Kara pieniężna została nałożona na firmę, która od wielu lat pozyskiwała ogólnodostępne w Internecie dane osób prowadzących działalność gospodarczą i dokonywała operacji na zgromadzonych danych, m.in. w ramach świadczenia usług jako „wywiadownia gospodarcza”. W wyniku przeprowadzonej z urzędu kontroli, Prezes Urzędu Ochrony Danych Osobowych („UODO”) ustalił, iż ukarana spółka posiadała 7,5 mln rekordów danych dotyczących osób fizycznych. Dane pochodziły ze źródeł publicznie dostępnych, w tym z rejestrów KRS, CEIDG czy Bazy REGON GUS. Zakres danych, w zależności od źródła pozyskania, obejmował: imię, nazwisko, PESEL, nazwę przedsiębiorstwa, adres rejestrowy oraz inne adresy, rodzaj działalności, a także opcjonalnie numer telefonu oraz adres e-mail.

Zgodnie z zasadami RODO fakt, że dane osobowe dotyczyły przedsiębiorców i były publiczne dostępne nie zwalnia administratora z obowiązku poinformowania tych osób o danych administratora, zakresie przetwarzanych danych, a w szczególności o prawach przysługujących osobom fizycznym. W ramach postępowania Prezes UODO ustalił, że Spółka spełniła obowiązek informacyjny, jedynie względem części osób (ok. 600 tys.), w odniesieniu do których posiadała adres poczty elektronicznej, który jest podawany w rejestrach dobrowolnie przez część przedsiębiorców. W stosunku do pozostałej części osób – z uwagi na wysokie koszty przesłania informacji pocztą tradycyjną – spółka zaniechała spełnienia obowiązku informacyjnego, zamieszczając stosowne informacje RODO jedynie na swojej stronie internetowej.

Niewspółmiernie duży wysiłek

Nie ulega wątpliwości, iż wykonanie obowiązku informacyjnego w tym przypadku było technicznie możliwe w stosunku do wszystkich osób, których dane spółka zgromadziła. Zakres przetwarzanych danych obejmował bowiem dane adresowe, a w znacznej części również numer telefonu. Możliwe było zatem przesłanie stosownych informacji pocztą tradycyjną lub z wykorzystaniem wiadomości tekstowych SMS. Jednakże, według szacunków przedstawionych przez spółkę w ramach postępowania, koszty przesłania do wszystkich osób informacji pocztą tradycyjną (koszty nadania listu poleconego) przekroczyłby kwotę 33 mln zł. Kwota ta według złożonego oświadczenia odpowiada rocznym przychodom spółki.

Rezygnując ze spełnienia obowiązku informacyjnego, spółka powoływała się na wyłączenie przewidziane w art. 14 ust. 5 lit b RODO. Przepis ten pozwala zaniechać udzielania informacji o przetwarzania danych osobowych, jeżeli spełnienie obowiązku okazałoby się niemożliwe lub wymagało nadmiernie dużego wysiłku. Nasuwa się zatem pytanie, czy rozesłanie listów poleconych z obowiązkiem informacyjnym do 6 mln osób, pochłaniające kwotę rocznych przychodów spółki, można uznać za nadmierny wysiłek uzasadniający odstąpienie od informowania osób o przetwarzaniu ich danych osobowych. Prezes UODO uznał, że wskazana przesłanka wyłączająca spełnienie obowiązku informacyjnego nie znalazła zastosowania w rozpatrywanej sprawie. W ocenie Prezesa UODO wysłanie informacji na adres osoby fizycznej prowadzącej działalność gospodarczą lub w drodze kontaktu telefonicznego nie jest czynnością „niemożliwą” oraz nie wymaga „niewspółmiernie dużego wysiłku” w sytuacji, gdy spółka posiadała w swojej bazie dane adresowe osób fizycznych.

Okoliczności nałożenia kary

Decydując o wymierzeniu kary pieniężnej oraz o jej wysokości, Prezes UODO wziął pod uwagę kilka okoliczności.

Po pierwsze fakt, iż ukarana spółka przetwarzała dane osobowe w sposób profesjonalny w ramach swojej podstawowej działalności. Dane osobowe przetwarzane były na ogromną skalę oraz w celach zarobkowych. Te okoliczności, w ocenie Prezesa UODO, powodują, że na takim administratorze „ciąży większa odpowiedzialność i większe wymagania niż na podmiocie przetwarzającym dane osobowe w ramach działalności ubocznej, incydentalnie lub na niewielką skalę”.

Po drugie, świadome odstąpienie od spełnienia obowiązku informacyjnego z powołaniem się na wysokie koszty mogące spowodować utratę płynności finansowej i potencjalne zakończenie działalności spółki, Prezes UODO uznał za okoliczność zdecydowanie działającą na niekorzyść spółki (sic!). Organ podkreślił, że niewykonanie obowiązku informacyjnego z uwagi na koszty finansowe świadczy o „obniżeniu wartości praw osób, których dane osobowe spółka przetwarza, w stosunku do wartości finansów spółki”. Od spółki profesjonalnie zajmującej się przetwarzaniem danych osobowych na tak szeroką skalę, w ocenie Prezesa UODO, należy wymagać, aby tak kształtowała finansową stronę swojej działalności biznesowej, by możliwe było prowadzenie działalności zgodnie z prawem, w tym przypadku zgodnie z przepisami o ochronie danych osobowych.

Po trzecie, w ocenie Prezesa UODO dodatkową okolicznością obciążającą spółkę było założenie, że wystarczającym sposobem przekazania informacji podmiotom, których adresami e-mail nie dysponuje, będzie opublikowanie informacji na swojej stronie internetowej. W tym zakresie należy odnotować, że w ocenie organu nadzorczego, samo umieszczenie informacji na stronie internetowej przedsiębiorcy, w sytuacji posiadania danych adresowych, umożliwiających przesłanie pocztą tradycyjną korespondencji zawierającej wymagane informacje, nie może być uznane za wystarczające spełnienie obowiązku, o którym mowa w art. 14 ust. 1-3 RODO. Jest to szczególnie ważna informacja wskazująca na kierunek interpretacji przez organ nadzorczy przepisów dotyczących obowiązku informacyjnego względem podmiotów danych.

Cel i wysokość kary pieniężnej

Prezes UODO uzasadnia, że „celem nałożonej kary jest doprowadzenie do wykonania przez Spółkę obowiązku wynikającego z art. 14 ust. 1-3 rozporządzenia 2016/679”. Uzasadniając wysokość kary pieniężnej, Prezes UODO podkreślił, że kara pieniężna powinna być na tyle wysoka, żeby ukarany „nie wkalkulował jej w koszty swojej działalności” i powinna wiązać się „dolegliwością finansową”. Warto zwrócić uwagę, że nałożona kara to niespełna 1 mln zł, natomiast koszty wykonania obowiązku informacyjnego nakazanego przez Prezesa UODO spółka oszacowała na 33 mln zł. Jest zatem bardzo dyskusyjne, czy PUODO podjął decyzję proporcjonalną i adekwatną, skoro obok i tak już wysokiej kary nałożył równolegle drakoński obowiązek, który miałby pochłonąć roczne przychody spółki. Z pewnością informacja o nałożeniu milionowej kary pieniężnej zwraca uwagę bardziej niż informacja o nakazaniu spełnienia obowiązku informacyjnego, a właśnie ten drugi element decyzji jest meritum sprawy i główną bolączką ukaranego podmiotu.  

Pomimo, że pierwszy przypadek skorzystania przez organ nadzorczy z możliwości nałożenia kary pieniężnej na podstawie RODO może budzić wątpliwości i kontrowersje, wskazuje jednak na kierunek, w jakim może zmierzać organ nadzorczy w zakresie nadzoru i egzekucji przepisów RODO. W pierwszych miesiącach obowiązywania RODO przedstawiciele władz przestrzegali, aby „nie straszyć karami za RODO”. Pierwsza decyzja o nałożeniu kary niewątpliwie taką przestrogę stanowi.

W świetle RODO reguły przetwarzania danych osobowych stanowią swoisty kompromis pomiędzy celami, jakie pragną osiągnąć administratorzy danych, a prawami osób, których dane są przetwarzane. Innymi słowy, RODO nie zabrania przetwarzania danych osobowych, jeżeli służy ono legalnemu celowi, nie naruszając praw i wolności osób, których dane dotyczą. Wydaje się, że Prezes UODO w pierwszej decyzji o nałożeniu kary pieniężnej zasadę tę pominął. Swoją decyzją może w praktyce uniemożliwić dalszą działalność spółki, tylko dlatego, że nie spełniła ona obowiązku informacyjnego, pomimo, że podstawowe prawa i wolności osób, których dane dotyczą (np. prawo do prywatności) nie zostały taką działalnością naruszone lub zagrożone.

Autor: Maciej Dudek, radca prawny, praktyka nowych technologii i danych osobowych