Od wejścia w życie RODO minęły już ponad dwa lata. Jest to okres wystarczający do tego, aby przyjrzeć się komu, za co oraz w jakiej wysokości Prezes Urzędu Ochrony Danych Osobowych wymierzył kary finansowe.
Naruszenie obowiązku informacyjnego
Historyczna, bo pierwsza decyzja Prezesa UODO o nałożeniu kary pieniężnej została wydana w dniu 15 marca 2019 r.[1] Jej wysokość wyniosła 943.470, 00 PLN (słownie: dziewięćset czterdzieści trzy tysiące czterysta siedemdziesiąt złotych).
Na czym polegało naruszenia, którego dopuścił się spółka Bisnode? Otóż, firma ta z ogólnie dostępnych źródeł takich jak np. Rejestr Przedsiębiorców Krajowego Rejestru Sądowego, Centralna Ewidencja i Informacji o Działalności Gospodarczej, Baza REGON Głównego Urzędu Statystycznego pozyskiwała dane osobowe m.in. przedsiębiorców, wspólników spółek, członków organów spółek, etc. Ukarana Firma wykorzystywała te dane osobowe do celów komercyjnych.
O ile Prezes UODO nie miał zastrzeżeń, co do legalnej możliwości pozyskiwania tego typu danych osobowych przez przedsiębiorcę, o tyle już brak realizacji obowiązku informacyjnego, o którym mowa w art. 14 RODO spotkał się ze stanowczą dezaprobatą organu nadzorczego, który nałożył pierwszą karę pieniężną. Zgodnie ze wspomnianym przepisem administrator pozyskujący dane osobowe ze źródeł pośrednich musi w określonym czasie poinformować wszystkie osoby, których dane pozyskał. Obowiązkiem informacyjnym objętych jest wiele ważnych kwestiach, m.in. jaki podmiot pozyskał dane, skąd pozyskano dane, w jakim celu je pozyskano, itd. Ukarana spółka poinformowała tylko te osoby, do których posiadała adres poczty elektronicznej, a także zamieściła klauzule informacyjne na swojej stronie internetowej.
Prezes UODO uznał to za działania wysoce niewystarczające. W jego ocenie firma powinna była tradycyjną pocztą wysłać do wszystkich pozostałych osób list ze wszystkimi niezbędnymi informacjami. Szkopuł w tym, że według wyliczeń ukaranej spółki wysyłka listów poleconych do wszystkich tych osób kosztowałaby ją blisko 34 miliony złotych. Niestety argumentacja ta nie znalazła uznania w oczach organu nadzorczego.
Ku zaskoczeniu wielu ekspertów Wojewódzki Sąd Administracyjny po rozpoznaniu skargi ukaranej spółki częściowo utrzymał w mocy zaskarżoną decyzję. Jak można przeczytać w komunikacie Prezesa UODO: „Sąd uznał, iż wysoki koszt wysyłki tej informacji pocztą tradycyjną nie może przesądzać o tym, że zachodzi przesłanka >>niewspółmiernie dużego wysiłku<<. Sąd w wyroku oddalił skargę w zakresie dotyczącym nakazu dopełnienia obowiązku informacyjnego wobec osób fizycznych prowadzących aktualnie działalność gospodarczą oraz osób fizycznych, które zawiesiły wykonywanie tej działalności, a którym informacje te nie zostały dotychczas podane. Jednocześnie Sąd, z uwagi na dostrzeżone uchybienia proceduralne, uchylił decyzję Prezesa UODO w części dotyczącej nakazu dopełnienia obowiązku informacyjnego wobec osób fizycznych prowadzących w przeszłości działalność gospodarczą.”[2]
Nieuprawnione ujawnienie danych osobowych na stronie internetowej
Druga kara finansowa została nałożona przez Prezesa UODO w dniu 25 kwietnia 2019 r. na Dolnośląski Związek Piłki Nożnej[3]. Tym razem kwota kary nie była aż tak wysoka i wyniosła „jedynie” 55.750,50 PLN (słownie: pięćdziesiąt pięć tysięcy siedemset pięćdziesiąt złotych pięćdziesiąt groszy).
Naruszenie Dolnośląskiego Związku Piłki Nożnej polegało na „niezapewnieniu bezpieczeństwa
i poufności przetwarzanych danych osobowych osób, którym przyznano licencje sędziowskie w roku 2015, w zakresie numeru PESEL oraz adresu zamieszkania poprzez ich nieuprawnione ujawnienie na stronie internetowej”. Po przeprowadzeniu kontroli okazało się, że Związek w wyniku błędu ludzkiego zamieścił na swojej stronie internetowej informację o imionach, nazwiskach, numerach PESEL oraz adresach zamieszkania osób, którym przyznano w roku 2015 licencje sędziowskie. Powyższe dane osobowe widniały na stronie internetowej Związku od października 2015 r. do lipca 2018 r.
Prezes UODO nakładając na Związek karę w kwocie 55.750,50 zł. wziął pod uwagę okoliczności łagodzące takie jak:
- dobrą współpracę Związku z Prezesem UODO w trakcie trwania postępowania;
- brak dowodów na osiągnięcie przez Związek korzyści finansowych, jak i uniknięcie strat w związku z naruszeniem;
- usunięcie naruszenia przez Związek w trakcie postępowania przed organem nadzorczym;
- działalność niezarobkową prowadzoną przez Związek;
- brak dowodów na istnienie szkód dla osób których dane zostały ujawnione.
Związek nie zgodził się z decyzją Prezesa UODO o nałożeniu kary i zaskarżył ją do Wojewódzkiego Sądu Administracyjnego. Jednakże po rozpoznaniu sprawy Wojewódzki Sąd Administracyjny nie uwzględnił skargi Związku i utrzymał w mocy zaskarżoną decyzję Prezesa UODO[4].
Wycofanie zgody zbyt utrudnione
W dniu 16 października 2019 r. Prezes UODO wymierzył spółce ClickQuickNow Sp. z o.o. karę finansową opiewającą na kwotę 201.559,50 PLN (słownie: dwieście jeden tysięcy pięćset pięćdziesiąt dziewięć złotych 50/100)[5].
Ogólnie rzecz ujmując Spółka pozyskiwała i przetwarzała dane osobowe w celu wysyłania drogą elektroniczną różnego rodzaju materiałów handlowych i marketingowych. Podstawą była zgoda tych osób. W myśl art. 7 ust. 3 RODO wycofanie zgody musi być równie łatwe jak jej wyrażenie.
W ocenie Prezesa UODO wprowadzony przez firmę mechanizm odwoływania zgody naruszał wyżej wskazany przepis, gdyż spółka bez podstawy prawnej uzależniała wycofanie zgody od podania przyczyn, dla których dana osoba rezygnuje. Powodowało to przy tym mylne przekonanie u subskrybenta, że skutecznie odwołał zgodę, podczas gdy firma zamiast usunąć dane zgodnie z „prawem do bycia zapomnianym” w dalszym ciągu je przetwarzała. Procedura odwołania zgody przyjęta przez ukaraną spółkę naruszała zasady przejrzystości i rzetelności, o których mowa w np. 5 ust. 1 lit. a RODO
Dodatkowo organ nadzorczy uznał, iż spółka dopuściła się naruszenia art. 24 ust. 1 RODO ponieważ nie zastosowała odpowiednich środków technicznych i organizacyjnych umożliwiających osobie, której dane dotyczą skuteczne skorzystanie z jej praw, np. prawa do wycofania zgody.
Oprócz uregulowania kary firma zobowiązana została do dostosowania w terminie 14 dni swoich procedur do RODO, a także do usunięcia danych osób, które nie były jej klientami, a żądały prawa do zapomnienia.
Prezes UODO uzasadniając wysokość wymierzonej kary finansowej stwierdził, iż nie uwzględnił żadnej okoliczności łagodzącej.
Jak wynika z doniesień medialnych spółka zaskarżyła do Wojewódzkiego Sądu Administracyjnego decyzję Prezesa UODO o nałożeniu na niej kary pieniężnej, jednakże do tej pory nie wiadomo jaki finał miała ta sprawa.
Z uwagi na obszerność opisywanej problematyki niniejszy artykuł został podzielony na dwie części. Druga jego cześć ukaże się przy następnym wydaniu naszego cyklu #czwartkizRODO. W międzyczasie zapraszamy Państwa do zapoznania się z naszą publikacją o błędach popełnianych podczas wdrażania RODO.
[1] https://uodo.gov.pl/decyzje/ZSPR.421.3.2018
[2] https://uodo.gov.pl/pl/138/1292
[3] https://uodo.gov.pl/decyzje/ZSPR.440.43.2019
[4] https://uodo.gov.pl/pl/138/1448
[5] https://uodo.gov.pl/decyzje/ZSPR.421.7.2019
Zapraszamy do śledzenia naszego profilu w serwisie Facebook
