Po kilku miesiącach stosowania Rozporządzenia Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej jako RODO – została przez organ nadzoru nałożona na przedsiębiorcę pierwsza kara za nieprzestrzeganie postanowień przepisów dotyczących ochrony danych osobowych.

1 mln zł  za nieprzestrzeganie zasad RODO

Kara w wysokości 943 tys zł została nałożona na podstawie decyzji nr ZSPR.421.3.2018 wydanej w dniu 15 marca 2019r. – dalej jako Decyzja – na spółkę zbierającą dane z publicznych rejestrów  m.in. CEIDG oraz KRS i następnie udostępniającej te dane – po uiszczeniu stosownej opłaty – innym podmiotom (np. w formie raportów). UODO stwierdziło, że spółka nieprawidłowo wypełniła obowiązek informacyjny wobec podmiotów, których dane zebrała z publicznych rejestrów. Spółka poinformowała bowiem o zasadach przetwarzania danych osobowych wyłącznie osoby, których posiadała adres e-mail (informacja o przetwarzaniu danych została przesłana za pośrednictwem korespondencji elektronicznej). Natomiast wobec osób, których spółka nie posiadała adresów e-mail ale posiadała numer telefonu/adres korespondencyjny (dotyczyło to ok. 6,5 mln osób) – obowiązek informacyjny nie został doręczony tym osobom bezpośrednio, jednak spółka umieściła jego treść na swojej stronie internetowej. Spółka powoływała się, na fakt, że wysyłanie korespondencji w formie listów (poleconych lub zwykłych) albo kontakt telefoniczny z 6,5 mln podmiotów stanowi niewspółmiernie duży wysiłek, co zgodnie z przepisem art. 14 ust. 5 RODO stanowi przesłankę wyłączającą konieczność wypełnienia obowiązku informacyjnego względem osób, których dane zostały pozyskane nie w sposób bezpośredni.

UODO nie zgodził się z argumentami kontrolowanego podmiotu, w efekcie czego nałożył na ten podmiot nie tylko karę w wysokości ok 1 mln zł, lecz również zobowiązał spółkę do wypełnienia obowiązku informacyjnego wobec 6,5 mln podmiotów. Decyzja UODO wywołała liczne kontrowersje wśród prawników, osób zajmujących się danymi osobowymi i przedsiębiorców.

Co jest szczególnie istotne dla przedsiębiorców mając na względzie wydaną przez UODO Decyzję?

  1. W przypadku pozyskania danych osobowych z publicznie dostępnych rejestrów i ich przetwarzania w formie zbiorów danych konieczne jest wypełnienie względem tych osób obowiązku informacyjnego. Wskazać trzeba, że dotyczy to nie tylko danych, które znajdują się np. w rejestrze przedsiębiorców KRS lub CEiDG, które są jawne ale także danych umieszczanych na stronach internetowych. Zbierając i zapisując dane osobowe np. w pliku excel konieczne jest wypełnienie obowiązku informacyjnego zgodnie z art. 14 RODO, nawet jeżeli nie są kierowane wobec tych osób żadne działania a dane są tylko zapisane w tabeli excel na komputerze.
  2. Decyzja potwierdza, że dane osobowe przedsiębiorców, w szczególności osób fizycznych prowadzących działalność gospodarczą podlegają ochronie RODO na równi z danymi np. konsumentów.
  3. Uzasadnienie Decyzji sugeruje, że kwestia momentu pozyskania danych osobowych – w szczególności w zakresie wypełnienia obowiązku informacyjnego w zakresie podmiotów, których dane osobowe pozyskano przed wejściem w życie RODO tj. przed dniem 25 maja 2018r. (wtedy przepisy nie wskazywały na konieczność wypełnienia obowiązku informacyjnego) jest dla PUODO bez znaczenia – organ nadzoru w żaden sposób nie rozdzielił kwestii pozyskania danych przed albo po wejściu w życie RODO w zakresie wypełnienia obowiązku informacyjnego.
  4. Brak biznesowego podejścia PUODO i oceny kosztów jakie niesie za sobą wypełnienie obowiązku informacyjnego dla przedsiębiorcy – zgodnie ze stanem faktycznym opisanym w Decyzji, gdyby Spółka chciała wysłać do 6,5 mln osób list zwykły (do zastanowienia pozostaje czy taka forma pozwoliłaby na realizację zasady rozliczalności) stanowiłoby to połowę uzyskanych przez nią przychodów uzyskanych w poprzednim roku..
  5. PUODO karać będzie nie tylko za stwierdzone nieprawidłowości i np. wyciek danych ale również za brak formalizmu. W uzasadnieniu Decyzji organ nadzorczy wskazał, że osoby, których dane były przetwarzane nie poniosły szkody jednak nie otrzymały obowiązku informacyjnego co należy uznać za działanie niezgodne z przepisami.

Kontrole

Decyzja wydana przez PUODO nie pozostawia złudzeń, że organ nadzorczy przy kontrolach będzie weryfikował, czy podmioty wdrożyły odpowiednie procedury i zabezpieczenia wymagane przepisami ochrony danych osobowych, w tym czy posiadają dokumentację zgodną z RODO. Jak wynika z treści uzasadnienia Decyzji karane będą nie tylko sytuacje, gdy wystąpiły jakieś nieprawidłowości np. w zakresie naruszenia praw i wolności osób, których dane są przetwarzane.  Nie ulega wątpliwości, że UODO będzie w szczególności przyglądał się kwestii dostosowania prowadzonej działalności do przepisów dot. ochrony danych osobowych.