Ostatnio Internet obiegła informacja, że Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą administracyjną karę pieniężną. Kara sięgnęła niemal miliona złotych.
Karę nałożono na jedną z firm, zajmujących się tworzeniem profili gospodarczych przedsiębiorców, za brak powiadomienia osób, których dane zostały zebrane o rozpoczęciu ich przetwarzania. Co istotne – dane dotyczyły przedsiębiorców prowadzących jednoosobową działalność gospodarczą, a także członków organów podmiotów wpisywanych do KRS; dane zostały zebrane z ogólnodostępnych rejestrów: CEiDG, KRS oraz GUS (REGON).
Wpisy do ww. rejestrów i ewidencji niekiedy zawierały adres e-mail poszczególnych osób. Jednak w niektórych przypadkach osoby nie ujawniały swoich adresów e-mail(np. gdy pobrania danych dokonano z KRS, gdzie nie ma nawet możliwości podania maila osoby fizycznej). –.
Ukarany podmiot dane osobowe zebrał, lecz powiadomił o tym fakcie wyłącznie elektronicznie te osoby, których adresy e-mail były dostępne. Co do pozostałych uznał, że ich powiadomienie możliwe byłoby tylko pocztą tradycyjną i powołał się na art. 14 ust. 5 RODO, który mówi, że poinformowanie nie jest konieczne, jeśli wymagałoby to „niewspółmiernego wysiłku”.
Prezes Urzędu Ochrony Danych Osobowych nie podzielił tego stanowiska i uznał, że jeśli ukarany dane zebrał, to jego obowiązkiem jest poinformowanie o tym, a wysłanie listów poleconych „niewspółmiernym wysiłkiem” nie jest.
Decyzja jest ostateczna (postępowanie jest jednoinstancyjne), ale ukarany ma prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego.
W Internecie przetacza się dyskusja, czy kara jest słuszna. Z pewnością pokazuje ona kierunek myślenia Prezesa UODO. Sama treść decyzji również wskazuje, że w intencji Prezesa UODO kara ma mieć charakter odstraszający. W mojej ocenie decyzja ta jest krokiem w dobrą stronę. Wskazuje bowiem, że ochronie podlega każda osoba fizyczna, nawet ta, która ma obowiązek w rejestrze czy ewidencji podać swoje dane, udostępniane potem z urzędu w Internecie. Niemal każdego z przedsiębiorców potrafi np. trapić nachalny marketing we wszelkich formach a przecież to właśnie jest często celem zbierania danych. Rejestry publiczne (służące bezpieczeństwu transakcji handlowych) nie są zaś nieograniczoną kopalnią danych.
RODO gwarantuje każdemu fundamentalne prawo – sprzeciwu wobec przetwarzania jego danych. Chcąc jednak z niego skorzystać osoba musi przecież wiedzieć, że ktoś te dane w ogóle przetwarza. Prezes UODO dał wyraźny sygnał, że art. 14 ust. 5 RODO, zwalniający z obowiązku poinformowania o ich przetwarzaniu, będzie traktował jako wyjątek i nie zgadza się na „wyłączanie spod ochrony” przedsiębiorców, którzy zobowiązani są do ujawnienia swoich danych w publicznych rejestrach państwowych. Innymi słowy, ochrona danych została potraktowana bardzo indywidualnie, a Prezes UODO uznał, że każda osoba fizyczna „warta jest” wysłania do niej listu poleconego, choćby rozmiar łączny zbieranych danych powodował, że sumaryczne koszty będą wysokie. Wniosek jest jasny: skala działalności nie usprawiedliwia „przeskakiwania” nad prawami jednostki.
Co jednak zrobić, jeśli jesteśmy po stronie podmiotu, który zbiera dane? Jak zapewnić spełnienie warunków RODO w naszej działalności? Decyzja Prezesa UODO jest świetnym przykładem zastosowania zasady „rozliczalności” – dla pozostawania w zgodzie z RODO nie wystarcza sam jednorazowy audyt i sporządzenie procedur wewnętrznych, które trafią do segregatora. Przetwarzający ma udowodnić, że zastosował właściwe środki. A przecież wraz z wejściem RODO w życie gros przedsiębiorców wpadło w „gorączkę RODO” i zlecało przygotowywanie mnóstwa mniej lub bardziej sensownych dokumentów wewnętrznych.
Owszem, wykonanie lub uzupełnienie odpowiedniej dokumentacji często jest konieczne, ale decyzja UODO pokazuje, że dokumentacja to dopiero początek. Każde poważniejsze działanie na danych osobowych powinno być zawsze indywidualnie oceniane.
Wydaje się, że ryzyko związane z opisanymi działaniami, które skończyły się nałożeniem kary można było choćby w części przewidzieć. Co można zrobić, żeby się realnie zabezpieczyć? Zdecydowanie warto rozważyć powołanie w swojej firmie inspektora ochrony danych. Warto też zasięgać opinii prawników, specjalizujących się w ochronie danych osobowych. Każda operacja na danych osobowych powinna być przeanalizowana.
Kancelaria Radców Prawnych Tomasz Czapczyński w swojej ofercie posiada zarówno prowadzenie audytów i przygotowywanie dokumentacji RODO, jak też obsługę związaną z bieżącym stosowaniem RODO. Oferujemy objęcie funkcji inspektora danych osobowych oraz bieżące doradztwo w sprawie operacji na danych osobowych.
Robert Drożdż
prawnik w Kancelarii Radców Prawnych Tomasz Czapczyński
Podobał Ci się artykuł? Zaobserwuj nas w social mediach.
Zapisz się do naszego newslettera
Przeczytaj także
Przedsiębiorcy działający w branży przemysłowej, ze względu na specyfikę tej gałęzi biznesu, niejednokrotnie... Czytaj więcej
Wideomonitoring w zakładach pracy jest popularnym narzędziem, które wspiera pracodawców w zapewnieniu bezpieczeństwa... Czytaj więcej
Ochrona danych osobowych staje się niezwykle istotna w każdym obszarze działalności, w tym także w procesie... Czytaj więcej