iSecure logo
Blog

Pierwsza kara za naruszenie przepisów RODO podtrzymana

W 2019 roku Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą administracyjną karę pieniężną od momentu wejścia w życie przepisów Rozporządzenia o ochronie danych osobowych (dalej jako „RODO”). Kara została nałożona na spółkę Bisnode (obecnie Dun & Bradstreet) w wysokości 943 tysięcy złotych. PUODO zarzuciło w tamtym czasie, że Bisnode jako broker danych, pozyskiwała dane osobowe (głównie przedsiębiorców prowadzących jednoosobowe działalności gospodarcze) z ogólnodostępnych rejestrów publicznych (jak np. CEIDG). Główny zarzut, który postawił Spółce organ nadzorczy dotyczył braku realizacji obowiązków informacyjnych wobec osób, których dane zostały pozyskane z publicznych rejestrów. Zgodnie z ustalonymi informacjami przez PUODO skala braku realizacji obowiązku informacyjnego była naprawdę spora, ponieważ dotyczyła blisko 6 mln rekordów. Teraz okoliczności całej sprawy zostały rozpatrzone przed Naczelnym Sądem Administracyjnym.

Główny zarzut PUODO z decyzji administracyjnej nakładającą karę pieniężną był brak realizacji obowiązku informacyjnego przewidzianego w art. 14 RODO. Jednocześnie ukarana spółka zasłaniała się art. 14 ust. 5 lit. b RODO, który wskazuje, że realizacja obowiązku informacyjnego nie jest wymagana, gdy: „udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku”. I tego właśnie argumentu na swoją obronę używała Spółka. Bisnode zwracało uwagę, że dysponując wyłącznie adresami prowadzonej działalności, wysyłanie w formie listu poleconego, tak wielu klauzul informacyjnych, powodowałyby ogromne koszty finansowe po stronie Spółki. PUODO z kolei zwrócił uwagę, że przepisy nie nakładają na administratora obowiązku wysyłania takiej korespondencji w formie listu poleconego. Organ nadzorczy finalnie stwierdził, że realizacja prawa do informacji na temat przetwarzania danych osobowych jest jednym z podstawowych praw podmiotów danych na gruncie RODO i powinna być realizowana możliwie najpełniej przez administratora. Dodatkowo, PUODO uznało, że naruszenie miało charakter w pełni umyślny, a Spółka nie podejmowała prób, które mógłby wskazane naruszenie wyeliminować.

Spółka złożyła skargę do Wojewódzkiego Sądu Administracyjnego na decyzję wydaną przez PUODO. WSA w wyroku z grudnia 2019 uchylił decyzję o nałożeniu administracyjnej kary pieniężnej (sygn. II Sa/Wa 1030/19). Uchylenie decyzji nie dotyczyło jednak stricte przepisów materialnych, a Sąd potwierdził, że ukarana Spółka powinna zrealizować wobec podmiotów danych obowiązek informacyjny z art. 14 RODO, ale tylko wobec osób, które w momencie wydania decyzji prowadziły działalności gospodarczą. W związku z tym zmieniła się liczba osób, których dane zostały objęte naruszeniem. Niemniej, uchylenie decyzji przez WSA spowodowane były kwestiami proceduralnymi.

Bisnode złożyło jednak skargę kasacyjną do Naczelnego Sądu Administracyjnego. W wyroku o sygnaturze II OSK 2538/21, NSA oddalił skargę kasacyjną Bisnode. Spółka raz jeszcze w skardze kasacyjnej zwracała uwaga, że nie spełniła obowiązku informacyjnego z wykorzystaniem tradycyjnej poczty z uwagi na tzw. „niewspółmiernie duży wysiłek. NSA jednak tym razem przyznał rację PUODO. Sąd podkreślił, że transparentne przetwarzanie danych osobowych jest jedną z podstawowych zasad RODO. Podmioty danych powinny otrzymywać informacje, w jaki sposób i dla jakich celów przetwarzane są ich dane osobowe. Co ważne – Spółka nie powinna wskazywać w tej sytuacji na „niewspółmiernie duży wysiłek” z uwagi na to, że pozyskiwanie i obrót danymi osobowymi jest jednym z kluczowych elementów działalności gospodarczej firmy. Spółka pozyskując te dane, zarabia na nich. Nie może więc uzasadniać braku realizacji podstawowych praw podmiotów danych, tzw. „niewspółmiernym dużym wysiłkiem” – który zdaniem NSA powinien być traktowany jako wyjątek, a nie reguła.

To nie koniec tej sprawy. Sprawa Bisnode ponownie trafi do PUODO, gdzie zgodnie z wyrokiem WSA, PUODO musi sprawę rozpatrzyć raz jeszcze, w zakresie wysokości nałożonej kary administracyjnej oraz w zakresie dotyczącym liczby osób dotkniętym naruszeniem. Niemniej zarówno z wyroku WSA i NSA wynika jeden bardzo istotny wniosek dla administratorów danych: realizacja obowiązku informacyjnego i prawo do transparentnej informacji jest jednym z podstawowych praw podmiotów danych, które musi być realizowane przez podmioty przetwarzające dane w roli ich administratorów.

Pobierz wpis w wersji pdf

Podobne wpisy:

Które kraje zapewniają odpowiedni stopień ochrony danych?

Inspektorzy Ochrony Danych w codziennej pracy są wyczuleni na pewne sytuacje, przy których należy się zatrzymać i zwrócić na nie szczególną uwagę. Alarmujące jest, gdy hasło do załącznika znajduje się w treści tej samej wiadomości lub jest niezwykle proste (np. „987654”). Jesteśmy wyczuleni na klauzule zgody, zwłaszcza w sytuacjach, gdy zgoda nie jest prawidłową podstawą […]

Wybrane kary organów ochrony danych osobowych w UE w obszarze marketingu elektronicznego lub telefonicznego

Z doświadczenia wiemy, że branża e-commerce cechuje się dużą dynamiką, jeżeli chodzi o procesy przetwarzania danych osobowych. Ze względu na nie jest też często bardziej wyeksponowana na ryzyko niezgodności z RODO. Specjalnie dla Was przygotowałam zestawienie kilku wybranych kar organów ochrony danych z krajów UE. Nie zawsze zostały one nakładane na podmioty z branży e-commerce, […]

Ocena naruszenia przy błędnie wysłanym PIT – case study

Czas wysyłania PIT-11 do pracowników to szczególnie gorący okres dla inspektorów ochrony danych. Przesyłek jest mnóstwo, nic zatem dziwnego, że niektóre z nich trafiają do niewłaściwych osób. A to potencjalnie oznacza naruszenie ochrony danych osobowych, które należy przeanalizować pod kątem naruszenia praw i wolności osoby, która została takim incydentem objęta. Z pomocą przychodzi nam na […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki