Pierwsza kara RODO

Przyjrzyjmy się zatem bliżej temu, co ustalił UODO:

Prezes UODO, na podstawie zebranego materiału dowodowego, ustalił następujący stan faktyczny sprawy. (…)

2. W systemie informatycznym o nazwie „N[…]” (zwanym dalej: „system N[…]”) Spółka przetwarza dane osobowe osób fizycznych prowadzących działalność gospodarczą, które zostały pozyskane ze źródeł ogólnie dostępnych, w tym z rejestrów publicznych, m.in. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, z Bazy REGON Głównego Urzędu Statystycznego, z Monitora Sądowego i Gospodarczego ([…]).

3. W bazie danych „systemu N[…]” znajdują się dane dotyczące ok. 3,59 mln osób fizycznych prowadzących aktualnie jednoosobową działalność gospodarczą oraz osób fizycznych, które zawiesiły tę działalność oraz 2,33 mln osób fizycznych prowadzących w przeszłości działalność gospodarczą ([…]).

(…)

5. W dniu 27 kwietnia 2018 r., tj. przed dniem rozpoczęcia obowiązywania rozporządzenia 2016/679, Spółka wysłała informację o przetwarzaniu danych osobowych zatytułowaną „[…] – RODO – obowiązek informacyjny” na wszystkie adresy poczty elektronicznej posiadane w bazie danych systemu N[…] przypisane do przedsiębiorców prowadzących jednoosobową działalność gospodarczą ([…]). W trakcie ww. kampanii informacyjnej Spółka wysłała 902 837 wiadomości elektronicznych ([…]).

6. Spółka zamieściła także na swojej stronie internetowej o adresie www.[…].pl, w zakładce „Dane i prywatność”/”Informacja o przetwarzaniu danych osobowych”, informację o przetwarzaniu danych osobowych przez X. ([…]). Spółka opublikowała również na swojej stronie internetowej www.[…].pl, w zakładce „Dane i prywatność” / Informacja o przetwarzaniu danych osobowych”, pod adresem https://www.[…].pl/rodo/, pełną klauzulę informacyjną, odpowiadającą wymogom art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679.

7. Spółka podjęła decyzję, aby nie realizować obowiązku informacyjnego, poprzez wysłanie krótkich wiadomości tekstowych (SMS) wobec osób, których dane pozyskała ze źródeł publicznie dostępnych (w tym osób fizycznych prowadzących działalność gospodarczą), ponieważ nie posiada numerów telefonów w odniesieniu do każdej z tych osób, a także ze względu na wysokie koszty takiej akcji. Ze względu na wysokie koszty Spółka nie zdecydowała się również na spełnienie tego obowiązku drogą tradycyjnej korespondencji wysłanej do osób, których dane przetwarza ([…]).

(…)

9. Ponadto, z wyjaśnień Spółki wynika, że realizacja obowiązku informacyjnego w jego podstawowej formie (tj. indywidualnego kontaktu z każdą osobą, której dane dotyczą) powodowałaby po stronie Spółki „niewspółmierny wysiłek”, o którym mowa w art. 14 ust. 5 lit. b rozporządzenia 2016/679, rozumiany jako obciążenie organizacyjne (tzn. konieczność oddelegowania pracowników i zasobów rzeczowych - komputerów, urządzeń biurowych - do realizacji wyłącznie tego zadania) oraz finansowe (tzn. koszt druku, przygotowania do wysyłki i nadania, w tym papieru, tonera, kopert, znaczków pocztowych, obsługi zwrotów korespondencji, ewentualnie wynagrodzenie podmiotów, którym Spółka mogłaby zlecić wykonanie tego zadania), które w krytyczny sposób zakłóciłyby funkcjonowanie Spółki w stopniu, który mógłby wiązać się z koniecznością zakończenia prowadzenia działalności w Polsce.

Widzimy więc, iż ukarany podmiot agregował dane i nie dopełnił obowiązku informacyjnego. Co istotne jednak, zrealizował go w części obejmującej te rekordy, które nie zawierały adresu e-mail.

Umieścił także właściwe informacje na swojej stronie internetowej. Na tym jednak poprzestał, uznając iż dalsza realizacja obowiązku informacyjnego stanowi „niewspółmierny wysiłek”, który to stanowi przesłankę wyłączającą obowiązek udzielenia obowiązku informacyjnego na podstawie art. 14 RODO.

Po przeanalizowaniu stanu faktycznego, wydając przełomową decyzję, UODO przytoczył oczywistą treść art. 14 RODO, stwierdził brak realizacji określonego w nim obowiązku informacyjnego oraz orzekł że:

W kontekście powyższego Prezes UODO stwierdza, że samo umieszczenie informacji, wymaganych w art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679, na stronie internetowej Spółki, w sytuacji posiadania przez Spółkę danych adresowych (a niekiedy również numerów telefonów) osób fizycznych prowadzących jednoosobową działalność gospodarczą (aktualnie lub w przeszłości), umożliwiających przesłanie pocztą tradycyjną korespondencji zawierającej wymagane tym przepisem informacje (lub przekazanie ich drogą kontaktu telefonicznego), nie może być uznane za wystarczające spełnienie przez Spółkę obowiązku, o którym mowa w art. 14 ust. 1-3 rozporządzenia 2016/679.

Przesłanka wyłączająca spełnienie obowiązku informacyjnego, przewidziana w art. 14 ust. 5 lit. b) rozporządzenia 2016/679, tj. wyłączająca zastosowanie art. 14 ust. 1 do ust. 4 rozporządzenia 2016/679, gdy - i w zakresie, w jakim: udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, nie znajdzie zastosowania w niniejszej sprawie w odniesieniu do osób fizycznych prowadzących działalność gospodarczą, których dane osobowe Spółka przetwarza w bazie systemu N[…].

Zatem ocena jest niekorzystna dla podmiotu ukaranego. Nie zaszły bowiem – zdaniem UODO – przesłanki wyłączające stosowanie obowiązku informacyjnego z art. 14 RODO. Dlaczego?

Art. 14 RODO nakłada obowiązek udzielenia oznaczonych informacji osobom, których dane zostały zebrane z innych źródeł niż te osoby. Jednocześnie zawiera on wyłączenie. Obowiązek informacyjny nie musi byś stosowany m. in. wówczas, gdy wymaga to „niewspółmiernie dużego wysiłku”.

Łatwo zauważyć, że pojęcie to jest nieostre. Podobnie jak w uprzednim stanie prawnym. Dlatego przy ocenie możliwości jego zastosowania raczej należy skłaniać się ku wykładni zawężającej. Podmiot ukarany rzeczoną karą postanowił jednak zastosować wykładnię rozszerzającą. Cóż, jak widać decyzja kosztowała prawie milion złotych – przynajmniej w rozumieniu UODO.

Jak zostało to ocenione przez UODO i jakie wnioski możemy przyjąć odnośnie wykładni pojęcia „niewspółmiernie dużego wysiłku”? W przełomowej decyzji znajdują się wymienione poniżej argumenty:

• Wytyczne Grupy Roboczej Art. 29 (tak, tak, ona wciąż pozostaje wyrocznią) dotyczące konieczności „czynnego powiadamiania”.
• Zakres danych osobowych, którymi dysponowała ukarana spółka, w tym adresy korespondencyjne i numery telefonów. Zdaniem organu, dysponując tymi danymi, spółka mogła zrealizować obowiązek informacyjny.

Podsumowując, o tym czy udzielenie informacji z art. 14 RODO decyduje zakres przetwarzanych danych. Jeżeli pozwala on na dotarcie do podmiotów danych – nie ma zmiłuj.

Dodatkowo, wydając przedmiotową decyzję, organ zauważył także, że:

• Spółka podjęła świadomą decyzję (spowodowaną chęcią uniknięcia dodatkowych nakładów finansowych) o niezrealizowaniu wobec osób fizycznych prowadzących aktualnie (w tym aktywnych, zawieszonych) lub w przeszłości jednoosobową działalność gospodarczą obowiązku, o którym mowa w art. 14 ust. 1-3 rozporządzenia 2016/679 „ze względu na milionowe koszty” ([…]), co oznacza, że należy przypisać jej umyślność w naruszeniu wskazanych przepisów prawa (umyślny lub nieumyślny charakter naruszenia);
• usprawiedliwianie przez Spółkę niewykonania obowiązku wynikającego z art. 14 ust. 1 - 3 rozporządzenia 2016/679 wysokimi kosztami finansowymi, aż do próby przerzucenia odpowiedzialności - gdyby go wykonała - za ewentualny spadek jej konkurencyjności na rynku, czy też utratę płynności finansowej, aż do konieczności zakończenia prowadzonej działalności, stanowi okoliczność zdecydowanie działającą na niekorzyść Spółki.
• W ocenie Prezesa UODO kolejną okolicznością obciążającą jest motywacja, którą kierowała się Spółka decydując, że wystarczającym sposobem przekazania informacji, o których mowa w art. 14 ust 1 i 2 rozporządzenia 2016/679, przedsiębiorcom, których adresami e-mail nie dysponuje, będzie opublikowanie ich na swojej stronie internetowej. Spółka nie ukrywa, że za tą decyzją stała kalkulacja kosztów związanych z bezpośrednimi formami dotarcia do osób, których dane przetwarza, a więc chęć uniknięcia dodatkowych związanych z tym kosztów. Spółka przy tym ma świadomość, że prawidłową, gwarantującą odpowiedni poziom zabezpieczenia praw i wolności podmiotów danych, formą podania im wymaganych informacji jest bezpośredni kontakt zainicjowany przez Spółkę.
• Rezygnacja z bezpośredniego kontaktu tylko z powodu związanych z tym kosztów należy ocenić negatywnie, szczególnie, że operacje na danych osobowych stanowią przedmiot podstawowej, czysto komercyjnej, profesjonalnej, wieloletniej działalności Spółki. Od Spółki, jako profesjonalisty w tego rodzaju działalności, należy wymagać takiego ukształtowania strony biznesowej swojej działalności, które uwzględniałoby wszelkie koszty niezbędne dla zapewnienia jej zgodności z przepisami prawa (w tym przypadku z przepisami o ochronie danych osobowych).

A zatem znaczenie miała okoliczność podjęcia „akcji informacyjnej” z art. 14 i jej przerwanie właśnie z uwagi na koszty, pomimo świadomości że co do zasady obowiązek informacyjny powinien być spełniony.

Ponadto, koszty realizacji obowiązku informacyjnego nie wpływają – zdaniem organu – na możliwość zastosowania wyłączenia obowiązku informacyjnego z powołaniem na „niewspółmiernie duży wysiłek.

Jest to istotna wykładnia, którą na pewno będziemy uwzględniać podczas warsztatów z realizacji obowiązku informacyjnego, realizowanych w ramach organizowanych przez nas Kursach dla Inspektorów Ochrony Danych. 

Decyzja wydana przez UODO została zanonimizowana (choć wg niektórych z miernym skutkiem). Niezależnie, podmiot na który nałożono sankcję ujawnił się w formie oficjalnego oświadczenia. Dostępne jest ono tutaj.

Czego się dowiadujemy:

• Spółka uważa, iż zrealizowała obowiązek informacyjny określony w art. 14 RODO, poprzez umieszczenie informacji na swoich stronach internetowych.
• Spółka kwestionuje wykładnię UODO w przedmiocie proporcjonalnego wysiłku, wskazując że wysłała obowiązek informacyjny drogą elektroniczną (w zakresie rekordów, które to umożliwiały), a w pozostałym zakresie (tradycyjne adresy pocztowe i numery telefonów) było zbyt kosztowne i jako takie nieproporcjonalne.
• Realizacja obowiązku informacyjne przez kanały cyfrowe, pocztą elektroniczną lub umieszczanie ogłoszeń jest bardziej pożądane zarówno przez odbiorców, jak i wysyłających.