Pierwsza kara Prezesa UODO za naruszenie przepisów o ochronie danych osobowych

Prezes UODO ogłosił nałożenie pierwszej kary za nieprzestrzeganie przepisów unijnego rozporządzenia o ochronie danych osobowych. Kara wynosi ponad 943 tys. zł.

Jakie naruszenie?

Podstawą nałożenia kary jest naruszenie przez administratora danych osobowych wymogu spełnienia obowiązku informacyjnego wobec podmiotów, których dane dotyczą.

W praktyce obowiązek informacyjny oznacza przekazanie podmiotom, których dane są przetwarzane informacji m.in. o tożsamości administratora, celach i podstawie prawnej przetwarzania danych, prawach przysługujących podmiotowi danych oraz innych informacjach wskazanych – w tym przypadku – w art. 14 RODO.

Rezygnacja ze spełnienia obowiązku informacyjnego

Ukarany podmiot prowadzi działalność polegającą m.in. na zbieraniu i przekazywaniu innym podmiotom informacji o kontrahentach. Taką działalność można określić mianem „wywiadowni gospodarczej”. Administrator zajmował się pozyskiwaniem informacji o osobach prowadzących jednoosobową działalność gospodarczą. Przetwarzane dane zbierane były na podstawie informacji ujawnionych w publicznych rejestrach – m.in. przez Centralną Ewidencję i Informację o Działalności Gospodarczej (CEIDG).

Przedsiębiorca stał się administratorem danych m.in. w wyniku zgromadzenia, usystematyzowania oraz utrwalenia zebranych danych wykorzystywanych w związku z prowadzoną przez siebie działalnością. W efekcie przedsiębiorcę zaczęły dotyczyć wymogi związane m.in. ze spełnieniem obowiązku informacyjnego wobec osób – przedsiębiorców prowadzących jednoosobową działalność gospodarczą, których dane były przetwarzane.

Zgodnie z art. 12 RODO administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji określonych w art. 13 i 14 RODO.

Przedsiębiorca zrezygnował jednak ze spełnienia obowiązku informacyjnego wobec osób, co do których nie dysponował adresem e-mail (posiadał natomiast dane adresowe oraz numer telefonu). Przyjął jednocześnie, że w przypadku osób, których adresów e-mail nie posiadał i w efekcie wobec których wykorzystanie mailowego kanału komunikacji nie jest możliwe – spełnienie obowiązku informacyjnego w formie zawiadomień listem poleconym wiązałoby się z wysokimi kosztami.

W tym zakresie ograniczył się jedynie do umieszczenia klauzuli informacyjnej na swojej stronie internetowej. Administrator zrezygnował z podjęcia innych form komunikacji, które miałyby na celu spełnienie obowiązku informacyjnego.

Stanowisko Prezesa UODO

Prezes UODO w prowadzonym postępowaniu nie znalazł w tym przypadku uzasadnienia dla rezygnacji ze spełnienia obowiązku informacyjnego przez przedsiębiorcę.

Tym samym nie podzielił stanowiska przedsiębiorcy o możliwości rezygnacji ze spełniania obowiązku informacyjnego z uwagi na konieczność podjęcia niewspółmiernie dużego wysiłku związanego ze spełnieniem obowiązku informacyjnego z wykorzystaniem listów poleconych.

Efekty nałożenia kary przez Prezesa UODO

Niewątpliwie nałożona przez Prezesa UODO kara podkreśla kluczowy charakter obowiązku informacyjnego, który powinien być realizowany przez administratora danych wobec podmiotów danych.

Tym samym, ewentualna rezygnacja przez przedsiębiorcę z przekazania informacji określonych w art. 13 lub 14 RODO powinna mieć charakter wyjątkowy, uzasadniony szczególnymi okolicznościami.

Przesłanki umożliwiające rezygnację ze spełnienia takiego obowiązku powinny być stosowane niezwykle ostrożnie, po wnikliwej analizie wszelkich okoliczności.

Stanowisko Prezesa UODO potwierdza fundamentalny charakter obowiązku przekazywania klauzul informacyjnych podmiotom, których dane są przetwarzane, niezależnie czy dane osobowe zostały pozyskane bezpośrednio od osoby, której dane dotyczą, czy też od osób trzecich.

Korzystający z usług „wywiadowni gospodarczej”

W wyniku nałożonej przez Prezesa UODO kary na aktualności zyskuje jeszcze jedno pytanie – o obowiązki podmiotów korzystających z usług wywiadowni gospodarczych.

Zazwyczaj z informacji zgormadzonych przez podmioty zajmujące się zbieraniem informacji z publicznych rejestrów korzystają przedsiębiorcy wykorzystujący takie informacje w toku prowadzonej przez siebie działalności gospodarczej.

W konsekwencji, w przypadku uznania, że w takich sytuacjach przekazywanie danych może stanowić ich udostępnienie kwestią wymagającą każdorazowo rozstrzygnięcia są ewentualne obowiązki przedsiębiorcy otrzymującego dane osobowe od wywiadowni gospodarczych wynikające z przepisów o ochronie danych osobowych.

Autor: Ludmiła Łuczak

SENIOR MANAGER | RADCA PRAWNY | OW LEGAL

ludmila.luczak@olesinski.com

Więcej

Autor: Zuzanna Prandecka-Walek

SENIOR ASSOCIATE | ADWOKAT | OW LEGAL

zuzanna.prandecka-walek@olesinski.com

Więcej