W dniu 26 marca 2018 r. Urząd Ochrony Danych Osobowych na swojej stronie internetowej zamieścił wpis o wymierzeniu przez Prezesa UODO pierwszej kary pieniężnej za naruszenie przepisów RODO. Administracyjna kara pieniężna została nałożona na mocy decyzji z dnia 15 marca 2019 r., względem Spółki przetwarzającej we własnych celach zarobkowych, dane osobowe pochodzące ze źródeł powszechnie dostępnych.
Sprawą żyją media, w tym w szczególności portale społecznościowe. Poniżej kilka skrótowych, jednak w mojej ocenie istotnych kwestii dotyczących decyzji Prezesa UODO, w oparciu o upublicznione okoliczności sprawy.
Czego dotyczyło naruszenie?
Niezasadne (bezpodstawne) skorzystanie przez Spółkę z wyłączenia o którym mowa w art. 14 ust. 5 RODO, co do dopełniania obowiązku informacyjnego.
Spółka zamieściła na swojej stronie internetowej treść obowiązku informacyjnego. Treść informacyjna nie została przekazana indywidualnie każdej z osób których dane przetwarzała.
Jaki to obowiązek?
W skrócie art. 14 ust. 1 i 2 RODO obliguje Administratora Danych Osobowych który pozyskał dane osobowe w sposób pośredni (nie bezpośrednio od osoby której dane dotyczą) do przekazania osobie której dane dotyczą, informacji o przetwarzaniu jej danych osobowych. Zgodnie z literą tego przepisu „Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:…”.
Przypadek ten może dotyczyć, na wzór przedmiotowej sprawy, pozyskania danych osobowych z powszechnie dostępnego źródła takiego jak Centralna Ewidencja i Informacja o Działalności Gospodarczej, w skrócie CEIDG i wykorzystywania ich do indywidualnych celów podmiotu który pozyskał dane osobowe.
Czy zawsze trzeba spełnić tego typu obowiązek informacyjny?
Nie. Nie w każdym przypadku istnieje bezwzględna konieczność dopełnienia obowiązku informacyjnego, co do danych osobowych pozyskanych pośrednio. Przepis art. 14 ust. 5 RODO przewiduje w takim zakresie pewne wyłączenia. Jednym z nich jest wyłączenie na które powołała się Spółka będąca adresatem decyzji.
Zasygnalizować należy, że w praktyce niejednokrotnie spotykamy się z sytuacjami w jakich posiadamy pośrednio pozyskane dane osobowe konkretnej osoby fizycznej, jednakże poinformowanie osoby fizycznej jest wysoce kosztowne zarówno finansowo, jak i organizacyjnie. Nie jest to jednak równoznaczne z tym, że zachodzi przesłanka określona w wyłączeniu.
O jakim wyłączeniu mowa?
Na gruncie przedmiotowej sprawy Spółka (ADO) powołała się na wyłączenie określone w Art. 14 ust. 5 lit. b) RODO. Przepis ten stanowi iż: „Ust. 1- 4 nie mają zastosowania, gdy – i w zakresie, w jakim: udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;”
Podkreślić należy, że sytuacje w których zrealizowanie obowiązku informacyjnego wymagałoby, zgodnie z literą RODO, niewspółmiernie dużego wysiłku nie są jednoznaczne. Kwestia ta jest kontrowersyjna i wysoce dyskusyjna w jakich przypadkach mamy do czynienia z niewspółmiernie dużym wysiłkiem, w rozumieniu art. 14 ust. 5 lit. b) RODO, w jakich zaś nie.
Jakie były okoliczności sprawy?
Opis ustalonego w toku postępowania stanu faktycznego, został zamieszczony w wydanej przez Prezesa UODO decyzji.
Z upublicznionej przez UODO decyzji, przeczytać możemy w szczególności, że:
Po pierwsze, „Przetwarzane dane osobowe Spółka pozyskała z publicznie dostępnych źródeł informacji. Zakres danych, które Spółka przetwarza w celach komercyjnych, to – w odniesieniu do wszystkich osób fizycznych, których dane przetwarza – m. in.: imię, nazwisko, PESEL (pozyskane z KRS), zaś w odniesieniu do osób fizycznych prowadzących działalność gospodarczą, to m. in. pozyskane z CEIDG i Bazy REGON GUS: imię, nazwisko, nazwa przedsiębiorstwa, adres rejestrowy oraz inne adresy, rodzaj działalności PKD, numer telefonu (opcjonalnie), adres e-mail (opcjonalnie), adres strony www (opcjonalnie), zakazy/uprawnienia/ograniczenia/koncesje na prowadzenie określonej działalności, związane z przedsiębiorcą zdarzenia prawne (zgodnie z zakresem danych wskazanych w załączniku nr 63 – karta akt sprawy numer 464)”.
Po drugie, „Spółce przetwarzającej dane osobowe w sposób profesjonalny, w ramach swojej podstawowej działalności, w celach zarobkowych, i na bardzo dużą skalę (liczba podmiotów danych dotkniętych naruszeniem – 6.671.368), ciąży większa odpowiedzialność i większe wymagania niż na podmiocie przetwarzającym dane osobowe w ramach działalności ubocznej, incydentalnie lub na niewielką skalę.”
Po trzecie,„W systemie informatycznym o nazwie „N[…]” (zwanym dalej: „system N[…]”) Spółka przetwarza dane osobowe osób fizycznych prowadzących działalność gospodarczą, które zostały pozyskane ze źródeł ogólnie dostępnych, w tym z rejestrów publicznych, m.in. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, z Bazy REGON Głównego Urzędu Statystycznego, z Monitora Sądowego i Gospodarczego ([…]). W bazie danych „systemu N[…]” znajdują się dane dotyczące ok. 3,59 mln osób fizycznych prowadzących aktualnie jednoosobową działalność gospodarczą oraz osób fizycznych, które zawiesiły tę działalność oraz 2,33 mln osób fizycznych prowadzących w przeszłości działalność gospodarczą ([…]). W „systemie N[…]” Spółka przetwarza w szczególności dane adresowe (adres rejestrowy, adres do korespondencji, adres operacyjny) odnoszące się do osób fizycznych prowadzących działalność gospodarczą ([…])”.
Po czwarte, „Ze względu na wysokie koszty Spółka nie zdecydowała się również na spełnienie tego obowiązku drogą tradycyjnej korespondencji wysłanej do osób, których dane przetwarza ([…])”.
Co ważne, pod kątem analizowanej zasadności skorzystania z wyłączenia, o którym mowa w art. 14 ust. 5 lit. b) RODO, wskazać należy, że: Spółka posiadała dane kontaktowe osób fizycznych których dane dotyczyły, w postaci ich adresu korespondencyjnego (tradycyjnego) lub numeru telefonu.
Dlaczego istotne są dane kontaktowe osoby, której dane dotyczą, w przypadku pośredniego pozyskania danych osobowych i konieczności spełnienia obowiązku informacyjnego?
Dzięki posiadaniu danych kontaktowych jesteśmy w stanie w stosunkowo łatwy sposób dotrzeć do osoby fizycznej, której dane dotyczą. Pozwala nam to przekazać prawnie wymagają informację o przetwarzaniu danych osobowych. Czego nie można stwierdzić jednoznacznie w przypadku gdy nie posiadamy danych kontaktowych.
Czy zamieszczenie klauzuli informacyjnej na stronie internetowej, w przypadku pośredniego pozyskania danych osobowych nie jest wystarczające?
W mojej ocenie niestety nie. W przypadku gdy dane osobowe osoby A, są pozyskane pośrednio (nie od osoby której dane dotyczą), w momencie ich pozyskania przez podmiot X, realizując przez ten podmiot indywidualny cel przetwarzania tych danych osobowych, osoba której dane dotyczą, nie posiada wiedzy na temat przetwarzania jej danych osobowych, w tym tożsamości administratora. W wyniku czego skrajnie utrudnionym jest skorzystanie przez tę osobę z przysługujących jej praw wynikających z powszechnie obowiązujących przepisów prawa.
Stanowisko UODO w przedmiotowej sprawie:
Jak wskazano w decyzji, „W ocenie Prezesa UODO wysłanie bowiem informacji, o których mowa w art. 14 rozporządzenia 2016/679 pocztą tradycyjną, na adres osoby fizycznej prowadzącej działalność gospodarczą, lub w drodze kontaktu telefonicznego, nie jest czynnością „niemożliwą” oraz nie wymaga „niewspółmiernie dużego wysiłku”, w sytuacji posiadania przez Spółkę w bazie systemu informatycznego N[…] danych adresowych, w odniesieniu do osób fizycznych prowadzących jednoosobową działalność gospodarczą (aktualnie lub w przeszłości), a także dodatkowo – numerów telefonów – w odniesieniu do części tych osób.”
Kilka słów refleksji:
Poddajmy krótkiej analizie przedmiotowy przypadek w ujęciu analitycznym. Bazować będziemy na dwóch możliwościach realizacjach obowiązku informacyjnego, które wskazuje się w decyzji.
W pierwszej kolejności, zastanówmy się na bazie przedmiotowego stanu faktycznego, zatem przeszło 6 000 000 osób których dane dotyczą, co do sposobu i konsekwencji indywidualnego przekazania obowiązku informacyjnego.
Przyjmując wysyłkę obowiązków informacyjnych w formie tradycyjnej, w szczególności, gdy wybierzemy wariant wysyłki zwykłej (niepoleconej), trzeba wziąć pod uwagę między innymi, koszt: wysyłki, druku, koperty oraz czasu pracownika który zrealizuje wysyłkę. Celem prostej kalkulacji, przyjmujemy że koszt co do zasady wynosić może 3pln za jednostkowy przypadek. 3 PLN * 6 000 000 rekordów = 18 000 000 PLN.
Z kolei, w przypadku wykonania telefonów do osób, których dane dotyczą, celem przekazania im informacji o przetwarzaniu danych osobowych, również pod uwagę należy wziąć między innymi koszt, zaangażowanie organizacyjne oraz kwestię dowodową.
Co więcej, pod kątem biznesowym Spółki, jako administratora danych osobowych, indywidualne przekazanie informacji o przetwarzaniu danych osobowych, które wprawdzie jest prawnie wymagane, rzutować jednak będzie na statystycznie skuteczniejszym zbudowaniu świadomości osób, których dane są przetwarzane. Tym samym urealniona zostaje możliwość skorzystania przez te osoby z przysługujących ich praw. Osoby będą znały tożsamość administratora, więc w stosunkowo łatwy sposób będą mogły zgłosić chęć realizacji któregoś z praw. Prawdopodobnie, znaczna część osób skorzysta między innymi z prawa sprzeciwu, o którym mowa w art. 21 RODO.
Z drugiej strony, zestawmy powyższy stan faktyczny z kontrprzykładem. Sytuacją w której mamy 6 osób których dane dotyczą i analogicznie względem tych osób, wymagane jest dopełnienie obowiązku informacyjnego.
Czy w takim hipotetycznym stanie rzeczy również poinformowanie tych osób wymagałoby niewspółmiernie dużym wysiłku? W mojej ocenie odpowiedź brzmi nie.
Co więcej, uważam że przesłanki zaistnienia niewspółmiernie dużego wysiłku, o którym mowa w art. 14 ust. 5 lit. b) RODO, nie należy wykładać w kontekście przypadku na zasadzie ogółu. To jest przez pryzmat per n-ta ilość powtarzalnych przypadków, która po przekroczeniu pewnej granicy, skutkuje rzekomym „większym wysiłkiem”. W mojej ocenie, należałoby każdorazowo (jednostkowy przypadek) analizować, czy w takim konkretnym przypadku, jesteśmy w stanie spełnić obowiązek informacyjny. Przykładowo na bazie danych osobowych które posiadamy, możemy dotrzeć do tej osoby fizycznej. Kluczowe może być więc posiadanie danych kontaktowych, o których mowa wcześniej. Skoro posiadamy dane osobowe osoby fizycznej, w tym jej dane kontaktowe, jesteśmy w stanie się z nią skontaktować. Przekazanie w takim przykladku obowiązku informacyjnego, nie stanowi utrudnienia. Z kolei fakt, że te jednostkowe przypadki, w których należy i realnie nie utrudnionym jest dopełnienie obowiązku informacyjnego są powtarzalne, nie powinno stanowić różnicy. Innymi słowy, fakt że istnieje konieczność przekazania informacji do n osób, nie powinna rzutować na aktualizacji podstawy wyłączenia co do spełnienia tegoż obowiązku informacyjnego.
Czy sama kara pieniężna która została nałożona jest wysoka?
Relatywnie patrząc, w mojej ocenie niekoniecznie.
Organ nadzorczy zastosował w przedmiotowej sprawie dwa uprawnienia naprawcze. Po pierwsze, nakazał dopełnienie obowiązku informacyjnego. Po drugie, wymierzył administracyjną karę pieniężną w wysokości 943.470,00 PLN. Patrząc zarówno przez pryzmat hipotetycznego kosztu zrealizowania obowiązku informacyjnego w formie tradycyjnej, przewyższa on kilkunastokrotnie wysokość kary pieniężnej. Co więcej, pod kątem biznesowym niezależnie od samej kary pieniężnej, podmioty prowadzące tego typu działalność, patrząc na specyfikę świadczonych usług, są w wysoce trudnej sytuacji z uwagi obowiązki prawne jakie nakłada RODO.
Artykuł opublikowany 28 marca 2019 r. na LinkedIn
Autor: Bartosz Lasota, Prezes zarządu Lasota Consulting Sp. z o.o.
Uważasz że materiał jest godny polecenia? Kliknij poniżej i udostępnij go!