Pierwsza kara administracyjna nałożona przez PUODO

Decyzją administracyjną Prezes UODO nałożył 943 tyś zł kary administracyjnej za brak realizacji obowiązku informacyjnego wobec przedsiębiorców. Podmiot ukarany to firma z Warszawy, która zajmuje się tworzeniem baz danych pobierając dane z publicznie dostępnych źródeł . Poza karą administracyjną organ nadzorczy nakazał również spełnienie obowiązku informacyjnego z Art. 14 RODO wobec przedsiębiorców, których dane były i nadal są przetwarzane. Po 10 miesiącach oczekiwania na konsekwencje RODO pojawiła się pierwsza kara. Czy firmy mają się czego obawiać ? Czy kary administracyjne będą nakładane regularnie?

Broker baz danych osobowych

Nie sądzę by ktokolwiek spodziewał się prawie miliona złoty kary administracyjnej za nie poinformowanie osób, których dane dotyczą o tym, że ich dane zostały pobrane z publicznie dostępnego źródła i stanowiły dalszy przedmiot obrotu. Pozornie może się wydawać, że jest to kolejny „RODO absurd”, jednak, gdy postawimy się w roli przedsiębiorcy, który regularnie otrzymuje połączenia telefoniczne z ofertą garnków czy pościeli sprawa staje się mniej absurdalna. Prawie każdy narzeka na połączenia telefoniczne z ofertą, której nie potrzebuje ale skąd firmy telemarketingowe biorą dane? Kupują lub wynajmują je od tzw. brokerów baz danych. Tu dochodzimy do sedna, gdyby przedsiębiorcy zostali poinformowani o tym, że ich dane zostały pobrane i są przetwarzane w takim lub innym celu to mogliby skorzystać z np. prawa do sprzeciwu. Jednak gdy nie zostali poinformowani, zostali pozbawieni możliwości korzystania z praw przewidzianych przez RODO.

Sprawa byłaby oczywista, gdyby przedmiotowa firma nie spełniła w ogóle obowiązku informacyjnego. Jednak ona to zrobiła ale tylko wobec tych przedsiębiorców, którzy podali swój adres mailowy. Po przeanalizowaniu kosztów wysyłania obowiązku informacyjnego listem tradycyjnym okazało się, że są one zbyt duże. W związku z czym opublikowała treść obowiązku informacyjnego na swojej stronie internetowej. Korzystając ze zwolnienia przewidzianego w Art. 14 ust. 5 RODO

„[przyp. aut. Realizacja obowiązku informacyjnego nie ma zastosowania, gdy…] udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;”

Nieszczęśliwie dla przedmiotowej firmy Prezes UODO był odmiennego zdania co do możliwości skorzystania z powyższego zwolnienia. Sprawa jednak sięga głębiej, gdyż znaczna część administratorów danych (podmiotów) w Polsce wciąż uważa, że RODO nie dotyczy przedsiębiorców tj. również jednoosobowych działalności gospodarczych i spółek cywilnych. Jest to po części prawda RODO nie dotyczy m.in. osób prawnych jednak przedsiębiorca ma obowiązek umieszczenia w nazwie swojej działalności imienia i nazwiska, tak samo jak wspólnicy spółki cywilnej. Co oznacza, że te dwie kategorie podmiotów są jednak objęte RODO.

Źródło kontroli

Najprawdopodobniej źródłem kontroli nie była żadna skarga, a jedynie rutynowa kontrola planowa. Zgodnie z rocznym planem kontroli na 2019r. Prezes UODO zaznaczył, że będą kontrolowane  podmioty świadczące usługi telemarketingu i brokerzy danych w zakresie podstaw prawnych przetwarzania danych osobowych. Należy się spodziewać, że branża telemarketingu będzie jeszcze w tym roku co najmniej kilka razy sprawdzana.

Ukarana firma najprawdopodobniej będzie odwoływała się od decyzji organu nadzorczego do sądu administracyjnego co wstrzyma wykonanie decyzji, czyli nałożenie kary. Jednak same koszty postępowania i zaangażowanie firmy w proces sądowy już jest kosztem samym w sobie. Z drugiej strony najbardziej dotkliwą karą będzie ujawnienie o jaką firmę chodzi. Jak tylko informacja ta zostanie upubliczniona raczej nie znajdzie się żaden podmiot, który będzie chciał z nią współpracować. Nie dlatego, że nie zabezpiecza danych a dlatego, że wizerunkowo dla kontrahentów stanie się „trędowata”.

Kolejne kary i poziom wdrożenia RODO

Czy po pierwszej decyzji administracyjnej nakładającej karę pojawią się kolejne? Czy będą nakładane regularnie? Trudno ocenić tym bardziej, że kadencja obecnej Pani Prezes UODO kończy się z dniem 9 kwietnia 2019r., co oznacza że kara była niejako zwieńczeniem obowiązków GIODO/PUODO realizowanych przez ostatnie 4 lata. Z drugiej strony skoro kara została nałożona nie za wyciek danych osobowych czy wielkie naruszenie prawa do prywatności, a za niepoinformowanie osób, których dane dotyczą o przysługujących im prawach można się spodziewać, że kolejne kary z pewnością się pojawią.

Osobiście uważam, że kolejna kara będzie dotyczyła albo jakiegoś pracodawcy w związku z przetwarzaniem danych osobowych rejestrowanych za pomocą systemu monitoringu wizyjnego lub przetwarzania danych osobowych w związku z rekrutacją. Oba te obszary wciąż są bardzo wątpliwe i ewidentnie wymagają decyzji administracyjnych doprecyzowujących różnorodną praktykę. Z drugiej strony służba zdrowia od wejścia w życie RODO jest na ciągłym celowniku jak nie prasy to Ministerstwa Cyfryzacji. Dlatego kolejnym obszarem kontroli mogą być podmioty udzielające świadczeń zdrowotnych, ze szczególnym uwzględnieniem przetwarzania danych osobowych w związku z udostępnianiem dokumentacji medycznej w ramach realizacji praw pacjenta oraz dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia i udzielonych mu świadczeń zdrowotnych.

Podsumowując najwyraźniej jedynym czynnikiem motywującym podmioty do wdrożenia RODO są kary. Tak to przewidział europejski ustawodawca, określając że kary mają być odstraszające jednak czy milion złotych odstraszy branże telemarketingu i producentów baz danych od dalszych naruszeń…