Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą karę w oparciu o #RODO. Wysokość sankcji administracyjnej wynosi prawie 950 tysięcy złotych i została ona nałożona na spółkę, która stworzyła bazę danych z ogólnodostępnymi w Internecie danymi osób prowadzących działalność. Dane zostały uzyskane z baz publicznych rejestrów, tj. z CEiDG, KRS, GUS, CEPiK oraz Monitora Sądowego i Gospodarczego.
Podstawą kary był brak spełnienia obowiązku informacyjnego. Przedmiotowa spółka przesłała klauzulę informacyjną drogą e-mailową, a w przypadku osób fizycznych, które nie podały swojego adresu e-mail, zdecydowała się skorzystać z uprawnienia wynikającego z art. 14 pkt 5 lit. b RODO. Wskazany przepis stanowi, że w przypadku, gdy udzielenie informacji o przetwarzaniu danych osobowych wiązałoby się m.in. z niewspółmiernie dużym wysiłkiem, obowiązek informacyjny nie ma zastosowania. Spółka argumentowała, że koszt poinformowania wszystkich osób, których przetwarzanie dotyczyło, wyniósłby około 30 milionów złotych. Prezes Urzędu Ochrony Danych Osobowych nie znalazła w tym przypadku możliwości skorzystania z uprawnienia wynikającego z art. 14 pkt 5 lit. b RODO.
Od decyzji UODO spółka może odwołać się do sądu administracyjnego.
NASZ KOMENTARZ
Pierwsza nałożona przez Prezesa Urzędu Ochrony Danych Osobowych kara może wzbudzić uzasadniony strach wśród osób, które do problematyki ochrony danych osobowych podchodzą z lekceważeniem. Należy jednak pamiętać, że wysokość sankcji jest ściśle związana z istotą naruszenia. Poinformowanie osób o przetwarzaniu ich danych osobowych jest jednym z najważniejszych obowiązków jaki przewiduje RODO. W konsekwencji marginalizacja tego obowiązku ogranicza możliwość egzekwowania praw przysługujących osobie, której dane dotyczą. Zwłaszcza, kiedy dane nie są pozyskiwane bezpośrednio od osoby.
Wątpliwości dotyczą wysokości kary. Bez wątpienia spółka odwoła się od decyzji Urzędu. Sąd administracyjny będzie musiał ocenić czy art. 14 pkt 5 lit. b RODO ma zastosowanie w tym stanie faktycznym. Przyjmując, że wyliczenia spółki dotyczące kosztów wysłania listu do wszystkich osób, których dane dotyczą są prawdziwe, a dane zostały pozyskane z publicznych rejestrów, to taki koszt można uznać za barierę, która ogranicza możliwość realizacji obowiązku. Szkoda, że UODO nie odniosło się do tego problemu bardziej kompleksowo.
Cezary Zapała, prawnik w Ryszard Skubisz Kancelaria Prawno-Patentowa, doktorant. Specjalista z zakresu ochrony danych osobowych oraz prawa nowych technologii. Prowadzi szkolenia z zakresu RODO. Wykładowca na studiach podyplomowych z ochrony danych osobowych na Uniwersytecie Marii Curie-Skłodowskiej w Lublinie.