iSecure logo
Blog

Pierwsza kara za naruszenie przepisów RODO podtrzymana

W 2019 roku Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą administracyjną karę pieniężną od momentu wejścia w życie przepisów Rozporządzenia o ochronie danych osobowych (dalej jako „RODO”). Kara została nałożona na spółkę Bisnode (obecnie Dun & Bradstreet) w wysokości 943 tysięcy złotych. PUODO zarzuciło w tamtym czasie, że Bisnode jako broker danych, pozyskiwała dane osobowe (głównie przedsiębiorców prowadzących jednoosobowe działalności gospodarcze) z ogólnodostępnych rejestrów publicznych (jak np. CEIDG). Główny zarzut, który postawił Spółce organ nadzorczy dotyczył braku realizacji obowiązków informacyjnych wobec osób, których dane zostały pozyskane z publicznych rejestrów. Zgodnie z ustalonymi informacjami przez PUODO skala braku realizacji obowiązku informacyjnego była naprawdę spora, ponieważ dotyczyła blisko 6 mln rekordów. Teraz okoliczności całej sprawy zostały rozpatrzone przed Naczelnym Sądem Administracyjnym.

Główny zarzut PUODO z decyzji administracyjnej nakładającą karę pieniężną był brak realizacji obowiązku informacyjnego przewidzianego w art. 14 RODO. Jednocześnie ukarana spółka zasłaniała się art. 14 ust. 5 lit. b RODO, który wskazuje, że realizacja obowiązku informacyjnego nie jest wymagana, gdy: „udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku”. I tego właśnie argumentu na swoją obronę używała Spółka. Bisnode zwracało uwagę, że dysponując wyłącznie adresami prowadzonej działalności, wysyłanie w formie listu poleconego, tak wielu klauzul informacyjnych, powodowałyby ogromne koszty finansowe po stronie Spółki. PUODO z kolei zwrócił uwagę, że przepisy nie nakładają na administratora obowiązku wysyłania takiej korespondencji w formie listu poleconego. Organ nadzorczy finalnie stwierdził, że realizacja prawa do informacji na temat przetwarzania danych osobowych jest jednym z podstawowych praw podmiotów danych na gruncie RODO i powinna być realizowana możliwie najpełniej przez administratora. Dodatkowo, PUODO uznało, że naruszenie miało charakter w pełni umyślny, a Spółka nie podejmowała prób, które mógłby wskazane naruszenie wyeliminować.

Spółka złożyła skargę do Wojewódzkiego Sądu Administracyjnego na decyzję wydaną przez PUODO. WSA w wyroku z grudnia 2019 uchylił decyzję o nałożeniu administracyjnej kary pieniężnej (sygn. II Sa/Wa 1030/19). Uchylenie decyzji nie dotyczyło jednak stricte przepisów materialnych, a Sąd potwierdził, że ukarana Spółka powinna zrealizować wobec podmiotów danych obowiązek informacyjny z art. 14 RODO, ale tylko wobec osób, które w momencie wydania decyzji prowadziły działalności gospodarczą. W związku z tym zmieniła się liczba osób, których dane zostały objęte naruszeniem. Niemniej, uchylenie decyzji przez WSA spowodowane były kwestiami proceduralnymi.

Bisnode złożyło jednak skargę kasacyjną do Naczelnego Sądu Administracyjnego. W wyroku o sygnaturze II OSK 2538/21, NSA oddalił skargę kasacyjną Bisnode. Spółka raz jeszcze w skardze kasacyjnej zwracała uwaga, że nie spełniła obowiązku informacyjnego z wykorzystaniem tradycyjnej poczty z uwagi na tzw. „niewspółmiernie duży wysiłek. NSA jednak tym razem przyznał rację PUODO. Sąd podkreślił, że transparentne przetwarzanie danych osobowych jest jedną z podstawowych zasad RODO. Podmioty danych powinny otrzymywać informacje, w jaki sposób i dla jakich celów przetwarzane są ich dane osobowe. Co ważne – Spółka nie powinna wskazywać w tej sytuacji na „niewspółmiernie duży wysiłek” z uwagi na to, że pozyskiwanie i obrót danymi osobowymi jest jednym z kluczowych elementów działalności gospodarczej firmy. Spółka pozyskując te dane, zarabia na nich. Nie może więc uzasadniać braku realizacji podstawowych praw podmiotów danych, tzw. „niewspółmiernym dużym wysiłkiem” – który zdaniem NSA powinien być traktowany jako wyjątek, a nie reguła.

To nie koniec tej sprawy. Sprawa Bisnode ponownie trafi do PUODO, gdzie zgodnie z wyrokiem WSA, PUODO musi sprawę rozpatrzyć raz jeszcze, w zakresie wysokości nałożonej kary administracyjnej oraz w zakresie dotyczącym liczby osób dotkniętym naruszeniem. Niemniej zarówno z wyroku WSA i NSA wynika jeden bardzo istotny wniosek dla administratorów danych: realizacja obowiązku informacyjnego i prawo do transparentnej informacji jest jednym z podstawowych praw podmiotów danych, które musi być realizowane przez podmioty przetwarzające dane w roli ich administratorów.

Pobierz wpis w wersji pdf

Podobne wpisy:

Ustawa o kasach zapomogowo pożyczkowych – czy zgoda jest właściwą podstawą prawną przetwarzania danych osobowych?

W październiku 2021 roku w życie weszła ustawa o kasach zapomogowo pożyczkowych, zastępując tym samym wcześniejsze regulacje odnoszące się do tego zagadnienia, wskazane w ustawie o związkach zawodowych. Z pozoru wydawać by się mogło, iż nowy tekst ustawy okaże się pomocny z perspektywy zagadnień ochrony danych osobowych, gdyż jasno wskazuje podstawy prawne przetwarzania danych osobowych […]

Kurs ochrony danych osobowych przez e-mail

Czy znasz prawa osób, których dane przetwarzasz ?

Z pełnym przekonaniem mogę stwierdzić, że jednym z większych wyzwań Administratora jest obsługa wniosków dotyczących realizacji praw osób których dane dotyczą. RODO kładzie szczególny nacisk na to, aby osoby, których dane są przetwarzane, miały świadomość, co do podejmowanych działań przez Administratora. Mam na myśli najczęściej stosowane prawa wskazane w art. 15-22 RODO, tj. prawo do: […]

Nowelizacja ustawy o ochronie danych osobowych już od poniedziałku

Kary organów nadzorczych – Włochy

Spółka MAPEI została ukarana przez włoski urząd nadzorczy za naruszenie zasady minimalizacji i legalności przetwarzania po tym jak okazało się, że utrzymywała aktywną imienną skrzynkę pocztową byłego pracownika jeszcze przez 10 miesięcy od ustania zatrudnienia, a wszystkie wiadomości przekierowane były do kierownika.  Organ uzasadniając decyzję przypomniał o zasadzie ochrony prywatności, która dotyczy także pracowników w […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki