Kara za naruszenie obowiązków informacyjnych RODO

W dniu 15 marca 2019 roku Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO) nałożył karę w wysokości 943 tys. zł na Spółkę, która naruszyła art. 14 ust. 1 i 2 RODO. Decyzja została oznaczona znakiem: ZSPR.421.3.2018.

Naruszenie to polegało na niepodaniu informacji zawartych w art. 14 ust. 1 i 2 RODO (obowiązku informacyjnego – poinformowania o przetwarzaniu danych osobowych, osób których dane dotyczą) wszystkim osobom fizycznym, których dane osobowe Spółka przetwarza, prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalności. Oprócz wspomnianej kary PUODO nakazał Spółce także dopełnienie wspomnianego obowiązku.

Kara ta została nałożona na podstawie przeprowadzonej w Spółce kontroli.

Kontrolą objęto przetwarzanie przez Spółkę danych osobowych pozyskiwanych ze źródeł publicznie dostępnych, w tym z rejestrów publicznych (m.in. Rejestru Przedsiębiorców KRS, CEIDG, Bazy Regon GUS).

PUODO wszczął wobec Spółki postępowanie administracyjne w sprawie niedopełnienia obowiązku informacyjnego, o którym mowa w art. 14 RODO wobec tych osób fizycznych prowadzących działalność gospodarczą, co do których Spółka nie posiadała adresu e-mail w swojej bazie danych, przy czym dotyczyło to zarówno przedsiębiorców, którzy aktualnie prowadzą działalność gospodarczą, bądź tę działalność zawiesili, jak i tych, którzy tej działalności już nie prowadzą, lecz prowadzili ją w przeszłości.

W sprawie został ustalony następujący stan faktyczny:

  • Spółka oferuje w szczególności raporty handlowe. W zakresie działalności Spółki mieści się także m.in. wydawanie wykazów oraz list (np. adresowych, telefonicznych), przetwarzanie danych, zarządzanie stronami internetowymi (hosting) i podobna działalność, a także pozostałe doradztwo w zakresie prowadzenia działalności gospodarczej i zarządzania.
  • W systemie informatycznym Spółka przetwarza dane osobowe osób fizycznych prowadzących działalność gospodarczą, które zostały pozyskane ze źródeł ogólnie dostępnych, w tym z rejestrów publicznych.
  • W bazie wspomnianego systemu znajdowały się dane dotyczące ok. 3,59 mln osób fizycznych prowadzących aktualnie jednoosobową działalność gospodarczą oraz osób fizycznych, które zawiesiły tę działalność oraz 2,33 mln osób fizycznych prowadzących w przeszłości działalność gospodarczą. Przetwarzanie dotyczyły w szczególności danych adresowych (adres rejestrowy, adres do korespondencji, adres operacyjny) odnoszących się do osób fizycznych prowadzących działalność gospodarczą.
  • Przed rozpoczęciem obowiązywania RODO Spółka wysłała obowiązek informacyjny na wszystkie adresy poczty elektronicznej posiadane w swoim systemie przypisane do przedsiębiorców prowadzących jednoosobową działalność gospodarczą. Rozesłano ponad 900 tys. maili.
  • Spółka zamieściła pełny obowiązek informacyjny także na swojej stronie internetowej.
  • Spółka podjęła decyzję, aby nie realizować obowiązku informacyjnego, poprzez wysłanie krótkich wiadomości tekstowych (SMS) wobec osób, których dane pozyskała ze źródeł publicznie dostępnych (w tym osób fizycznych prowadzących działalność gospodarczą), ponieważ nie posiada numerów telefonów w odniesieniu do każdej z tych osób, a także ze względu na wysokie koszty takiej akcji. Ze względu na wysokie koszty Spółka nie zdecydowała się również na spełnienie tego obowiązku drogą tradycyjnej korespondencji wysłanej do osób, których dane przetwarza.
  • Spółka przedstawiła wyjaśnienia z których wynikało, że przetwarzane przez nią dane są dostępne publicznie, występują w publicznych rejestrach, ich zakres jest stosunkowo wąski, a związane z nimi ryzyka dla praw i wolności osób niskie. Spółka posiada łącznie ponad 7,5 mln rekordów danych dotyczących osób fizycznych, w tym osób prowadzących jednoosobową działalność gospodarczą oraz osób będących wspólnikami lub członkami organów spółek, fundacji i stowarzyszeń. Spółka spełniła indywidualny obowiązek informacyjny wobec 682 439 osób, w stosunku do których posiada w ramach rekordu bazy danych adresy poczty elektronicznej. W odniesieniu do 181 142 osób Spółka dysponuje wyłącznie numerami telefonów komórkowych, a w odniesieniu do 6.490.226 osób dysponuje wyłącznie adresami korespondencyjnymi, z czego 2.924.443 rekordy dotyczą nieaktywnych działalności gospodarczych. Z wyjaśnień Spółki wynikało także, że gdyby miała wykonać obowiązek informacyjny ustanowiony w art. 14 ust. 1 – 2 rozporządzenia 2016/679, indywidualnie wobec wszystkich osób fizycznych, których dane są przedmiotem postępowania, z wykorzystaniem poczty tradycyjnej, to koszt takiej operacji wyniósłby ponad 33.749.175,00 złotych (kwota uzyskana z przemnożenia liczby podmiotów danych, do których nie została wysłana klauzula informacyjna drogą korespondencji elektronicznej, przez koszt nadania za pośrednictwem Poczty Polskiej listu poleconego w wariancie ekonomicznym, bez dodatkowych kosztów administracyjnych).
  • Ponadto, z wyjaśnień Spółki wynikało, że realizacja obowiązku informacyjnego w jego podstawowej formie (tj. indywidualnego kontaktu z każdą osobą, której dane dotyczą) powodowałaby po stronie Spółki „niewspółmierny wysiłek”, o którym mowa w art. 14 ust. 5 lit. b rozporządzenia 2016/679, rozumiany jako obciążenie organizacyjne (tzn. konieczność oddelegowania pracowników i zasobów rzeczowych – komputerów, urządzeń biurowych – do realizacji wyłącznie tego zadania) oraz finansowe (tzn. koszt druku, przygotowania do wysyłki i nadania, w tym papieru, tonera, kopert, znaczków pocztowych, obsługi zwrotów korespondencji, ewentualnie wynagrodzenie podmiotów, którym Spółka mogłaby zlecić wykonanie tego zadania), które w krytyczny sposób zakłóciłyby funkcjonowanie Spółki w stopniu, który mógłby wiązać się z koniecznością zakończenia prowadzenia działalności w Polsce.
  • Spółka powołała się również na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 12 lipca 2016 r. sygn. akt DIS/DEC-587/16/62309, w analogicznej sprawie, w której po orzeczeniu Naczelnego Sądu Administracyjnego z dnia 24 stycznia 2013 r. (o sygn. akt I OSK 1827/11) oraz Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 24 kwietnia 2013 r. (o sygn. akt II SA/Wa 507/13), GIODO stwierdził, że obowiązek informacyjny istnieje a odpowiednim środkiem służącym jego realizacji było zamieszczenie wymaganych informacji na stronie internetowej spółki będącej administratorem danych. W ocenie Spółki w niniejszym postępowaniu nie istnieją przesłanki, aby ocena dokonana przez Prezesa UODO była w tym zakresie odmienna.

W swojej decyzji PUODO ocenił, że przedmiotowy obowiązek informacyjny wynikający z art. 14 rozporządzenia 2016/679 nie został przez Spółkę spełniony w stosunku do pozostałych osób fizycznych prowadzących działalność gospodarczą, których dane są przetwarzane w systemie Spółki, czyli takich, których adresów poczty elektronicznej (e-mail) Spółka nie posiadała. Z ustaleń Prezesa UODO wynika, że Spółka nie spełniła tego obowiązku wobec tych osób fizycznych prowadzących działalność gospodarczą, co do których nie posiadała adresu e-mail w swojej bazie danych, przy czym zarówno chodzi o przedsiębiorców, którzy prowadzą aktualnie działalność gospodarczą („nie zamknęli” tej działalności są aktywni, bądź zawieszeni), jak i o tych, którzy zaprzestali prowadzenia działalności gospodarczej.

Prezes UODO stwierdził również, że samo umieszczenie informacji, wymaganych w art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679, na stronie internetowej Spółki, w sytuacji posiadania przez Spółkę danych adresowych (a niekiedy również numerów telefonów) osób fizycznych prowadzących jednoosobową działalność gospodarczą (aktualnie lub w przeszłości), umożliwiających przesłanie pocztą tradycyjną korespondencji zawierającej wymagane tym przepisem informacje (lub przekazanie ich drogą kontaktu telefonicznego), nie może być uznane za wystarczające spełnienie przez Spółkę obowiązku, o którym mowa w art. 14 ust. 1-3 rozporządzenia 2016/679.

Zdaniem PUODO, przesłanka wyłączająca spełnienie obowiązku informacyjnego, przewidziana w art. 14 ust. 5 lit. b) rozporządzenia 2016/679, tj. wyłączająca zastosowanie art. 14 ust. 1 do ust. 4 rozporządzenia 2016/679, gdy – i w zakresie, w jakim: udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, nie znajdzie zastosowania w niniejszej sprawie w odniesieniu do osób fizycznych prowadzących działalność gospodarczą, których dane osobowe Spółka przetwarza w bazie swojego systemu.

W ocenie Prezesa UODO wysłanie bowiem informacji, o których mowa w art. 14 rozporządzenia 2016/679 pocztą tradycyjną, na adres osoby fizycznej prowadzącej działalność gospodarczą, lub w drodze kontaktu telefonicznego, nie jest czynnością „niemożliwą” oraz nie wymaga „niewspółmiernie dużego wysiłku”, w sytuacji posiadania przez Spółkę w bazie systemu informatycznego danych adresowych, w odniesieniu do osób fizycznych prowadzących jednoosobową działalność gospodarczą (aktualnie lub w przeszłości), a także dodatkowo – numerów telefonów – w odniesieniu do części tych osób. Wskazać w tym miejscu należy, że w odróżnieniu do ww. osób fizycznych, odmienna jest sytuacja osób będących udziałowcami lub członkami organów spółek i innych osób prawnych, których dane Spółka przetwarza. W rejestrach publicznych (w szczególności w Rejestrach KRS) brak jest bowiem danych teleadresowych tych osób, w związku z czym Spółka musiałaby poszukiwać tych danych w innych źródłach, co już mogłoby stanowić dla Spółki „niewspółmiernie duży wysiłek.

PUODO nie zgodził się także z argumentacją Spółki co do tego, że spełnienie obowiązków informacyjnych wiązałoby się z nadmiernymi kosztami, a także wskazał, że sytuacja Spółki nie jest podobna do powoływanych przez nią decyzji i orzeczeń – zarówno w zakresie ilości przetwarzanych danych, jak i posiadania innych danych, które pozwalają spełnić obowiązek informacyjnych także w sposób inny, niż jedynie poprzez stronę internetową.

Oprócz nałożenia kary PUODO nakazał Spółce dopełnienie obowiązku informacyjnego w terminie 3 miesięcy.

Należy także zwrócić uwagę, że we wspomnianej decyzji PUODO wyjaśnił także, jakie kryteria wziął pod uwagę przy ustalaniu wysokości nałożonej kary. Są to: (i) dalsze trwanie naruszenia, (ii) naruszenie dotyczy podstawowych praw i wolności, (iii) decyzja Spółki miała charakter świadomy, (iv) brak poinformowania uniemożliwia korzystanie z praw osób, których dane dotyczą, (v) Spółka uprzednio nie dopuściła się naruszeń, (vi) Spółka współpracowała z PUODO w trakcie kontroli, (vii) naruszenie dotyczyło danych publicznie dostępnych, nie dotyczyło natomiast danych szczególnych kategorii danych osobowych, (ix) informacje zostały powzięte w trakcie kontroli prowadzonej z urzędu, (x) spółka nie stosuje zatwierdzonych kodeksów postępowania, ani nie zostały na nią nałożone w tej sprawie żadne środki, (xi) powoływanie się przez Spółkę na wysokie koszty rozsyłania pocztą obowiązku informacyjnego jako podstawy do rezygnacji z tego działania wskazuje na obniżanie przez Spółkę wartości praw i wolności osób, których dane dotyczą, w stosunku do finansów Spółki, w szczególności gdy jednym z elementów jej działalności jest udostępnienie danych osobowych.

W ocenie Prezesa UODO dodatkową okolicznością obciążającą jest motywacja, którą kierowała się Spółka decydując, że wystarczającym sposobem przekazania informacji, o których mowa w art. 14 ust 1 i 2 rozporządzenia 2016/679, przedsiębiorcom, których adresami e-mail nie dysponuje, będzie opublikowanie ich na swojej stronie internetowej. Spółka nie ukrywała, że za tą decyzją stała kalkulacja kosztów związanych z bezpośrednimi formami dotarcia do osób, których dane przetwarza, a więc chęć uniknięcia dodatkowych związanych z tym kosztów. Spółka przy tym miała, zdaniem PUODO, świadomość, że prawidłową, gwarantującą odpowiedni poziom zabezpieczenia praw i wolności podmiotów danych, formą podania im wymaganych informacji jest bezpośredni kontakt zainicjowany przez Spółkę. Świadczy o tym fakt wybrania w pierwszej kolejności takiego kontaktu w przypadku przedsiębiorców, których adresami e-mail Spółka dysponowała (w tym przypadku kontakt bezpośredni nie wiązał się jednak z praktycznie żadnymi kosztami). Rezygnacja z bezpośredniego kontaktu tylko z powodu związanych z tym kosztów należy ocenić negatywnie, szczególnie, że operacje na danych osobowych stanowią przedmiot podstawowej, czysto komercyjnej, profesjonalnej, wieloletniej działalności Spółki. Od Spółki, jako profesjonalisty w tego rodzaju działalności, należy wymagać takiego ukształtowania strony biznesowej swojej działalności, które uwzględniałoby wszelkie koszty niezbędne dla zapewnienia jej zgodności z przepisami prawa (w tym przypadku z przepisami o ochronie danych osobowych).

Decydując czy nałożyć administracyjną karę pieniężną, a także ustalając jej wysokość, za najistotniejszy Prezes UODO uznał umyślny charakter naruszenia, czyli świadome podjęcie decyzji o nierealizowaniu obowiązku informacyjnego. Niezwykle istotne było także to, że decyzja ta miała i ma wpływ na bardzo dużą ilość osób, wobec których obowiązek informacyjny nie został spełniony. Znaczenie miały także konsekwencje niespełniania tego obowiązku jakimi są: niewiedza osób, których dane dotyczą o procesach przetwarzania ich danych oraz o możliwości skorzystania z przysługujących im praw zagwarantowanych przepisami rozporządzenia 2016/679. Także czas trwania naruszenia ocenić należało negatywnie mając na uwadze termin wejścia w życie rozporządzenia 2016/679 i termin rozpoczęcia jego stosowania. Znaczenie w tej sprawie miało także to, że naruszenie dotyczy – zgodnie z art. 83 ust. 5 lit b rozporządzenia 2016/679 – jednego z podstawowych praw osób, do którego zastosowanie ma wyższa kwota administracyjnej kary pieniężne.

Zdaniem PUODO, należało uznać, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka dostosuje swoje procesy przetwarzania danych do stanu zgodnego z prawem. Wysokość kary powinna być na tyle duża, żeby Spółka, jako ukarany podmiot nie wkalkulowała jej w koszty swojej działalności. Ponadto skuteczność tego rodzaju środka powinna wiązać się dla administratora, jakim jest Spółka, z dolegliwością finansową, niewątpliwą w przypadku podmiotu prowadzącego działalność czysto komercyjną, motywującego swoje działania (w tym również te związane ze stwierdzonym naruszeniem) chęcią powiększenia swoich zysków czy też uniknięcia dodatkowych, niepotrzebnych w jego ocenie, kosztów czy nakładów finansowych. Zastosowanie administracyjnej kary pieniężnej w niniejszym przypadku było zdaniem PUODO niezbędne zważywszy także na to, że Spółka będąc świadomą istnienia naruszenia, nie podjęła ani nawet nie zadeklarowała podjęcia, żadnych działań mających na celu jego usunięcie.

W ocenie Prezesa UODO zastosowana kara pieniężna jest proporcjonalna do stwierdzonego naruszenia, szczególnie biorąc pod uwagę znaczą wagę naruszenia, liczbę podmiotów danych objętych naruszeniem i czas trwania naruszenia.

Zdaniem PUODO w karze przejawił się zarówno aspekt represyjny, jak i prewencyjny. Kara została ustalona w kwocie Euro i przeliczona zgodnie z aktualnym kursem Euro.

W ocenie Prezesa UODO, zastosowana kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 – rzetelności i przejrzystości oraz prawa do informacji.

Decyzja ta może stanowić cenną wskazówkę dla interpretacji tego, w jaki sposób będą realizowane kontrole oraz nakładane kary przez PUODO. Pierwszym nasuwającym się wnioskiem jest to, że PUODO, nakładając karę, w szczególności odwołuje się do zakresu naruszenia, a także tego, czy dotyczy ono podstawowych zasad RODO.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *