Pierwsza kara w Polsce za niestosowanie regulacji Rozporządzenia RODO dotyczącego ochrony danych osobowych.

Pierwsza kara w Polsce za niestosowanie regulacji Rozporządzenia RODO dotyczącego ochrony danych osobowych. 2019-03-26


Od wejścia w życie regulacji Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 zwanego potocznie Rozporządzeniem RODO minęło 10 miesięcy. W dniu dzisiejszym (26.03) większość mediów opublikowała informację odnośnie nałożenia przez Urząd Ochrony Danych Osobowych pierwszej kary tytułem nie stosowania przez firmę wymagań wynikających wprost z przedmiotowego Rozporządzenia. Kara bardzo dotkliwa bo w wysokości prawie 1 mln zł (943 tyś zł). Nie wiadomo jaka będzie ostateczna wysokość kary jaką firma będzie musiała zapłacić ponieważ przysługuje jej odwołanie od decyzji Urzędu.

Informacje na swojej stronie przedstawił również sam Urząd Ochrony Danych Osobowych. Nie została jednak nigdzie podana do wiadomości nazwa firmy. Wiadomo jednak, że pozyskiwała ona dane osobowe ze źródeł ogólnie dostępnych w tym z bazy CEIDG oraz, że sprawa dotyczyła około 6 mln osób, których dane były przetwarzane. Wśród rekordów w tak dużym zbiorze danych znajdowało się około 90 tyś osób do których firma za pośrednictwem poczty e-mail wysyłała informacje marketingowe. Wobec tej populacji firma dopełniła obowiązku informacyjnego. W odpowiedzi ponad 10 tyś osób z tej listy przedstawiło do firmy żądanie na mocy, którego firma miała zaprzestać przetwarzania ich danych osobowych.

Natomiast do pozostałych osób z listy zawierającej 6 mln rekordów, do których firma nie posiadała adresu e-mail, informacja o przetwarzaniu przez firmę ich danych osobowych nie została w żaden sposób przekazana. Została ona jednak przez firmę przedstawiona na jej stronie internetowej. To właśnie skuteczność tego działania, będącego w rozumieniu firmy dopełnieniem przez nią, wynikającego z Rozporządzenia RODO obowiązku informacyjnego, zostało przez Urząd Ochrony Danych Osobowych zakwestionowane. Czy jednak słusznie?

Jeśli sprawa wygląda tak, jak to zostało przedstawione w mediach i na stronie UODO to sprawa może być bardziej skomplikowana niż się na pierwszy rzut oka wydaje.


Przeanalizujmy tę sytuację w kontekście konkretnych wymagań RODO.

Dane wejściowe:

  • Przetwarzanie danych osobowych w ilości ok. 6 mln rekordów pozyskanych ze źródeł ogólnie dostępnych. Ze względu na brak adresów e-mail do osób tych nie była kierowana żadna korespondencja elektroniczna. Kolejne informacje pozwalają wyciągnąć wniosek, że firma prowadziła działania związane właśnie z wysyłką wiadomości drogą elektroniczną. Żadne źródła nie podają, aby firma przetwarzała te dane (za wyjątkiem ok 90 tyś rekordów) w jakikolwiek inny sposób niż poprzez ich przechowywanie.

  • Przetwarzane dane (6 mln rekordów) pozyskane były ze źródeł ogólnie dostępnych w tym z bazy CEIDG. Rozporządzenie RODO przewiduje dwa sposoby pozyskiwania danych osobowych: (1) bezpośrednio od osoby, której dane dotyczą), (2) w sposób inny niż bezpośrednio od osoby której dane dotyczą. Oznacza to, dane były pozyskane za pomocą drugiej metody.

  • Przetwarzanie danych było realizowane przez firmę w celach zarobkowych.

  • Względem 90 tyś osób, do których firma posiadała adresy e-mail i do których skierowała wiadomości drogą elektroniczną, firma dopełniła obowiązku informacyjnego o czym świadczy żądanie zaprzestania przetwarzania danych osobowych przedłożone przez około 12 tyś. osób.

  • Firma na swojej stronie internetowej (ogólnodostępnej) umieściła informację o przetwarzaniu danych osobowych.

Ze względu na pozyskiwanie przez firmę danych osobowych ze źródeł ogólnie dostępnych czyli w sposób inny niż od osoby, której dane dotyczą, zastosowanie mają regulacje Rozporządzenia RODO przedstawione w artykule 14 (tytuł: Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą). Wśród przedstawionych wymagań jednoznacznie zaprezentowane zostały wymagania dotyczące tego, jakiego rodzaju dane Administrator musi przekazać osobie, której dane przetwarza i której dane pozyskał w sposób inny niż bezpośrednio od danej osoby. Wśród rodzajów dane, które powinien przekazać osobom, których dane przetwarza znajdują się:

  • dane ogólne odnośnie przetwarzania takie jak: informacje o sobie jako o Administratorze danych, cele przetwarzania oraz podstawę prawną przetwarzania, kategorie danych osobowych, informacje o odbiorcach danych osobowych lub kategorie odbiorców, okres przez który dane będą przetwarzane lub kryteria ustalenia tego okresu, swój lub strony trzeciej prawnie uzasadniony interes będący podstawą do przetwarzania danych osobowych (jeśli stanowi to podstawę prawną do przetwarzania danych osobowych), informacje o prawach osoby, której dane osobowe są przetwarzane w tym prawie wniesienia skargi do UODO,

  • dane ogólne odnośnie przetwarzania danych osobowych uwarunkowane charakterystyką administratora lub charakterem przetwarzania danych (należy stosować jeśli ma to zastosowanie): dane kontaktowe do Inspektora Ochrony Danych i/lub informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej i informacje z tym związane oraz informacje o zautomatyzowanym podejmowaniu decyzji w tym o profilowaniu,

  • dane charakterystyczne dla tego sposobu pozyskania danych do przetwarzania takie jak: źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.

Według dostępnych informacji względem ok 90 tyś osób, do których w bazie tej firma posiadała adresy e-mail, informacje te zostały przekazane. Świadczyć o tym może informacja, ze aż 12 tyś osób zgłosiło sprzeciw odnośnie przetwarzania ich danych osobowych lub wykorzystało prawo do bycia zapomnianym (usunięcie danych). Względem jednak pozostałej populacji osób czyli 5,91 mln osób takiego obowiązku nie dopełniono ponieważ firma nie posiadała do tych osób adresów e-mail. Firma umieściła jednak na swojej stronie stosowne informacje. Osoby te jednak nie były świadome, że firma przetwarza ich dane i nie mogły realizować swoich praw wobec tego przetwarzania. Podkreślić w tym miejscu należy, że samo zbieranie i przechowywanie danych to operacje przetwarzania. W rozporządzeniu RODO zostało to przedstawione w art. 4 ust 1: definicja terminu: przetwarzanie. W myśl tej definicji „przetwarzanie” to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;


We wspomnianym już artykule 14 Rozporządzenia RODO przedstawiono wymagania, kiedy Administrator jest zobowiązany przedstawić informacje o przetwarzaniu danych osobie, której dane pozyskał w sposób inny niż bezpośrednio od tej osoby. Obowiązek informacyjny należy dopełnić:

  • w rozsądnym terminie po pozyskaniu danych osobowych jednak nie później niż w ciągu miesiąca od ich pozyskania

  • jeżeli pozyskane dane osobowe mają być wykorzystane do komunikacji z daną osobą, której dane dotyczą – obowiązek informacyjny należy dopełnić najpóźniej przy pierwszej takiej komunikacji z tą osobą

  • jeżeli planuje się ujawnić dane osobowe innemu odbiorcy, obowiązek informacyjny należy dopełnić najpóźniej przy ich pierwszym ujawnieniu.

Powyższe oznacza, ze firma wchodząc w posiadanie danych, które chciała wykorzystać do przekazania informacji marketingowych powinna dopełnić swojego obowiązku informacyjnego względem osób których dane pozyskała najpóźniej przy pierwszym kontakcie z tymi osobami. Z opisu sytuacji wynika, ze zostało to zrobione.

Pozostaje jednak populacja ok 5,91 mln osób, których dane znalazły się w firmie, a których to dane nie były wykorzystywane do komunikacji z wykorzystaniem wiadomości e-mail ze względu na brak adresu e-mail. Zgodnie jednak z definicją ich pozyskanie i przechowywanie są czynnościami przetwarzania. Oznacza to, ze w ciągu najpóźniej miesiąca czasu od och pozyskania firma powinna dopełnić obowiązku informacyjnego. Z punktu widzenia tych wymagań sprawa jest klarowna. Firma nie dopełniła wymagań więc poniosła karę. Ale …

W tym samym punkcie jest informacja, że wyżej wymienione wymagania dotyczące obowiązku informacyjnego nie mają zastosowania gdy – i w zakresie, w jakim:

  • osoba, której dane przetwarzamy dysponuje już tymi informacjami

  • pozyskanie lub ujawnienie tych danych jest wyraźnie uregulowane przepisami prawa (UE lub prawa krajowego)

  • dane muszą być poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w przepisach prawa (UE lub prawa krajowego).

W tym przypadku żadna z powyższych sytuacji nie ma zastosowania: dane pozyskiwane ze źródeł ogólnie dostępnych więc osoby nie miały nawet możliwości wejść w posiadanie informacji o tym, że przetwarzamy ich dane osobowe a pozostałe dwie sytuacje nie mają zastosowania w przypadku kiedy dane pozyskujemy w celu wykorzystania ich do przekazywania danych marketingowych.

Zastosowanie ma jednak 4 przypadek nie wyszczególniony powyżej. Wymagania dotyczące obowiązku informacyjnego względem osób, których dane zostały pozyskane w sposób inny niż bezpośrednio od nich, nie mają zastosowani w, gdy – i w zakresie, w jakim: “udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie.”

Celowo zacytowałem z Rozporządzenia całą treść tego punktu. W pierwszej kolejności rzuca się od razu w oczy, że to dotyczy przypadków, kiedy dane są przetwarzane „…do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych…”. Zostały jednak te przypadki wskazane jako przypadki szczególne dla sytuacji kiedy spełnienie obowiązku informacyjnego okazuje się niemożliwe lub jego spełnienie wymagało by niewspółmiernie dużego wysiłku. W przypadku populacji 5,91 mln osób, których dane były przetwarzane w firmie (w zakresie czynności: zbieranie, utrwalenie, przechowywanie), względem których to osób firma nie posiadała adresów e-mail umożliwiających wysyłkę korespondencji e-mail, firma musiała by informacje o przetwarzaniu tych danych przekazać za pomocą np. tradycyjnej poczty lub w trakcie rozmowy telefonicznej. Z tego względu firma broniła się argumentem, że przekazanie informacji do wszystkich osób, których dane przetwarza było by zbyt drogą operacją i umieściła takie informacje na swojej stronie internetowej.

W tym punkcie artykułu 14 Rozporządzenia RODO jest mowa, że Administrator zobowiązuje się chronić prawa i wolności oraz prawnie uzasadnione interesy tych osób nawet jeśli są to publicznie dostępne informacje. Jeśli, podkreślę JEŚLI te dane nie były w żaden inny sposób przetwarzane to pomimo, że prawa tych osób zostały naruszone przez firmę (co jest oczywiste) to jednak skutki takiego przetwarzania danych dla tych osób są praktycznie żadne. Podejrzewam, że tego typu bazy posiada bardzo wiele firm i ze względu na braki w tych bazach (brak adresów e-mail, nr telefonów) nie przetwarza ich w żaden sposób niż poprzez ich zbieranie, utrwalenie i przechowywanie. Co innego jeśli te dane są w jakiś sposób przetwarzane i nie zostało w żaden sposób wspomniane. Jeśli bowiem informacje przedstawione na stronie UODO odnośnie tej sprawy nie są kompletne i kara tak dotkliwa została nałożona właśnie ze względu na niedopełnienie obowiązku informacyjnego względem osób, których dane, z publicznie dostępnych źródeł, firma posiadała w swoich wewnętrznych zasobach i nie niosło to żadnych skutków dla tych osób to uważam, że firma miałby solidne podstawy do tego aby kara ta została znacznie zmniejszona. Dlaczego wspomniałem, że firma miałaby solidne podstawy. Ponieważ w informacji jakie zostały opublikowane na stronie UODO „…Wymierzając karę, organ wziął pod uwagę również fakt, że administrator nie podjął żadnych działań zmierzających do usunięcia naruszenia ani nie zadeklarował takiego zamiaru…”

Jak wspomniałem nie mamy również wszystkich danych. Wysokość kary jest wysoka, nie ma jednak informacji o obrotach firmy i generowanym przez nią zysku ( w wyniku prowadzonej działalności, do której wykorzystywane są dane osobowe).

Jeśli jednak temat dotyczył małej lub mikro firmy to kara może się okazać zbyt dotkliwa. Nie staram się tutaj rozgrzeszać firmy. Nie dopełniła wymagań wynikających z przepisów prawa. Jak twierdzi UODO na swojej stronie miało to „…charakter umyślny – firma miała świadomość istnienia obowiązku podania stosownych informacji…”. Jednak przytoczony powyżej art. 14 ust. 5 lit. b) jest napisany na tyle niejednoznacznie, że daje firmom możliwość takiej interpretacji wymagań jakiego dokonała ukarana firma. Firma oceniła, że koszty jakie poniosłaby na realizację obowiązku informacyjnego były by niewspółmierne względem skutków jakie niesie dla osób, przetwarzanie (w sposób ograniczony do zbierania, utrwalania i przechowywania) ich danych osobowych.

Podstawowym założeniem tej analizy jest to, że firma nie przetwarzała w żaden inny sposób danych osobowych populacji 5,91 ml osób poza ich zbieraniem, utrwalaniem i przechowywaniem.

Powyższe pokazuje jeszcze jedno. Jeśli dane te nie były wykorzystywane w żadnym celu przez firmę to nie powinny być przez nią przetwarzane. Każda firma powinna przyjrzeć się dobrze swoim procesom pod kątem tego jakie czynności przetwarzania w ramach nich realizuje i jakiego rodzaju dane i w jakim zakresie przetwarza. Może się okazać, że wiele firm przechowuje, a być może i w inny sposób przetwarza dane pomimo braku podstaw prawnych do tego.


UWAGA:

Ze względu na fakt, że powyższa analiza oparta była na bardzo lakonicznych danych (dostępnych w mediach i na stronie UODO) oraz wyżej przedstawionych założeniach, nie należy brać wyników tej analizy jako jakichkolwiek wyznaczników. Zbyt wiele jest niewiadomych i każda tego typu sytuacja wymaga odrębnej analizy. Jest prawdopodobne, że nie zostały podane wszystkie informacje, które w sposób istotny mogą mieć wpływ na przeprowadzoną analizę i jej wyniki.

Zakres oferowanych usług w zakresie ochrony danych osobowych zgodnych z Rozporządzeniem RODO:

Materiały źródłowe:

  1. www.UODO.gov.pl

Back to Top