Kontakt
Jarosław Kamiński

adwokat
Associate Partner
Phone: +48 22 244 00 27
E-Mail

RODO

Pierwsza kara za nieprzestrzeganie RODO

Po niemal 10 miesiącach od wejścia w życie przepisów Rozporządzenia o Ochronie Danych Osobowych (RODO), Prezes Urzędu Ochrony Danych Osobowych (PUODO) zdecydowała po raz pierwszy nałożyć karę finansową za niezgodne z prawem przetwarzanie danych. Ukaranym podmiotem jest spółka przetwarzająca dane publicznie dostępne, np. z Centralnej Ewidencji i Informacji Działalności Gospodarczej. Na podstawie takich danych przeprowadza analizy z wykorzystaniem modeli scoringowych

Nierealizowany obowiązek informacyjny

W argumentacji PUODO kara w wysokości ponad 943 tys. zł. została nałożona na spółkę za niedopełnienie ciążącego na niej obowiązku informacyjnego w stosunku do ponad 6 mln osób. Osoby te nie zostały poinformowane o przetwarzaniu ich danych osobowych, a co za tym idzie zostały pozbawione przysługującej im na gruncie RODO możliwości skorzystania z praw, takich jak np. prawo do sprostowania danych czy bycia zapomnianym. Obowiązek informacyjny został zrealizowany wyłącznie w stosunku do podmiotów, do których spółka posiadała adresy e-mail
(ok. 90 tys., z czego ok. 12 tys. zgłosiło sprzeciw wobec takiego przetwarzania), natomiast o przetwarzaniu nie zostały poinformowane osoby, których danymi kontaktowymi podmiot przetwarzający również dysponował. i (numerem telefonu, czy adresem korespondencyjnym). W opinii spółki – koszty operacyjne takiego przedsięwzięcia byłyby zbyt wysokie.

Znaczący wpływ na wysokość wymierzonej kary miało przyjęte  przez PUODO założenie, że działanie to miało charakter umyślny, gdyż spółka będąc świadomą ciężącego na niej obowiązku, nie podjęła żadnych kroków prowadzących do usunięcia powstałego naruszenia.

Zasadność decyzji a koszty spełnienia obowiązku

Ukarany podmiot w opublikowanym oświadczeniu zakwestionował zasadność nałożonej kary oraz samą interpretację PUODO. Najwięcej kontrowersji budzi kwestia art. 14 ust. 5 lit b. RODO, który stanowi, że możliwe jest zwolnienie z obowiązku informacyjnego wtedy, gdy jest on niemożliwy do spełnienia lub zakładałby niewspółmiernie duży wysiłek, na co powoływała się spółka twierdząc, że koszty spełnienia obowiązku informacyjnego wypełniają wspomnianą wyżej przesłankę. Wykładnia tego przepisu przynosi jednak duże trudności, dlatego w opinii wielu prawników kluczowe może być wystosowanie przez sąd rozpatrujący odwołanie spółki pytań prejudycjalnych do Trybunału Sprawiedliwości Unii Europejskiej, który mógłby wyjaśnić wątpliwości. Sprawa ta z pewnością będzie wciąż szeroko komentowana i obserwowana, gdyż niekorzystna decyzja sądu może pociągnąć za sobą szereg kolejnych kar dla innych podmiotów.

Niezależnie od wyniku postępowania, decyzja PUODO stanowi jasny sygnał, że po niemal rocznym okresie obowiązywania unijnego Rozporządzenia, czas na odpowiednie wdrożenie jego przepisów w firmach dobiegł końca. Zapowiedziane w przekazach medialnych przeprowadzanie kolejnych kontroli przez PUODO może zaowocować kolejnymi sankcjami (w tym finansowymi). Istotne zatem jest przeprowadzanie w firmach audytu procesów przetwarzania danych osobowych, w celu sprawdzenia, czy prowadzona działalność jest zgodna z obowiązującymi regulacjami, a przechowywane przez nas informacje bezpieczne.

W przypadku zainteresowania audytem RODO, zapraszamy do kontaktu z ekspertami Rödl & Partner w Gdańsku, Gliwicach, Krakowie, Poznaniu, Warszawie i Wrocławiu.

Jarosław Kamiński,

Michał Liszka

15.04.2019