Jak donoszą wszystkie polskie media, w ślad za komunikatem Prezesa Urzędu Ochrony Danych, stało się nieuniknione. Karę w wysokości niespełna miliona złotych nałożył na spółkę Urząd Ochrony Danych Osobowych za niespełnienie obowiązku informacyjnego dotyczącego przetwarzania danych – poinformowała wczoraj prezes Urzędu Edyta Bielak-Jomaa.

To pierwsza tego typu kara po wejściu w życie przepisów RODO w Polsce. Mimo, że nazwa ukaranej firmy nie została podana, wiemy, że chodzi o warszawską spółkę, która w oparciu o ogólnodostępne dane osób prowadzących działalność gospodarczą, tworzyła bazy danych pozwalające na weryfikację ich wiarygodności.

NIESPEŁNIENIE OBOWIĄZKU INFORMACYJNEGO

W przypadku wspomnianej spółki sprawa dotyczy ponad 6 mln rekordów, z czego obowiązek informacyjny został spełniony jedynie wobec 90 tys. osób, do których wysłano korespondencję drogą elektroniczną. Z pozostałymi, których adresu mailowego firma nie miała, nie kontaktowała się w ogóle, ograniczając się do umieszczenia informacji na swojej stronie internetowej – co jak widzimy okazało się być niewystarczające.

Niedopełnienie obowiązku o którym mowa w 14 RODO skutkowało tym, że osoby, których dane były przetwarzane, de facto, nie mogły zrealizować praw wynikających z przepisów RODO, choćby żądania usunięcia danych czy też sprostowania danych osobowych co m.in. podniesiono w uzasadnieniu decyzji.

DLACZEGO OBOWIĄZEK INFORMACYJNY JEST TAK ISTOTNY?

Nie jest dla nas żadnym zaskoczeniem, że gigantyczna kara została nałożona właśnie za uchybienie związane z niedochowaniem obowiązku informacyjnego. Obowiązek informacyjny jest często bagatelizowany i traktowany jako nieistotny, względnie – niepotrzebne utrudnienie wymyślone zza biurek eurokratów. Nic jednak bardziej mylnego. Jest on w zasadzie podstawowym elementem umożliwiającym zapewnienie należytej ochrony danych osobowych.

Jak wynika z komunikatu, spółka pozyskiwała dane osobowe z Internetu – z ogólnodostępnych rejestrów przedsiębiorców takich jak CEIDG czy KRS. Na naszych szkoleniach jak i przy okazji prowadzonych przez nas wdrożeń RODO, powtarzamy że nie ma to jednak znaczenia. RODO z zakresu swojej ochrony nie wyłącza danych pozyskanych z tego typu źródeł.

Obowiązkowi informacyjnemu poświeciliśmy kilka słów w tym artykule. Generalnie Administrator Danych Osobowych powinien wykonać obowiązek informacyjny podczas pozyskania danych osobowych. W motywie 61. RODO wskazano, że „informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych”.  Zasadą jest zatem, że Administrator powinien wykonać swój obowiązek w każdym wypadku, kiedy pozyskuje dane.

NIEWSPÓŁMIERNIE DUŻY WYSIŁEK

Obowiązek informacyjny może zostać wyłączony tylko w sytuacji kiedy jego wykonanie jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Prezes UODO zauważył, że zbierając dane kontaktowe, samo przez się, umożliwiamy sobie kontakt z osobą fizyczną, której dane przetwarzamy. Spór będzie dotyczy zatem wykładni (interpretacji) przesłanki „niewspółmiernie dużego wysiłku”. Jako pojęcie nieostre obie strony sporu (przedsiębiorca i urząd) mają wiele możliwości interpretacyjnych.

Wyrok Sądu Administracyjnego, zapadły w tej sprawie na pewno będzie zawierał istotne poglądy w tej materii, które niejako ukształtują rozstrzygnięcia w kolejnych sprawach.

W razie jakichkolwiek pytań pozostajemy do dyspozycji:

Artykuł Milion złotych za RODO – czyli pierwsza w Polsce kara za naruszenie przepisów o ochronie danych osobowych pochodzi z serwisu .