Artykuły i porady

Prezes Urzędu Ochrony Danych Osobowych w dniu 15 marca 2019 roku wydał pierwszą decyzję stwierdzającą naruszenie rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, polegające na niepodaniu informacji zawartych w art 14 ust. 1 i 2 (informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą). Organ nadzorczy nie tylko nałożył za naruszenie karę w wysokości 943.470,00 zł, ale także nakazał dopełnić wykonania obowiązku informacyjnego w terminie trzech miesięcy.

              Po przeprowadzeniu postępowania kontrolnego, upoważnieni pracownicy Urzędu Ochrony Danych Osobowych ustalili, że spółka pozyskiwała dane osobowe ze źródeł dostępnych publicznie. Spółka przetwarzała dane 7.594.636 osób będących przedsiębiorcami prowadzącymi jednoosobową działalność gospodarczą, osób będących wspólnikami lub członkami organów spółek, fundacji czy stowarzyszeń.

              Spółka spełniła obowiązek informacyjny w 682.639 przypadkach, w stosunku do osób, co do których posiadała adres poczty elektronicznej. Ponadto spółka na swojej stronie internetowej zamieściła informację o przetwarzaniu danych osobowych. Spółka nie przesłała jednak klauzuli informacyjnej w postaci wiadomości tekstowych SMS, a także nie skorzystała z tradycyjnej korespondencji, posiadała bowiem 181.142 numerów telefonów oraz 6.490.226 adresów korespondencyjnych. Jak wynikało z wyjaśnień spółki, koszt poinformowania z wykorzystaniem poczty tradycyjnej wyniósłby 33.749.175,25 zł, co spowodowałoby niewspółmiernie duży wysiłek. Spółka posiadała jednak odpowiednie procedury, instrukcje, a także zabezpieczenia wysokiej klasy.

              W toku postępowania nie stwierdzono aby doszło do powstania szkód po stronie osób fizycznych, jednocześnie podkreślono, iż działanie polegające na nieprzesłaniu klauzuli informacyjnej bezpośrednio do osoby, której dane dotyczą, stanowi ograniczenie praw wynikających z ogólnego rozporządzenia o ochronie danych osobowych. W uzasadnieniu decyzji Prezes Urzędu Ochrony Danych Osobowych wskazał, iż spółka dopełniła obowiązku informacyjnego w stosunku do 682.639 osób, zaś  zaniechała tego w ponad 6 mln przypadków. Podkreślono również, iż przekazanie klauzuli pocztą tradycyjną lub w ramach kontaktu telefonicznego nie jest niemożliwe, a także nie stanowi niewspółmiernego wysiłku, nawet przy takiej ilości danych.

              Czy wydatek w kwocie kilkudziesięciu milionów rzeczywiście nie stanowi niewspółmiernego wysiłku? Czy decyzja jest słuszna? Pewne jest, iż wywołała ona niemałe poruszenie w środowisku specjalistów a także przedsiębiorców, przetwarzających na co dzień dane osobowe.