obowiązku informacyjnego – spółka założyła bowiem, że będzie sama drukować i przygotowywać przesyłki z powiadomieniami oraz wysyłać je listami poleconymi. Należy zgodzić się z UODO, że nie ma obowiązku wysyłania takich informacjami listami poleconymi. Dodatkowo, na rynku działa wiele podmiotów oferujących obsługę przesyłek masowych, które są zapewne w stanie przygotować taką wysyłkę w całości i znacznie taniej.
W toku postępowania spółka podnosiła, że zamieściła na swojej stronie internetowej informację o przetwarzaniu danych osobowych, ale ten fakt został zakwestionowany przez UODO – samo zamieszczenie informacji na stronie internetowej, w sytuacji, gdy spółka posiadała dane adresowe (a także numery telefonów) osób fizycznych, umożliwiające nadanie pocztą korespondencji i przedstawienie obowiązku informacyjnego nie został uznany za wystraczające spełnienie przez spółkę obowiązku, o którym mowa w art. 14 RODO.
Kara administracyjna
Przy nakładaniu administracyjnej kary pieniężnej za najistotniejszy czynnik uznano umyślny i doniosły charakter naruszenia, czyli świadome działanie i niewykonywanie obowiązku informacyjnego. Na wysokość kary wpłynęło również wykrycie naruszenia w toku kontroli UODO, fakt, że przetwarzanie tych danych stanowi podstawową działalność spółki oraz znaczącą liczbę osób, wobec których nie spełniono obowiązku informacyjnego. Istotnym czynnikiem był również brak wiedzy osób, których dane były przetwarzane oraz brak możliwości skorzystania z przysługujących im praw wynikających z RODO.
UODO podkreślił, że w toku postępowania spółka ograniczała się do przesyłania odpowiedzi na wezwania UODO i nie wyrażała woli współpracy w celu usunięcia naruszenia. Powyższe wskazuje, że warto być otwartym na argumenty UODO i jeśli to możliwe, zastanowić się jeszcze w toku postępowania nad podjęciem działań naprawczych lub dostosowawczych.
Decyzja Prezesa UODO jest ostateczna. Spółce przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Przypominamy, iż zgodnie z art. 83 ust. 5 lit. b RODO, naruszenie przepisów dotyczących praw osób, których dane dotyczą, podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Zastrzeżenia
Niniejsza informacja została przygotowana wyłącznie na podstawie decyzji Prezesa UODO nr ZSPR.421.3.2018 dostępnej pod adresem https://uodo.gov.pl/decyzje/ZSPR.421.3.2018 oraz informacji prasowych.