iSecure logo
Blog

Pierwsza kara za naruszenie przepisów RODO podtrzymana

W 2019 roku Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą administracyjną karę pieniężną od momentu wejścia w życie przepisów Rozporządzenia o ochronie danych osobowych (dalej jako „RODO”). Kara została nałożona na spółkę Bisnode (obecnie Dun & Bradstreet) w wysokości 943 tysięcy złotych. PUODO zarzuciło w tamtym czasie, że Bisnode jako broker danych, pozyskiwała dane osobowe (głównie przedsiębiorców prowadzących jednoosobowe działalności gospodarcze) z ogólnodostępnych rejestrów publicznych (jak np. CEIDG). Główny zarzut, który postawił Spółce organ nadzorczy dotyczył braku realizacji obowiązków informacyjnych wobec osób, których dane zostały pozyskane z publicznych rejestrów. Zgodnie z ustalonymi informacjami przez PUODO skala braku realizacji obowiązku informacyjnego była naprawdę spora, ponieważ dotyczyła blisko 6 mln rekordów. Teraz okoliczności całej sprawy zostały rozpatrzone przed Naczelnym Sądem Administracyjnym.

Główny zarzut PUODO z decyzji administracyjnej nakładającą karę pieniężną był brak realizacji obowiązku informacyjnego przewidzianego w art. 14 RODO. Jednocześnie ukarana spółka zasłaniała się art. 14 ust. 5 lit. b RODO, który wskazuje, że realizacja obowiązku informacyjnego nie jest wymagana, gdy: „udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku”. I tego właśnie argumentu na swoją obronę używała Spółka. Bisnode zwracało uwagę, że dysponując wyłącznie adresami prowadzonej działalności, wysyłanie w formie listu poleconego, tak wielu klauzul informacyjnych, powodowałyby ogromne koszty finansowe po stronie Spółki. PUODO z kolei zwrócił uwagę, że przepisy nie nakładają na administratora obowiązku wysyłania takiej korespondencji w formie listu poleconego. Organ nadzorczy finalnie stwierdził, że realizacja prawa do informacji na temat przetwarzania danych osobowych jest jednym z podstawowych praw podmiotów danych na gruncie RODO i powinna być realizowana możliwie najpełniej przez administratora. Dodatkowo, PUODO uznało, że naruszenie miało charakter w pełni umyślny, a Spółka nie podejmowała prób, które mógłby wskazane naruszenie wyeliminować.

Spółka złożyła skargę do Wojewódzkiego Sądu Administracyjnego na decyzję wydaną przez PUODO. WSA w wyroku z grudnia 2019 uchylił decyzję o nałożeniu administracyjnej kary pieniężnej (sygn. II Sa/Wa 1030/19). Uchylenie decyzji nie dotyczyło jednak stricte przepisów materialnych, a Sąd potwierdził, że ukarana Spółka powinna zrealizować wobec podmiotów danych obowiązek informacyjny z art. 14 RODO, ale tylko wobec osób, które w momencie wydania decyzji prowadziły działalności gospodarczą. W związku z tym zmieniła się liczba osób, których dane zostały objęte naruszeniem. Niemniej, uchylenie decyzji przez WSA spowodowane były kwestiami proceduralnymi.

Bisnode złożyło jednak skargę kasacyjną do Naczelnego Sądu Administracyjnego. W wyroku o sygnaturze II OSK 2538/21, NSA oddalił skargę kasacyjną Bisnode. Spółka raz jeszcze w skardze kasacyjnej zwracała uwaga, że nie spełniła obowiązku informacyjnego z wykorzystaniem tradycyjnej poczty z uwagi na tzw. „niewspółmiernie duży wysiłek. NSA jednak tym razem przyznał rację PUODO. Sąd podkreślił, że transparentne przetwarzanie danych osobowych jest jedną z podstawowych zasad RODO. Podmioty danych powinny otrzymywać informacje, w jaki sposób i dla jakich celów przetwarzane są ich dane osobowe. Co ważne – Spółka nie powinna wskazywać w tej sytuacji na „niewspółmiernie duży wysiłek” z uwagi na to, że pozyskiwanie i obrót danymi osobowymi jest jednym z kluczowych elementów działalności gospodarczej firmy. Spółka pozyskując te dane, zarabia na nich. Nie może więc uzasadniać braku realizacji podstawowych praw podmiotów danych, tzw. „niewspółmiernym dużym wysiłkiem” – który zdaniem NSA powinien być traktowany jako wyjątek, a nie reguła.

To nie koniec tej sprawy. Sprawa Bisnode ponownie trafi do PUODO, gdzie zgodnie z wyrokiem WSA, PUODO musi sprawę rozpatrzyć raz jeszcze, w zakresie wysokości nałożonej kary administracyjnej oraz w zakresie dotyczącym liczby osób dotkniętym naruszeniem. Niemniej zarówno z wyroku WSA i NSA wynika jeden bardzo istotny wniosek dla administratorów danych: realizacja obowiązku informacyjnego i prawo do transparentnej informacji jest jednym z podstawowych praw podmiotów danych, które musi być realizowane przez podmioty przetwarzające dane w roli ich administratorów.

Pobierz wpis w wersji pdf

Podobne wpisy:

Budowanie RODO świadomości w organizacji – bo pracownik stanowi jeden z kluczowych elementów systemu ochrony danych

Mimo upływu czasu od wdrożenia RODO, temat świadomości pracowników i współpracowników w każdej organizacji jest tematem nadal interesującym. Pomimo stworzenia części prawno-proceduralnej w organizacji, czyli wdrożenia procedur, dostosowania witryny internetowej, zbudowania rejestrów, obowiązków informacyjnych czy zgód, u osób zarządzających nadal pojawia się niepewność. O szkoleniach i ich rodzajach pisaliśmy już wcześniej tutaj. W dzisiejszym artykule […]

5 powodów dla których warto prowadzić szkolenia dla pracowników z zakresu ochrony danych osobowych

Bez zbędnych wstępów – tak, zdecydowanie warto szkolić pracowników z zakresu ochrony danych osobowych. Zwłaszcza szkolenie pracowników w zakresie praktyk przetwarzania i ochrony danych osobowych jest niezbędne do zapewnienia zgodności z przepisami dotyczącymi ochrony danych osobowych, w szczególności RODO. Oto kilka kluczowych powodów, dla których warto szkolić pracowników z tego zakresu: Zgodność Szkolenie pomaga pracownikom […]

Czy przesłanie zapytania o zgodę na marketing stanowi już działanie o charakterze marketingowym?

Pozyskiwanie zgód na działanie o charakterze marketingowym jest jednym z większych wyzwań każdego Działu Marketingu. W celu rozwoju i promocji swoich usług, każda firma (administrator danych) chciałaby, aby jej klient/użytkownik otrzymywał regularne powiadomienia o świadczonych przez organizacje usługach. Dlatego też z perspektywy doradców prawnych trudno jest wytłumaczyć marketingowcom szereg obostrzeń prawnych, związanych ze zbieraniem ważnej […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki