×
MACURA | Unikalna wiedza ekspercka

Kancelaria MACURA.
ul. Odyńca 7/13
02-606 Warszawa

T: (+48) 696-011-713
M: monika.macura@kancelariamacura.pl

Zobacz nas na:
powrót
do bloga
more

Pierwsza kara pieniężna za naruszenie przepisów RODO została uchylona

W marcu tego roku UODO nałożył na spółkę Bisnode karę pieniężną w wysokości ponad 943 tys. zł (o czym szczegółowo pisaliśmy w monitoringu przepisów dot. zmian w marcu 2019 r.). Zdaniem UODO spółka będąca administratorem danych nie wywiązała się z ciążącego na nim obowiązku informacyjnego. 

Przypominamy, że ww. spółka pozyskiwała dane z publicznie dostępnych rejestrów. Nie tylko Krajowego Rejestru Sądowego, ale również CEIDG lub REGON. Przepisy RODO pozwalają uniknąć konieczności zawiadamiania osoby, której dane są przetwarzane, jeśli byłoby to niemożliwe bądź wymagało niewspółmiernego wysiłku (art. 14 ust. 5 lit. b.).

Spółka wysyłała wiadomości mailowe do każdego podmiotu, którego adres znalazła. Spór z UODO dotyczył tych osób, których dane adresowe spółka mogła ustalić i zawiadomić innymi sposobami. Zdaniem UODO spółka mogła skorzystać chociażby z tradycyjnej poczty w celu spełnienia ciążącego na niej obowiązku informacyjnego. Skoro zaś tego nie zrobiła, to zdaniem UODO, firma świadomie naruszyła przepisy RODO. 

Spółka natomiast twierdziła, że wykonała wszelkie działania, które były adekwatne do jej sytuacji, zaś poniesienie wielomilionowych kosztów wynikających z korespondencji tradycyjnej, byłoby działaniem niewspółmiernym do rezultatu. Zdaniem firmy, zawiadamianie każdej z sześciu milionów osób znajdującej się w jej bazie danych było możliwe – lecz stanowiłoby przykład „niewspółmiernego wysiłku”. Spółka wyliczyła, że w przypadku zastosowania listów poleconych, stanowiłoby dla niej koszt sięgający nawet 30 mln zł. Natomiast stosowania listów zwykłych, stanowiłoby koszt w wysokości ok. 22 mln zł.

 Zdaniem UODO skoro spółka miała realną możliwość wywiązania się z obowiązku informacyjnego to powinna przynajmniej spróbować. Jednakże Spółka podtrzymywała swoje argumenty, twierdząc, że „zrobiła co mogła”. Spółka wysłała wiadomości mailowe z informacją o przetwarzaniu danych osobowych nie w liczbie 90 tysięcy (jak ustaliło UODO), lecz w liczbie sięgającej prawie miliona – w tym 679 tys. do podmiotów z CEDIG.

Firma odwołała się od decyzji UODO do sądu, na skutek czego kara za naruszenie przepisów RODO została częściowo uchylona i wysokość kary będzie podlegała ponownej analizie UODO. 

Wojewódzki Sąd Administracyjny stwierdził w uzasadnieniu, że Bisnode po części faktycznie nie wywiązało się z obowiązku informacyjnego wynikającego z przepisów. Zdaniem Sądu podmiot pozyskujący dane osobowe przedsiębiorców z jawnych rejestrów w celu świadczenia usług komercyjnych jest zobligowany spełnić obowiązek informacyjny bezpośrednio wobec tych osób, tym samym WSA zgodził się z decyzją Prezesa UODO w sprawie nałożenia na nią kary pieniężnej. 

Co więcej, zdaniem WSA ewentualny wysoki koszt wysyłki tej informacji pocztą tradycyjną nie może przesądzać o tym, że zachodzi przesłanka „niewspółmiernie dużego wysiłku”. 

Jednakże zdaniem WSA kara nałożona przez prezesa UODO okazała się niewspółmierna do przewinienia. Głównie dlatego, że duża część posiadanych przez Bisnode danych miała charakter archiwalny. Nie wiadomo przy tym, czy te dane są jeszcze aktualne – w szczególności te umożliwiające zawiadomienie. W końcu wysyłanie listów pod potencjalnie zły adres byłoby z całą pewnością zupełnie bezcelowe.

WSA w wyroku oddalił skargę w zakresie dotyczącym nakazu dopełnienia obowiązku informacyjnego wobec osób fizycznych prowadzących aktualnie działalność gospodarczą oraz osób fizycznych, które zawiesiły wykonywanie tej działalności, a którym informacje te nie zostały dotychczas podane.

Jednocześnie Sąd, z uwagi na dostrzeżone uchybienia proceduralne, uchylił decyzję Prezesa UODO w części dotyczącej nakazu dopełnienia obowiązku informacyjnego wobec osób fizycznych prowadzących w przeszłości działalność gospodarczą.

W tym zakresie Prezes UODO ma ponownie przeprowadzić postępowanie administracyjne zgodnie ze wskazaniami Sądu. Oddalenie skargi tylko w części dotyczące osób, które prowadzą aktualnie lub mają zawieszoną działalność gospodarczą i uchylenie decyzji w części dotyczącej osób prowadzących taką działalność w przeszłości oznacza, iż zmieniła się liczba podmiotów danych dotkniętych naruszeniem. Liczba ta miała znaczenie dla wymierzenia kary oraz określenia jej wysokości. Prezes UODO będzie musiał ponownie przeanalizować  te kwestie w postępowaniu administracyjnym. Wyrok nie jest jeszcze prawomocny.

czytaj również