Pierwsza w Polsce kara za naruszenie RODO – co nas teraz czeka w ochronie danych osobowych?

Chaos. To chyba najlepsze słowo na reakcje rynku i prawników specjalizujących się w ochronie danych osobowych na decyzję Prezesa Urzędu Ochrony Danych Osobowych w sprawie Bisnode Polska (decyzja z dnia 15 marca 2019 roku w sprawie o sygn. ZSPR.421.3.2018; dostępna tutaj).

 

 

Chaos z dwóch powodów:

1. Pierwszy powód – Prezes Urzędu wskazał kierunek wykładni art. 14 ust. 5 lit. b RODO zupełnie odmienny od tego, jaki był rozumiany w zasadzie przez cały rynek (w Polsce i w UE; dla tych, którzy nie znają RODO na pamięć, art. 14 ust. 5 lit. b RODO to przepis, który zwalnia z obowiązku informowania osób, których dane dotyczą o sposobie przetwarzania ich danych, jeżeli takie poinformowanie jest niemożliwe, albo wiązałoby się z nadmiernymi trudnościami).

2. Drugi powód – tak naprawdę nikt do końca nie wie, dlaczego Prezes UODO dokonała takiej wykładni. I nie chodzi tutaj o brak zrozumienia dla generalnej polityki/filozofii przyjętej przez UODO. Chodzi o taki prosty brak zrozumienia dla konkretnej decyzji – uzasadnienie nie odpowiada bowiem na najbardziej fundamentalne pytania. Większości musimy się domyślać. A to powiększa chaos.

Co w dużym skrócie wynika z decyzji Urzędu?

1. Agencje bazodanowe sprzedające rekordy biznesowe (kontakty B2B) muszą zawsze spełniać obowiązek informacyjny. W swojej działalności nie mogą powoływać się na klauzulę nadmiernych utrudnień. Nawet jeżeli to nadmierne utrudnienie kosztuje pomiędzy 20 000 000 a 33 000 000 zł. Zbierasz dane – musisz wkalkulować w to realizację obowiązku informacyjnego. Wydaje się, że nie ma tutaj znaczenia wielkość agencji bazodanowej (a w każdym razie taki element nie wynika z uzasadnienia decyzji). Jeżeli prowadzisz agencję bazodanową i nie spełniasz na co dzień obowiązku informacyjnego, to musisz się zastanowić jak zniwelować lub przynajmniej zmniejszyć ryzyko sporu z organem nadzoru.

2. Jeżeli ktoś przetwarzał dane osobowe przedsiębiorców przed 25 maja 2018 roku, to w związku z rozpoczęciem stosowania RODO miał obowiązek przesłać klauzulę informacyjną do wszystkich osób w swoich bazach danych. Tak – również do tych osób, których dane zebrano przed 25 maja 2018. Dlaczego? Nie wiadomo. Urząd nie wypowiedział się w ogóle w tej kwestii. Jednocześnie zobowiązał kontrolowanego do przesłania klauzuli informacyjnej do wszystkich swoich rekordów w bazie (kontrolowany zbierał rekordy przez ostatnie 25 lat).

3. Kara pieniężna wcale nie musi być najgorszą uciążliwością. Urząd w swojej decyzji, obok kary pieniężnej, zobowiązał kontrolowanego do wypełnienia obowiązku informacyjnego względem osób, których dane dotyczą. Kwota kary: prawie jeden milion złotych. Koszty realizacji obowiązku informacyjnego: między 20 a 33 miliony złotych.

Jak można również wywieść z informacji prasowych, Urząd nie weryfikował swojego stanowiska z innymi organami nadzoru w UE (w ramach polityki spójności; przypomnijmy RODO powinno być jednolicie stosowane w całej UE). Z wypowiedzi kontrolowanego wynika, że 2 inne spółki z grupy Bisnode prowadzące taką samą działalność w innych krajach UE były już kontrolowane przez krajowe organy nadzoru – nie stwierdzono nieprawidłowości (źródło: Gazeta Prawna).

Niestety nie wiemy, czym kierował się Urząd wydając swoją decyzję. Uzasadnienie jest pobieżne i niepełne. Możemy się jedynie domyślać, że w tle mamy do czynienia z filozofią wysokich standardów w obszarze prywatności. Z podejściem, które nie akceptuje, aby podmiot bazodanowy, który zarabia na danych, miał prawo do uwzględnienia w swoim modelu biznesowym oszczędności w obszarze spełniania obowiązku informacyjnego wobec osób, których dane zbiera. Czy to właściwe podejście? Na to pytanie Urząd nawet nie stara się odpowiedzieć w sposób pełny. Powyższe konkluzje to po prostu domysły, oparte pośrednio na doniesieniach prasowych. A wydaje się, że Urząd w tego typu sprawie powinien przeprowadzić w uzasadnieniu do decyzji co najmniej pełne rozważania dot. interesu i praw administratora vs interesów i praw przedsiębiorców, których dane są przetwarzane. I rozważania te w sposób przekonujący powinny wskazywać, że brak spełnienia obowiązku informacyjnego przez kontrolowanego wiąże się z istotnym ryzykiem naruszenia praw i wolności przedsiębiorców, których dane są przetwarzane. Powinny być przy tym wzięte pod uwagę okoliczności publicznej dostępności danych osobowych przedsiębiorców wobec wszystkich zainteresowanych (rejestr CEIDG).

Na zakończenie – już po wydaniu decyzji, Prezes Urzędu w wywiadzie udzielonym portalowi Prawo.pl wskazała, że obowiązek informacyjny można spełniać również poprzez publikację informacji w mediach lub prowadzenie aktywnych kampanii informacyjnych. Jest to nowy, ciekawy głos w sprawie. Z pewnością ważny dla wszystkich prowadzących działalność agencji bazodanowych. Zabrakło go w samej decyzji. Brakuje również cały czas konkretnych wskazówek jak to zrobić? Jakie konkretnie – nazwane i określone działania – pozwoliłyby administratorom czuć się bezpiecznie. Oczywistym jest, że każda sytuacja jest inna (co niezmiennie powtarzają przedstawiciele Urzędu). Ale tu mamy do czynienia z bardzo konkretnym przypadkiem, do którego Urząd mógłby się bardzo konkretnie odnieść.

Niestety, komentowana decyzja PUODO oraz ostatnie zdarzenia pokazują coraz bardziej, że tematyka ochrony danych osobowych wiąże się z potrzebą zarządzania ryzykiem – nie tylko w obszarze bezpieczeństwa danych, ale również w obszarze bezpieczeństwa prawnego.