27 Mar

Doczekaliśmy się pierwszej „kary RODO”

Wczoraj mój telefon rozgrzał się do czerwoności w związku z konferencją prasową, na której Pani Prezes UODO powiadomiła o nałożeniu pierwszej kary finansowej za przetwarzanie danych niezgodnie z przepisami prawa. Oczekiwania były takie, że kara zostanie nałożona na podmioty, o których było głośno w ostatnim czasie w związku z wykradzeniem im dużej ilości danych lub niewłaściwym zabezpieczeniem danych, które doprowadziły do ujawnienia danych osobowych klientów. Stąd duże zdziwienie wywołała informacja, że została nałożona kara za niewypełnienie obowiązków informacyjnych wobec osób, prowadzących działalność gospodarczą, których dane zostały pozyskane do bazy spółki z ogólnodostępnych źródeł (CEiDG KRS, GUS, CEPiK, Monitorze Sądowym i Gospodarczym). Zaskakujące było także to, że podczas konferencji Prezes UODO powiedziała, że kara wyniosła 943 tys. złotych! Pierwsza kara i od razu prawie milion złotych. Przyczyną nałożenia kary było niewypełnienie obowiązku informacyjnego z artykułu 14 RODO wobec przedsiębiorców, których dane z ogólnodostępnych źródeł zostały pozyskane do bazy. W sumie w bazie było około 6 milinów danych osób, które powinny otrzymać klauzulę informacyjną, jednak firma z ogólnodostępnych źródeł pozyskała adresy e-mail jedynie do 90 tys. Wobec tych osób, wypełniła obowiązek informacyjny, wysyłając wiadomość z odpowiednią klauzulą.  W przypadku pozostałych osób ukarana spółka postanowiła skorzystać z wyjątku z art. 14 pkt 5 lit b RODO, który pozwala odejść od obowiązku informowania o przetwarzaniu danych, jeżeli wymagałoby to niewspółmiernie dużego wysiłku. W związku z tym zamieściła klauzulę jedynie na swojej stronie internetowej. Wśród poinformowanych, aż 12 tys. zgłosiło sprzeciw na przetwarzanie ich danych, co zdaniem Prezes UODO świadczyło o tym, jak istotne znaczenie dla pozostałych 6 milionów osób, było uzyskanie informacji o prawach przysługujących w związku z przetwarzaniem ich danych. Dodatkowo w bazie było ponad 2,33 mln danych przedsiębiorców, którzy zawiesili działalność. Spółka ma prawo złożyć skargę do Wojewódzkiego Sądu Administracyjnego. Same informacje przekazane podczas konferencji prasowej były bardzo zdawkowe. Powstały pytania: czemu od razu kara, nie upomnienie i nakazanie przywrócenia stanu zgodnego z przepisami prawa? Jeżeli taka kara za niewypełniony obowiązek informacyjny, to jaka będzie za naruszenie poufności danych? Kiedy można powołać się na niewspółmierność z art. 14 ust. 5 RODO?

Prezes UODO zapytana Czemu właśnie ta firma jest pierwszym ukaranym? Czy to był najbardziej ewidentny przykład? odpowiedziała:  Są bardziej ewidentne, gdybyśmy mieli sobie wybierać z prowadzonych postępowań. Na pytanie, ja należy wypełniać obowiązek informacyjny w takich sytuacjach, padła odpowiedź: Nie możemy z urzędu udzielać takich wskazówek. Trzeba ocenić skuteczność takiej operacji, zasięg terytorialny reklamy i przede wszystkim gdzie funkcjonują firmy, dane których mamy – mówił dyrektor Piotr Drobek z UODO. (źródło: https://www.rp.pl/)

Dr Maciej Kawecki z Ministerstwa Cyfryzacji w wywiadzie dla TVN24 stwierdził, że jest to bardzo kontrowersyjna decyzja, gdyż dotyczy kwestii formalnych i ta kara wiążę się z dużo wyższym kosztem niż 1 milion złotych, gdyż po nałożeniu kary, spółka powinna wysłać listy do wszystkich osób fizycznych z bazy, co wiąże się z kosztem kilku milionów złotych. (źródło: https://tvn24bis.pl/).

Adw. Maciej Mackiewicz, z Kancelarii Kochański i Partnerzy: Powinniśmy dotknąć bardziej fundamentalnych problemów związanych z ochroną danych osobowych, jak na przykład lewe bazy danych, czy handel lewymi danymi osobowymi, czy przetwarzanie danych bez podstawy prawnej. Wydaje się też, że takie formalne podejście urzędu do problematyki ochrony danych osobowych, nie do końca przysłuży się zwiększeniu poziomu bezpieczeństwa danych w Polsce. (źródło: https://www.youtube.com).

Późnym popołudniem pojawił się komunikat na stronie Prezesa UODO: https://uodo.gov.pl/pl/138/786 

W komunikacie pojawiły się informacje, które w istotny sposób wyjaśniły przyczyny nałożenia kary:  Prezes UODO uznała, że naruszenie administratora miało charakter umyślny, ponieważ – jak ustalono w toku postępowania – spółka miała świadomość istnienia obowiązku podania stosownych informacji, jak i konieczności bezpośredniego informowania osób. Wymierzając karę, organ wziął pod uwagę również fakt, że administrator nie podjął żadnych działań zmierzających do usunięcia naruszenia ani nie zadeklarował takiego zamiaru.

Istotne znaczenie ma dla sprawy, że spóła miała możliwość uniknięcia kary, gdyby dostosowała przetwarzanie do wymagań RODO, a kara została nałożona ze względu na brak współpracy podczas postępowania oraz brak zadeklarowanej chęci dopełnienia obowiązków informacyjnych.

Myślę, że każdy zajmujący się ochroną danych osobowych będzie niecierpliwie czekał na ewentualne odwołanie spółki i orzeczenie sądu w zakresie, kiedy można zastosować wyłączenie artykuł 14 ust. 5 lit. b RODO. Gdyby sąd przychylił się argumentów spółki w zakresie zbyt wysokich kosztów wypełniania obowiązków informacyjnych, byłaby to ogromna porażka wizerunkowa dla polskiego organu nadzoru.

Jednocześnie mam bardzo duże obawy związane ze sposobem realizacji obowiązków informacyjnych przez innych administratorów w związku z „pierwszą karą RODO”. Już otrzymałam pierwszą klauzulę RODO, gdzie w formularzu musiałam zaznaczyć, że zapoznałam się z nią i ją rozumiem. Mam też nadzieję, że nie będę musiała biegać do placówki pocztowej po listy polecone z obowiązkami informacyjnymi.


Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001 Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie


Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia: Akredytowane szkolenia z ochrony danych osobowych


 

Data aktualizacji: 27 marca 2019