Prezes Urzędu Ochrony Danych Osobowych wydał dotychczas tylko jedną decyzję nakładającą karę pieniężną w związku z niedopełnieniem przez administratora danych osobowych obowiązku informacyjnego. Była to jednocześnie pierwsza kara pieniężna w Polsce nałożona na przedsiębiorcę za naruszenie przepisów RODO. Spotkała się ona z bardzo szerokim odzewem, gdyż – poza oczywistym zainteresowaniem, jakie wzbudziła – okazała się być bardzo surowa (wyniosła prawie milion złotych). Co prawda, wskutek złożenia przez ukaraną spółkę skargi na decyzję PUODO kara została następnie uchylona przez sąd, jednak argumentację zastosowaną przez PUODO powinien poznać każdy administrator. Więcej o tym w dzisiejszym artykule.
Co to jest obowiązek informacyjny?
Od kiedy pojawiło się RODO, każdy z nas spotkał się z pewnością z pojęciem „obowiązek informacyjny”. Każdy z nas otrzymał też zapewne, załatwiając swoją sprawę np. w urzędzie czy u operatora telefonii komórkowej, „nadprogramową” kartkę papieru, zatytułowaną dumnie „informacja RODO”. Czy jednak wszyscy rozumiemy, czym właściwie jest obowiązek informacyjny?
Otóż RODO, mając na uwadze zapewnienie nam możliwości realizacji naszych uprawnień, nakłada na administratorów obowiązek przekazania nam pewnych informacji istotnych z punktu widzenia procedury zbierania danych i ich dalszego przetwarzania. Zakres obowiązku informacyjnego różni się w zależności od tego, czy dane zbierane są bezpośrednio od osób, których dotyczą, czy też z innych źródeł (np. od innych podmiotów niż podmiot danych, z jawnych ewidencji lub rejestrów publicznych, stron internetowych, itp.). Pierwszą sytuację reguluje art. 13, a drugą art. 14 RODO. Jednocześnie pewna grupa informacji, które należy podać, jest wspólna w obydwu przypadkach. Dotyczy to w szczególności:
- informacji ujawniających tożsamość i dane kontaktowe administratora danych osobowych,
- informacji o celach przetwarzania danych osobowych i podstawie prawnej przetwarzania, w tym informacji o prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią,
- informacji o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
- opisu praw osoby, której dane dotyczą – tak, by osoba ta była w stanie zrozumieć, jakie konsekwencje pociągnie za sobą dla niej przetwarzanie jej danych osobowych.
W przypadku, gdy dane nie pochodzą bezpośrednio od osoby, której dotyczą, RODO nakazuje administratorowi poinformować tę osobę dodatkowo o źródle pochodzenia danych osobowych (tzn. skąd administrator ma dane), a gdy ma to zastosowanie – podania informacji, czy dane pochodzą ze źródeł publicznie dostępnych.
Informowanie podmiotu danych o ich przetwarzaniu jest szczególnie istotne zwłaszcza w przypadku, gdy administrator pozyskuje dane osobowe w inny sposób niż bezpośrednio od osoby, której one dotyczą. Osoba ta nie wie bowiem w ogóle o tym, że administrator przetwarza jej dane, a co za tym idzie, nie może skorzystać z przysługujących jej uprawnień dotyczących kontroli przetwarzania danych. Dopiero w momencie gdy dowiaduje się o fakcie przetwarzania, może żądać wglądu do danych, skorygowania danych nieprawidłowych, a nawet ich usunięcia. Jednocześnie prawodawca umożliwia administratorowi zwolnienie się z obowiązku podania informacji względem osób, których dane pozyskał z innych źródeł w sytuacji, kiedy udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.
Kiedy i w jaki sposób należy zrealizować obowiązek informacyjny?
Informacje na temat przetwarzania danych osobowych powinny zostać przekazane podczas ich pozyskiwania, a w przypadku gromadzenia danych z innych źródeł – w rozsądnym terminie po pozyskaniu danych osobowych. W tym drugim przypadku termin realizacji obowiązku został zatem pozostawiony uznaniu administratora danych, który powinien ocenić swoje faktyczne możliwości w tym zakresie. Prawodawca ograniczył jednak swobodę decyzji administratora, ustanawiając termin maksymalny – przekazanie informacji powinno nastąpić najpóźniej w ciągu miesiąca od pozyskania danych.
Przepisy RODO nie wskazują konkretnych wytycznych co do formy realizacji obowiązku informacyjnego. Oznacza to, że obowiązek ten może być wykonany przez administratora w różny, dostosowany do specyfiki działalności administratora sposób (np. z wykorzystaniem strony internetowej, poprzez wiadomość email, przekazanie pocztą tradycyjną, a nawet w kontaktach osobistych lub rozmowie telefonicznej).
Co na to PUODO?
Wspomniana jedyna jak dotąd w Polsce kara pieniężna nałożona przez PUODO za brak realizacji obowiązku informacyjnego dotyczyła spółki Bisnode D&B Polska sp. z o.o. i zapadła w marcu 2019 r. (decyzja).
Ukarana spółka jest tzw. wywiadownią gospodarczą – w celach zarobkowych dostarcza swoim klientom informacji o kontrahentach. Dane pozyskuje ze źródeł ogólnie dostępnych, w tym z rejestrów publicznych, zaś wartością jej usługi jest porządkowanie pozyskanych informacji w określony, żądany przez klienta sposób.
W ramach swojej działalności spółka pozyskiwała i przetwarzała dane osób fizycznych prowadzących działalność gospodarczą, pochodzące m. in. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, z bazy REGON Głównego Urzędu Statystycznego oraz z Monitora Sądowego i Gospodarczego. W momencie kontroli PUODO spółka posiadała w swojej bazie 7.594.636 rekordów danych dotyczących osób fizycznych, z czego obowiązek informacyjny spełniła jedynie wobec 682 439 osób, w przypadku których posiadała adresy mailowe. W odniesieniu do pozostałych osób, pomimo posiadania ich numerów telefonów i adresów do korespondencji, spółka ograniczyła się do zamieszczenia treści klauzuli informacyjnej na swojej stronie internetowej. Wskutek powyższego bardzo wiele osób, których dane przetwarzała spółka, nie miało o tym pojęcia. Za niedopełnienie obowiązku informacyjnego wobec prawie 7 mln osób Prezes UODO ukarała spółkę karą pieniężną w wysokości 943.470,00 złotych. Nakazała także spółce dopełnienie obowiązku podania informacji określonych w art. 14 ust. 1 i 2 RODO osobom fizycznym, których dane przetwarza, prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalności, którym informacje te nie zostały podane – w terminie trzech miesięcy od dnia doręczenia decyzji.
Decyzja wzbudziła duże kontrowersje – z powodu wysokości kary pieniężnej, ale także dlatego, że dotyczyła danych pozyskanych z jawnych rejestrów, a ponadto – jak podnosiła ukarana spółka – spełnienie obowiązku informacyjnego kosztowałoby ją miliony złotych. Jednak zdaniem PUODO stwierdzone naruszenie miało poważny charakter, gdyż odnosiło się do podstawowych praw i wolności osób, których dane przetwarza spółka, a ponadto dotyczyło jednej z podstawowych kwestii, jaką jest informacja o tym, że dane są przetwarzane. W ocenie Prezes UODO samo zamieszczenie na stronie internetowej treści klauzuli informacyjnej skierowanej do osób, w przypadku których spółka posiadała adresy korespondencyjne bądź numery telefonu, było niewystarczające –, tym bardziej że nie wiązało się dla spółki z kosztami ustalania danych kontaktowych tych osób.
Spółka Bisnode nie zgodziła się z nałożoną na nią karą i zaskarżyła decyzję PUODO do WSA w Warszawie, który wyrokiem zapadłym w grudniu 2019 r. (wyrok) uchylił nakaz dopełnienia przez spółkę obowiązku informacyjnego wobec osób, które zawiesiły lub zakończyły działalność gospodarczą oraz uchylił w całości nałożoną na spółkę karę pieniężną. WSA zgodził się z UODO, że samo umieszczenie informacji wymaganych przez art. 14 RODO na stronie internetowej w okolicznościach sprawy nie może zostać uznane za wystarczające spełnienie obowiązku informacyjnego. Jednocześnie jednak przyznał rację spółce Bisnode wskazując, że określone w RODO kryteria nakładania administracyjnych kar pieniężnych w postaci skuteczności, proporcjonalności i odstraszającego charakteru, odnoszone powinny być do konkretnego podmiotu, który dopuścił się naruszenia przepisów rozporządzenia. Na wymiar tej kary nie może zaś mieć wpływu cel PUODO. w postaci zamiaru odstraszenia innych administratorów. Jednocześnie WSA podjął w wyroku próbę interpretacji określenia „niewspółmiernie dużego wysiłku” w realizacji obowiązku informacyjnego wskazując, że w pojęciu tym nie chodzi o wydatek finansowy na samą realizację możliwego do spełnienia obowiązku, ale o rzeczywistą trudność w tym, aby w ogóle mieć możliwość jego realizacji. Interes finansowy administratora nie jest bowiem i nie może być wartością przeważającą nad prawem do uzyskania przez osobę fizyczną, której dane administrator przetwarza, informacji o zasadach tego przetwarzania. W związku z zapadłą decyzją WSA zlecił UODO ponowne rozpoznanie sprawy w zakresie wysokości kary z uwzględnieniem wskazanych w wyroku wytycznych.
A jak to jest w innych krajach?
Organy nadzorcze w innych krajach UE nie boją się wymierzać wysokich kar za niedopełnienie przez administratorów ciążących na nich obowiązków informacyjnych. Dużym echem odbiła się zwłaszcza sprawa należącej do niemieckiego giganta chemicznego Bayer spółki Monsanto, która otrzymała od CNIL (francuskiego urzędu ochrony danych osobowych) karę w wysokości 400.000,00 euro za niepoinformowanie o gromadzeniu i zasadach przetwarzania danych osobowych osób, które znalazły się na tzw. listach obserwacyjnych, sporządzonych w kontekście debaty publicznej na temat środka chwastobójczego glifosat (stanowiącego podstawowy składnik flagowego produktu korporacji Monsanto o nazwie Roundup). Wysokie kary otrzymały również m. in. szwedzki Klarna Bank AB (720.000,00 euro) czy włoska filia kontrowersyjnej spółki Clearview AI (20.000.000,00 euro), choć w tym ostatnim przypadku kara dotyczyła naruszeń o dużo szerszej skali niż samo niewypełnienie obowiązku informacyjnego. Jednocześnie praktyka organów nadzorczych w UE pokazuje, że w przypadku naruszeń mniejszej wagi kary pieniężne są niższe, ale nieuniknione.
Jakie stąd wnioski?
Pomimo tego, że Wojewódzki Sąd Administracyjny w Warszawie uchylił karę pieniężną nałożoną przez PUODO na spółkę Bisnode, argumentacja urzędu, jeśli chodzi o podstawy i przesłanki nałożenia kary, została przez sąd podtrzymana. Oznacza to, że spełnienie obowiązku informacyjnego wobec podmiotów danych stanowi must-have, a lekceważenie tego obowiązku wiąże się z wysokim ryzykiem nałożenia kary przez PUODO.