Urząd Ochrony Danych Osobowych (UODO) nałożył pierwszą karę finansową w wysokości 943 470 złotych za niezrealizowanie obowiązku wynikającego z przepisów ogólnego rozporządzenia o ochronie danych – RODO.
Kara finansowa została nałożona na spółkę, która przetwarzała w swojej bazie dane osobowe pochodzące z ogólnodostępnych rejestrów – CEIDG oraz KRS i nie realizowała obowiązków informacyjnych. Zgodnie z RODO, ten, kto pozyskuje dane osobowe w inny sposób niż od osoby, której dotyczą, powinien poinformować tę osobę w szczególności o:
1. swojej tożsamości i danych kontaktowych,
2. celu przetwarzania,
3. okresie przechowywania danych,
4. przysługujących prawach,
5. źródle pochodzenia danych.
Podmiot, który był kontrolowany miał w swojej bazie 7 594 636 rekordów danych dotyczących osób. Około 3,59 mln rekordów stanowiły dane osób fizycznych prowadzących aktualnie jednoosobową działalność gospodarczą oraz osób fizycznych, które zawiesiły tę działalność oraz około 2,33 mln – osób fizycznych prowadzących w przeszłości działalność gospodarczą. Obowiązek informacyjny spółka spełniła w stosunku do 682 439 osób, do których miała adresy poczty elektronicznej.
Podmiot kontrolowany oszacował, że koszt listownego powiadomienia wszystkich osób wyniesie około 33,7 mln złotych i powołał się na zwolnienie z realizacji obowiązku informacyjnego, na podstawie art. 14 ust. 5 lit. b) RODO. Zgodnie z tym artykułem, w zakresie, w jakim udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, obowiązek informacyjny nie ma zastosowania.
Fakt nałożenia kary na podmiot kontrolowany z powodu niezrealizowania obowiązków informacyjnych jest kontrowersyjny, ponieważ spółka złożyła oświadczenie o przychodach netto ze sprzedaży i zrównanych z nimi za rok 2018 w wysokości około 34,7 mln zł, oraz sprawozdanie finansowe spółki za rok obrotowy od 1 stycznia do 31 grudnia 2017 r. Wynika z niego, że wysokość przychodów netto ze sprzedaży i zrównanych z nimi to ponad 29 mln zł. Zatem UODO nakładając karę uznał, że koszt realizacji obowiązku informacyjnego, konsumujący roczny przychód spółki to nie jest dla spółki „niewspółmiernie duży wysiłek”.
Do możliwości różnych interpretacji prowadzi ogólny charakter przepisów. Możemy zakładać, że podmiot kontrolowany zaskarży opisaną wyżej decyzję i być może sąd skieruje zapytanie do Trybunału Sprawiedliwości Unii Europejskiej o wykładnie art. 14 ust. 5 lit. b) RODO i pojęcia „niewspółmiernie duży wysiłek”.
UODO nie odniósł się do faktu, że podmiot kontrolowany miał w bazie 181 142 osób, do których dysponował wyłącznie numerami telefonów komórkowych i w stosunku do tych osób również nie zrealizował obowiązków informacyjnych, choć nie wymagało to takiego nakładu finansowego, jak wysyłka korespondencji poleconej. Jednak bardzo ważny jest fragment uzasadnienia UODO:
Rezygnację z bezpośredniego kontaktu tylko z powodu związanych z tym kosztów należy ocenić negatywnie, szczególnie, że operacje na danych osobowych stanowią przedmiot podstawowej, czysto komercyjnej, profesjonalnej, wieloletniej działalności Spółki. Od Spółki, jako profesjonalisty w tego rodzaju działalności, należy wymagać takiego ukształtowania strony biznesowej swojej działalności, które uwzględniałoby wszelkie koszty niezbędne dla zapewnienia jej zgodności z przepisami prawa (w tym przypadku z przepisami o ochronie danych osobowych).”
Urząd tym samym zajął stanowisko, z którego wynika, że przedsiębiorca powinien wszystkie koszty związane z realizacją jego prawnych obowiązków uwzględnić w cenie swoich usług. W związku z tym można wnioskować, że nadmierne koszty w ocenie przedsiębiorcy nie będą wystarczającym uzasadnieniem dla UODO dla niestosowania się do przepisów RODO.
UODO prócz obowiązku zapłaty administracyjnej kary pieniężnej w wysokości 943 470 zł, nakazał kontrolowanej spółce dopełnienie obowiązku informacyjnego osobom fizycznym, których dane osobowe spółka ta przetwarza i wyznaczył na jego realizację termin trzech miesięcy.
Decyzja UODO została opublikowana na stronie internetowej urzędu.
Fot. Pixabay/geralt