W dniu 15 marca 2019 r. Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył pierwszą w Polsce karę za nieprzestrzeganie przepisów Rozporządzenia o Ochronie Danych Osobowych (RODO), w niebagatelnej wysokości 943.470,00 zł. Kara nałożona została w wyniku przeprowadzonej przez pracowników UODO kontroli, którą objęto przetwarzanie przez ukaraną spółkę danych osobowych pozyskiwanych ze źródeł publicznie dostępnych, w tym z rejestrów publicznych (m.in. KRS, Centralnej Ewidencji i Informacji o Działalności Gospodarczej, Bazy REGON).
Spółka, będąca tzw. brokerem danych (potocznie nazywana: wywiadownią gospodarczą), ukarana została za zaniechanie poinformowania o przetwarzaniu danych osobowych ponad 6 mln osób, których dane pozyskała z publicznych rejestrów. Kara została nałożona za naruszenie obowiązku informacyjnego (art. 14 RODO) związanego z wtórnym gromadzeniem danych osobowych, tj. w sytuacji kiedy podmiot pozyskuje dane osobowe w sposób inny niż bezpośrednio od osoby, której dane dotyczą (niezależnie od źródła). Ukarana spółka zaniechała realizacji obowiązku informacyjnego wobec osób fizycznych aktualnie lub w przeszłości prowadzących jednoosobową działalność gospodarczą w celu uniknięcia (z punktu widzenia spółki: nieuzasadnionych) dodatkowych nakładów finansowych – warto przy tym zauważyć, że spółka w toku postępowania oszacowała koszt wysyłki wymaganych przesyłek poleconych na kwotę: 33.749.175,00 zł .
Przesłanka wyłączająca konieczność spełnienia obowiązku informacyjnego przewidziana została w art. 14 ust. 5 RODO, tj. odstąpienie od tego obowiązku jest możliwe przede wszystkim w przypadku, jeżeli wypełnienie obowiązku informacyjnego „okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku”. Jednakże zdaniem Prezesa UODO, wypełnienie obowiązku informacyjnego poprzez wysłanie stosownej informacji pocztą tradycyjną, na adres osoby fizycznej prowadzącej działalność gospodarczą (lub w drodze kontaktu telefonicznego) nie jest czynnością „niemożliwą” oraz nie wymaga „niewspółmiernie dużego wysiłku” – szczególnie w sytuacji posiadania przez ukaraną spółkę danych adresowych osób fizycznych prowadzących jednoosobową działalność gospodarczą, a także, w odniesieniu do części tych osób, numerów telefonów.
Warto też zwrócić uwagę na to, iż w treści decyzji UODO wskazano także, że „w odróżnieniu od osób fizycznych, odmienna jest sytuacja osób będących udziałowcami lub członkami organów spółek”, ponieważ we właściwych rejestrach (tj. przede wszystkim KRS) brak jest danych teleadresowych tych osób fizycznych, w związku z czym ukarana spółka musiałaby poszukiwać tych danych w innych źródłach, co już mogłoby stanowić „niewspółmiernie duży wysiłek”, konieczny do odstąpienia od wymogu wypełnienia obowiązku informacyjnego z art. 14 RODO.
Okoliczności nałożenia pierwszej w Polsce kary na podstawie przepisów RODO pozwalają na poczynienie pewnych wstępnych konkluzji. Nieco bezpieczniej jest przetwarzać dane z rejestrów nieudostępniających danych adresowych osób fizycznych (np. KRS). Ponadto, krajowe lub europejskie przepisy nie określają co prawda sposobu realizacji obowiązku informacyjnego, jednakże w praktyce, celem uniknięcia kary, koniecznie może być rozważenie poniesienia istotnych nakładów finansowych. Opisywana sprawa z pewnością będzie miała swój dalszy ciąg w ramach postępowania sądowego i być może wówczas możliwe będzie bardziej precyzyjne ustalenie znaczenia „niemożliwości” wypełnienia obowiązku informacyjnego lub też dokonanie pogłębionej interpretacji przesłanki „niewspółmiernie dużego wysiłku”.
Marlena Wach – Radca prawny, doktor nauk prawnych
Mateusz Kamm – Radca prawny
Wyjaśnienia:
1)Zob. Decyzja Prezesa UODO z dnia 15 marca 2019 r. (https://uodo.gov.pl/decyzje/ZSPR.421.3.2018)
