Urząd Ochrony Danych Osobowych nałożył pierwszą karę finansową

ANALIZY / KOMENTARZE - SAS 3 / 2019

Rozporządzenie Ogólne o Ochronie Danych Osobowych wprowadziło do polskiego porządku prawnego administracyjne kary finansowe za nieprzestrzeganie zasad określonych tym rozporządzeniem. Najwięcej zainteresowania wśród podmiotów gospodarczych – sektora prywatnego i publicznego – wzbudziła wysokość tych kar. Artykuł 83 ust. 4 i 5 RODO przewiduje kary pieniężne, których górna granica wynosi 10 lub 20 mln euro – w zależności od rodzaju naruszenia.

Pierwsza i – na dzień oddania niniejszego artykułu do druku – jedyna administracyjna kara finansowa w Polsce została nałożona decyzją Prezesa Urzędu Ochrony Danych Osobowych z dnia 15 marca 2019 r. (nr ZSPR.421.3.2018) i wynosi 943 470 zł.

ZA JAKIE NARUSZENIA NAŁOŻONO PIERWSZĄ KARĘ W POLSCE?

Ukarana została spółka z o.o., która świadczy usługi przygotowywania na zlecenie klientów tzw. raportów handlowych i w tym celu gromadzi dane z jawnych rejestrów publicznych – m.in. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, z bazy
REGON GUS, z Monitora Sądowego i Gospodarczego. W bazie danych ukaranej spółki znajdują się dane ok. 3,5 mln osób fizycznych prowadzących jednoosobową działalność gospodarczą oraz ok. 2,3 mln osób fizycznych prowadzących działalność gospodarczą w przeszłości. Organ stwierdził, że spółka zrealizowała obowiązek informacyjny poprzez wysłanie wiadomości e-mail do podmiotów, których adres mailowy posiadała (co stanowiło tylko część osób fizycznych, których dane przetwarzała – 902 837), ponadto spółka zamieściła klauzulę informacyjną na stronie internetowej. Kontrolowana spółka podjęła decyzję, aby nie realizować obowiązku informacyjnego poprzez kontakt telefoniczny oraz poprzez przesyłanie informacji tradycyjną pocztą, podnosząc, że koszt tej operacji wyniósłby ponad 33 mln złotych, co stanowiłoby niemal cały roczny przychód spółki z 2018 r.
Bazując na powyższych okolicznościach prezes UODO stwierdził, że „samo umieszczenie informacji, wymaganych w art. 14 ust. 1 i ust. 2 rozporządzenia, na stronie internetowej spółki, w sytuacji posiadania przez spółkę danych adresowych (a niekiedy również numerów telefonów) osób fizycznych prowadzących jednoosobową działalność gospodarczą (aktualnie lub w przeszłości), umożliwiających przesłanie pocztą tradycyjną korespondencji zawierającej wymagane tym przepisem informacje (lub przekazanie ich drogą kontaktu telefonicznego), nie może być uznane za wystarczające spełnienie przez spółkę obowiązku, o którym mowa w art. 14 ust. 1-3 rozporządzenia”.
I za to naruszenie – tj. za zamieszczenie klauzuli informacyjnej na stronie internetowej spółki zamiast przekazania jej drogą pocztową lub elektroniczną bezpośrednio do wszystkich osób fizycznych, których adresy i numery telefonów spółka posiada – Urząd Ochrony Danych Osobowych nałożył na kontrolowaną spółkę administracyjną karę finansową.

DLACZEGO KARA JEST TAK WYSOKA?

Zdaniem wielu komentatorów – niemal milionowa kara – jest karą nadmiernie wygórowaną. Tymczasem organ nadzorczy uzasadnił wysokość nałożonej kary m.in. tym, że – zdaniem organu – „stwierdzone w niniejszej sprawie naruszenie ma poważny charakter, dotyczy bowiem podstawowych praw i wolności osób […]. Naruszenie przez Spółkę obowiązku podania podstawowych informacji o przetwarzaniu oraz pouczenia o przysługujących podmiotom danych prawach z tym związanych pociąga za sobą m.in. ryzyko odebrania im możliwości skorzystania z tych praw”. Ponadto organ nadzorczy przypisał ukaranej spółce „umyślność w naruszeniu wskazanych przepisów prawa”.
Najwięcej jednak uwagi w uzasadnieniu wysokości nałożonej kary organ nadzorczy poświęcił kwestii powoływania się przez kontrolowaną spółkę na wysokie koszty bezpośredniej realizacji obowiązku informacyjnego. Urząd Ochrony Danych Osobowych wskazał, że: „Uzasadnienie przez Spółkę niewykonania obowiązku wynikającego z art. 14 ust. 1–3 rozporządzenia wysokimi kosztami finansowymi […] stanowi okoliczność zdecydowanie działającą na niekorzyść Spółki [...]. W ocenie prezesa UODO […] okolicznością obciążającą jest motywacja, którą kierowała się Spółka decydując, że wystarczającym sposobem przekazania informacji […] będzie opublikowanie ich na swojej stronie internetowej. […] Rezygnację z bezpośredniego kontaktu tylko z powodu związanych z tym kosztów należy ocenić negatywnie”.

ZASKARŻENIE DECYZJI NAKŁADAJĄCEJ KARĘ

Prezes zarządu ukaranej spółki w wywiadzie, opublikowanym 28 marca 2019 r., zapowiedział zaskarżenie decyzji organu nadzorczego do Wojewódzkiego Sądu Administracyjnego. Ponadto wskazał, że w dwóch innych krajach ich firma była również kontrolowana – i tam nie dopatrzono się żadnych uchybień.
Nie mamy jeszcze informacji ani o argumentach podniesionych przez ukaraną spółkę, ani o losach zapowiedzianej skargi. Jednak już dziś wielu komentatorów wskazuje na wątpliwości jakie budzi podejście organu nadzorczego do kwestii kosztów niezbędnych do zrealizowania obowiązku informacyjnego. Kontrolowana spółka wyjaśniała, że szacowany koszt realizacji obowiązku informacyjnego za pośrednictwem poczty tradycyjnej lub wiadomości SMS wyniósłby ok. 33 mln zł, co stanowi niemal 100 proc. rocznych przychodów spółki. Dlatego też spółka powoływała się na art. 14 ust. 5 b RODO, zgodnie z którym „administrator danych osobowych nie jest obowiązany do realizacji obowiązku informacyjnego, jeśli okaże się to niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku […]; w takich przypadkach administrator może udostępnić informacje publicznie (np. na stronie internetowej)”. Urząd Ochrony Danych Osobowych nie uznał jednak, by tak wysokie koszty mogły uzasadniać odstąpienie od realizacji obowiązku informacyjnego poprzez przesłanie informacji bezpośrednio do podmiotów danych. Wręcz przeciwnie, organ wskazał, że powoływanie się na wysokie koszty zasługuje na szczególne potępienie.
Tymczasem wydaje się, że przeznaczenie całego rocznego przychodu spółki na spełnienie obowiązku informacyjnego należy uznać za niewspółmiernie duży wysiłek w rozumieniu art. 14 ust. 5 b RODO i przyjąć, że odstąpienie od bezpośredniego realizowania obowiązku informacyjnego i zastąpienie go publicznym udostępnieniem informacji na stronie internetowej jest w pełni uzasadnione.
Wielu administratorów czeka z niecierpliwością na wyrok Wojewódzkiego Sądu Administracyjnego, który rozstrzygnie, czy omawiana decyzja nakładająca skargę zostanie utrzymana w mocy, czy uchylona.

Urszula Danilczuk-Karnas
adwokat, Karnas. Kancelaria Adwokacka

SPIS TREŚCI

Wydawca: SKIBNIEWSKI MEDIA, Warszawa