Pierwsza kara pod rządami RODO – co z niej wynika?

Opublikowano: 16.04.2019
Ostatnia aktualizacja: 07.05.2019
Pierwsza kara pod rządami RODO – co z niej wynika?

Ostatnio Internet obiegła informacja, że Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą administracyjną karę pieniężną. Kara sięgnęła niemal miliona złotych.

Za co nałożono karę w RODO

Karę nałożono na jedną z firm, zajmujących się tworzeniem profili gospodarczych przedsiębiorców, za brak powiadomienia osób, których dane zostały zebrane o rozpoczęciu ich przetwarzania. Co istotne – dane dotyczyły przedsiębiorców prowadzących jednoosobową działalność gospodarczą, a także członków organów podmiotów wpisywanych do KRS; dane zostały zebrane z ogólnodostępnych rejestrów: CEiDG, KRS oraz GUS (REGON).

Wpisy do ww. rejestrów i ewidencji niekiedy zawierały adres e-mail poszczególnych osób. Jednak w niektórych przypadkach osoby nie ujawniały swoich adresów e-mail(np. gdy pobrania danych  dokonano z KRS, gdzie nie ma nawet możliwości podania maila osoby fizycznej). –.

Ukarany podmiot dane osobowe zebrał, lecz powiadomił o tym fakcie wyłącznie elektronicznie te osoby, których adresy e-mail były dostępne. Co do pozostałych uznał, że ich powiadomienie możliwe byłoby tylko pocztą tradycyjną i powołał się na art. 14 ust. 5 RODO, który mówi, że poinformowanie nie jest konieczne, jeśli wymagałoby to „niewspółmiernego wysiłku”.

Prezes Urzędu Ochrony Danych Osobowych nie podzielił tego stanowiska i uznał, że jeśli ukarany dane zebrał, to jego obowiązkiem jest poinformowanie o tym, a wysłanie listów poleconych „niewspółmiernym wysiłkiem” nie jest.

Decyzja jest ostateczna (postępowanie jest jednoinstancyjne), ale ukarany ma prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego.

Co wynika z decyzji

W Internecie przetacza się dyskusja, czy kara jest słuszna. Z pewnością pokazuje ona kierunek myślenia Prezesa UODO. Sama treść decyzji również wskazuje, że w intencji Prezesa UODO kara ma mieć charakter odstraszający. W mojej ocenie decyzja ta jest krokiem w dobrą stronę. Wskazuje bowiem, że ochronie podlega każda osoba fizyczna, nawet ta, która ma obowiązek w rejestrze czy ewidencji podać swoje dane, udostępniane  potem z urzędu w Internecie. Niemal każdego z przedsiębiorców potrafi np. trapić nachalny marketing we wszelkich formach a przecież to właśnie jest często celem zbierania danych. Rejestry publiczne (służące bezpieczeństwu transakcji handlowych) nie są zaś nieograniczoną kopalnią danych.

RODO gwarantuje każdemu fundamentalne prawo – sprzeciwu wobec przetwarzania jego danych. Chcąc jednak z niego skorzystać osoba musi przecież wiedzieć, że ktoś te dane w ogóle przetwarza. Prezes UODO dał wyraźny sygnał, że art. 14 ust. 5 RODO, zwalniający z obowiązku poinformowania o ich przetwarzaniu, będzie traktował jako wyjątek i nie zgadza się na „wyłączanie spod ochrony” przedsiębiorców, którzy zobowiązani są do ujawnienia swoich danych w publicznych rejestrach państwowych. Innymi słowy, ochrona danych została potraktowana bardzo indywidualnie, a Prezes UODO uznał, że każda osoba fizyczna „warta jest” wysłania do niej listu poleconego, choćby rozmiar łączny zbieranych danych powodował, że sumaryczne koszty będą wysokie. Wniosek jest jasny: skala działalności nie usprawiedliwia „przeskakiwania” nad prawami jednostki.

Jak się zabezpieczyć

Co jednak zrobić, jeśli jesteśmy po stronie podmiotu, który zbiera dane? Jak zapewnić spełnienie warunków RODO w naszej działalności? Decyzja Prezesa UODO jest świetnym przykładem zastosowania zasady „rozliczalności” – dla pozostawania w zgodzie z RODO nie wystarcza sam jednorazowy audyt i sporządzenie procedur wewnętrznych, które trafią do segregatora. Przetwarzający ma udowodnić, że zastosował właściwe środki. A przecież wraz z wejściem RODO w życie gros przedsiębiorców wpadło w „gorączkę RODO” i zlecało przygotowywanie mnóstwa mniej lub bardziej sensownych dokumentów wewnętrznych.

Owszem, wykonanie lub uzupełnienie odpowiedniej dokumentacji często jest konieczne, ale decyzja UODO pokazuje, że dokumentacja to dopiero początek. Każde poważniejsze działanie na danych osobowych powinno być zawsze indywidualnie oceniane.

Wydaje się, że ryzyko związane z opisanymi działaniami, które skończyły się nałożeniem kary można było choćby w części przewidzieć. Co można zrobić, żeby się realnie zabezpieczyć? Zdecydowanie warto rozważyć powołanie w swojej firmie inspektora ochrony danych. Warto też zasięgać opinii prawników, specjalizujących się w ochronie danych osobowych. Każda operacja na danych osobowych powinna być przeanalizowana.

W czym możemy pomóc

Kancelaria Radców Prawnych Tomasz Czapczyński w swojej ofercie posiada zarówno prowadzenie audytów i przygotowywanie dokumentacji RODO, jak też obsługę związaną z bieżącym stosowaniem RODO. Oferujemy objęcie funkcji inspektora danych osobowych oraz bieżące doradztwo w sprawie operacji na danych osobowych.

Robert Drożdż
prawnik w Kancelarii Radców Prawnych Tomasz Czapczyński

Podobał Ci się artykuł? Zaobserwuj nas w social mediach.

Zapisz się do naszego newslettera

Przeczytaj także

Czy restrukturyzacja i upadłość to odpowiedź na problemy przemysłu?

Czy restrukturyzacja i upadłość to odpowiedź na problemy przemysłu?

Przedsiębiorcy działający w branży przemysłowej, ze względu na specyfikę tej gałęzi biznesu, niejednokrotnie... Czytaj więcej

Monitoring w zakładzie pracy a przepisy

Monitoring w zakładzie pracy a przepisy

Wideomonitoring w zakładach pracy jest popularnym narzędziem, które wspiera pracodawców w zapewnieniu bezpieczeństwa... Czytaj więcej

Rekrutujesz pracownika? Zadbaj o RODO!

Rekrutujesz pracownika? Zadbaj o RODO!

Ochrona danych osobowych staje się niezwykle istotna w każdym obszarze działalności, w tym także w procesie... Czytaj więcej

Przestrzegamy praw biznesu

Skontaktuj się z nami

Kontakt