Ta „Pierwsza” kara „za RODO”

Monika Jurkiewicz 27 Mar 2019

W komunikacie z dnia 26 marca 2019 r, na stronie UODO czytamy, że kara została nałożona: „Za niedopełnienie obowiązku informacyjnego Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożyła pierwszą karę w wysokości ponad 943 tys. zł.

„Administrator miał świadomość o ciążącym na nim obowiązku informacyjnym. Stąd decyzja o nałożeniu na ten podmiot kary w tej wysokość” – podkreśliła Prezes UODO dr Edyta Bielak–Jomaa.”

Przy czym chodzi tu konkretnie o obowiązek informacyjny opisany w art. 14 RODO. Zgodnie z nim bowiem jeżeli danych nie pozyskano od osoby, której dotyczą, administrator ma obowiązek jej przekazać informacje dotyczące przetwarzania tych danych. Zarzut Prezes UODO opiera się o to, że przedsiębiorca, nie wysłał pocztą wymaganych informacji, właśnie z powodu wysokich kosztów. Powoływano się na to, że poinformowanie wszystkich osób mogłoby ją kosztować nawet 30 mln złotych, czyli więcej, niż obrót firmy. Dlatego informację umieszczono na swojej stronie internetowej. Przesłano ją też elektronicznie do tych, których przedsiębiorca miał adres mailowy. UODO uznał to za naruszenie RODO. Wskazał, że skoro firma posiada adresy osób fizycznych, to powinna je poinformować, że przetwarza ich dane. A pozyskując dane z  CEIDG, ma adres, gdzie działalność została zarejestrowana, a czasami nawet numer telefonu. Może więc wysłać tradycyjny list czy sms. Prezes UODO uznała, że gdyby firma musiała te dane pozyskiwać, dopiero wówczas byłby to niewspółmiernie duży wysiłek. 

 

W tak zarysowanym stanie faktycznym pojawiają się pytania dotyczące tak postępowania przedsiębiorcy jak i oceny tego postępowania dokonanej przez UODO:

  1. Czy obowiązek informacyjny musi być spełniony w określonej formie ?
  2. Czy skoro nie mamy możliwości wypełnić go w formie np. elektronicznej to konieczne jest, aby wypełnić go „papierowo” skoro ta forma wiąże się bardzo wysokimi kosztami ?
  3. Jak zdefiniować te nadmierne koszty/niewspółmierny wysiłek ?

 

Już z informacji jaką czytamy w komunikacie dowiadujemy się, że zdaniem Prezes UODO, przepisy nie nakładają na administratora obowiązku wysłania takiej korespondencji listem poleconym, co argumentowała spółka jako usprawiedliwienie niewykonania kosztownego obowiązku. Przepisy RODO stanowią jedynie, że informacja przekazywana przez administratora ma być przekazana w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem (zasada przejrzystości). Także motyw 60 RODO na to wskazuje: Zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych. Ponadto należy poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania. Jeżeli gromadzi się dane osobowe od osoby, której dane dotyczą, należy ją też poinformować, czy ma ona obowiązek je podać, oraz o konsekwencjach ich niepodania. Informacje te można przekazać w połączeniu ze standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Jeżeli znaki te są przedstawione elektronicznie, powinny nadawać się do odczytu maszynowego.

Zatem obowiązek informacyjny musi być wypełniony w takiej formie, aby podmiot danych miał możliwość skorzystania ze swoich praw. Informowanie osoby, której dane dotyczą, o przetwarzaniu jej danych w sytuacji, gdy administrator pozyskuje dane z innych źródeł (np. od innych podmiotów niż podmiot danych), jest szczególnie ważne z punktu widzenia zapewnienia realizacji prawa osoby do ochrony jej danych z uwagi na to, że osoba, której dane dotyczą, nie wie o tym, że administrator przetwarza jej dane, a co za tym idzie, nie może skorzystać z przysługujących jej uprawnień dotyczących kontroli przetwarzania danych. Dopiero wtedy, gdy podmiot danych dowie się (zostanie poinformowany o tym), że jego dane są przetwarzane, może domagać się wglądu do danych, skorygowania danych nieprawidłowych, lub nawet ich usunięcia.

Zgodnie z art. 14 ust. 5 lit. b wtórny obowiązek informacyjny jest jednak wyłączony w zakresie, w jakim udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. „Niewspółmiernie duży wysiłek” to przypadek, gdy wysiłek włożony w przekazanie informacji jest nieproporcjonalny i w danym przypadku nieuzasadniony względem celu, dla którego wysiłek ów miałby być podjęty. Zważyć należy jednak, że ocena w tym zakresie musi dotyczyć konkretnego administratora i konkretnego przetwarzania, ponieważ w innym stanie faktycznym takie przesłanki zwolnienia z obowiązku zwyczajnie mogą nie zachodzić, bo administrator dysponuje bardziej wyspecjalizowanymi środkami technicznymi i możliwościami organizacyjnymi, odpowiednim know-how, a także większym budżetem. Tak czytamy np. w komentarzu: Ogólne rozporządzenie o ochronie danych osobowych. Komentarz 2018, wyd. 1 Sakowska-Baryła.

Mamy tu zatem oczywistą kolizję dwóch uprawnień, prawa podmiotu danych do informacji i prawo administratora do odstąpienia od obowiązku informowania o ile stanowiłoby to dla niego nieproporcjonalnie duży wysiłek. Przy czym niewspółmiernie duży wysiłek to przesłanka subiektywna, której oceny zasadniczo dokonuje administrator. Jeżeli jednak administrator będzie chciał się na nią powoływać, to powinien być w stanie wykazać jej istnienie.

W Wytycznych Grupy Roboczej art. 29 w sprawie przejrzystości na mocy rozporządzenia 2016/679 czytamy:

Jeżeli, na podstawie tego, że udzielenie informacji wymagałoby niewspółmiernego wysiłku, administrator danych dąży do oparcia się na wyłączeniu ujętym w artykule 14 ust. 5 lit. b), powinien on przeprowadzić ćwiczenie bilansujące, w celu dokonania oceny wysiłku administratora danych w udzieleniu osobie, której dane dotyczą, informacji z jednej strony oraz wpływie i skutkach dla osoby, której dane dotyczą, gdyby nie udzielono jej takiej informacji z drugiej. Niniejsza ocena powinna zostać udokumentowana przez administratora danych zgodnie z obowiązkami zachowania rozliczalności. W takim przypadku artykuł 14 ust. 5 lit. b) określa, że administrator musi przedsięwziąć właściwe środki w celu ochrony praw, wolności i prawnie uzasadnionego interesu osoby, której dane dotyczą. Powyższe ma jednakowe zastosowanie, jeżeli administrator określa, że udzielenie informacji okazuje się niemożliwe lub może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. Jednym z właściwych środków, który administratorzy muszą zawsze wykonać, jak określono w artykule 14 ust. 5 lit, b), jest publiczne udostępnienie informacji. Administrator może zrealizować to na wiele sposobów, na przykład zamieszczając informację na swojej stronie Internetowej lub proaktywnie reklamując informację w gazecie lub na plakatach swoich lokali. Inne odpowiednie środki, poza publiczną dostępnością do informacji, będą zależały od okoliczności przetwarzania, ale mogą obejmować: wykonanie oceny skutków dla ochrony danych, zastosowanie technik pseudonimizacji w stosunku do danych, minimalizowanie gromadzonych danych oraz okresu przechowywania oraz wdrożenie środków technicznych i organizacyjnych w celu zapewnienia wysokiego poziomu bezpieczeństwa. Ponadto mogą występować sytuacje, w których administrator danych przetwarza dane osobowe, które nie wymagają identyfikacji osoby, której dane dotyczą (na przykład dane poddane pseudonimizacji). W takim przypadku stosowny może być również artykuł 11 ust. 1, jako że stanowi, że administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do GDPR.

 

Nie wiem jak Wy, ale ja mam poważne wątpliwości czy UODO nie interpretował zasad RODO w sposób nader rygorystyczny. Czekam zatem niecierpliwie na więcej szczegółów okoliczności wydania tej decyzji.