RODO: Pierwsza kara za złamanie obowiązku informacyjnego

Prezes Urzędu Ochrony Danych Osobowych nałożyła pierwszą karę pieniężną za złamanie obowiązku informacyjnego. Wysokość kary to ponad 943 tyś. zł. Złamanie przepisów Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO).

Tematyka: RODO, kara pieniężna, obowiązek informacyjny, dane osobowe, naruszenie, przetwarzanie danych, ochrona danych, informacje, administracja, obowiązki, przepisy, karanie, UODO

Prezes Urzędu Ochrony Danych Osobowych nałożyła pierwszą karę pieniężną za złamanie obowiązku
informacyjnego. Wysokość kary to ponad 943 tyś. zł.
• Złamanie przepisów Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.4.2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego
przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO)
• Niespełnienie obowiązku informacyjnego wobec ponad 6 mln osób, których dane pozyskano z publicznych
rejestrów
• Naruszenie podstawowych praw i wolności osób, których dane przetwarzane były niezgodnie z prawem.
Milionowa kara pieniężna
Jak już zostało wspomniane Prezes Urzędu Ochrony Danych Osobowych nałożyła pierwszą administracyjną karę
pieniężną za złamanie przepisów RODO. Ukarana spółka nie spełniła obowiązku informacyjnego wobec ponad 6 mln
osób. Podkreślić należy, że ich dane pozyskane zostały z publicznych rejestrów. Tak wysoko kara wynika m.in.
z tego, że doszło do naruszenia podstawowych praw i wolności osób, których dane były przetwarzane. Warto
podkreślić, że spółka swoim działaniem i brakiem informacji pozbawiła te osoby podstawowych praw, które otrzymały
po 25.5.2018 r., czyli w dniu w którym RODO zaczęło obowiązywać.
Obowiązek informacyjny
Obowiązek informacyjny jest jednym z podstawowych obowiązków wynikających z RODO. Administratorzy powinni
przywiązywać do niego szczególną uwagę. Obowiązek informacyjny, który został naruszony w omawianej sprawie
uregulowany jest w art. 13 oraz 14 RODO. Podstawa prawna podana w zdaniu poprzednim dotyczy pierwotnego
i wtórnego zbierania danych osobowych. Omawiając obowiązek informacyjny należy pamiętać również o motywie 60
preambuły. Zgodnie z motywem, o którym mowa w zdaniu poprzednim zasady rzetelnego i przejrzystego
przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania
i o jej celach. Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do
zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst
przetwarzania danych osobowych. Ponadto należy poinformować osobę, której dane dotyczą, o fakcie profilowania
oraz o konsekwencjach takiego profilowania. Jeżeli gromadzi się dane osobowe od osoby, której dane dotyczą,
należy ją też poinformować, czy ma ona obowiązek je podać, oraz o konsekwencjach ich niepodania. Informacje te
można przekazać w połączeniu ze standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny
sposób przedstawią sens zamierzonego przetwarzania. Jeżeli znaki te są przedstawione elektronicznie, powinny
nadawać się do odczytu maszynowego.
Zbieranie danych od osoby, której dane dotyczą
Z kolei art. 13 RODO dotyczy informacji podawanych w przypadku zbierania danych od osoby, której dane dotyczą.
Administrator pozyskując dane od osoby, które jej dotyczą, obowiązany jest podać jej szereg informacji. Z art. 13
RODO wynika, że administrator powinien podać:
• tożsamość i dane kontaktowe;
• cele przetwarzania danych, jak również podstawę prawną przetwarzania;
• jeżeli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych
przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych
interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych
osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem – prawnie uzasadnione interesy
realizowane przez administratora lub przez stronę trzecią;
• informacje o odbiorcach danych osobowych albo o kategoriach odbiorców, o ile istnieją.
A gdy ma to zastosowanie:
• tożsamość i dane kontaktowe swojego przedstawiciela;
• dane kontaktowe inspektora ochrony danych;

• informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
W motywie 60 RODO mowa jest o zasadzie rzetelności i przejrzystości przetwarzania. Aby spełnić te zasadę
administrator osobie, której dane dotyczą powinien podać, oprócz informacji o których mowa powyżej następujące
wiadomości:
• przez ile czasu dane będą przechowywane, ewentualnie kryteria okresu ich przechowywania;
• wyjaśnienie praw osoby, której dane dotyczą m.in. sprostowania, usunięcia, ograniczenia, czy też sprzeciwu wobec
przetwarzania;
• informacja o prawie do cofnięcia zgody,
• informacje o prawie wniesienia skargi do organu nadzorczego;
• informacje dotyczące wymogu podania danych i ewentualnych konsekwencjach ich niepodania (podanie danych
może być wymogiem ustawowym lub umownym;
• informacje o profilowaniu.
Dane pozyskane z publicznych rejestrów
Wspomniany art. 14 RODO dotyczy informacji podawanych w przypadku pozyskiwania danych osobowych w sposób
inny niż od osoby, której dane dotyczą. Jest to tak zwane wtórne gromadzenie danych osobowych. Mogą one
pochodzić w tym przypadku z publicznych rejestrów. Z wtórnym gromadzeniem danych osobowych mamy do
czynienia również podczas zakupu bazy marketingowej od innej firmy. Tutaj na administratorze spoczywają podobne
obowiązki, jak te wymienione powyżej. Musi on przekazać osobie, której dane dotyczą w rozsądnym terminie, ale nie
później niż w ciągu miesiąca, wszystkie informacje uznane za niezbędne.
Jak podało UODO: organ weryfikował niedopełnienie obowiązku informacyjnego wobec osób fizycznych
prowadzących działalność gospodarczą – przedsiębiorców, którzy aktualnie ją prowadzą bądź tę działalność
zawiesili, jak i o tych, którzy prowadzili ją w przeszłości. Administrator spełnił obowiązek informacyjny, podając
informacje wymagane przepisami art. 14 ust. 1-3 RODO jedynie wobec tych osób, do których miał adresy e-
mail. W przypadku pozostałych osób tego nie zrobił – jak sam to wyjaśniał w toku postępowania – z uwagi na
wysokie koszty takiej operacji. Dlatego jedynie na swojej stronie internetowej zamieścił klauzulę informacyjną.
W związku z powyższym pierwsza w Polsce administracja kara pieniężna za złamanie przepisów RODO sięgnęła
prawie miliona.
Sławomir Kowalski, adwokat, partner w Kancelarii Maruta Wachta sp. j.
Kara nałożona na Bisnode ma związek z nieuzasadnionym - w ocenie organu - zastosowaniem wyjątku od tzw.
obowiązku informacyjnego. Trzeba jednak też pamiętać, że nie ma jednego, sposobu wykonania tego obowiązku.
Istnieją przewidziane w RODO sytuacje, w których ten obowiązek jest wyłączony lub ograniczony. Decyzję
o sposobie wykonania obowiązku informacyjnego, zakresie udzielanych informacji, a także ewentualnym
zastosowaniu wyjątków należy podjąć z uwzględnieniem okoliczności przetwarzania. Należy m.in. uwzględniać to,
jakimi informacjami dysponują podmioty danych, niezależnie od wykonania obowiązku informacyjnego. W przypadku
przedsiębiorców, których dane są ujawniane w rejestrach publicznych ten poziom poinformowania jest wyższy. Mają
oni wiedzę o tym, że ich dane są jawne oraz że ta jawność służy pewności obrotu. Z drugiej strony często nie wiedzą
jakie podmioty oraz w jakich celach gromadzą ujawnione w tych rejestrach dane. Znaczenie ma także wysiłek, który
administrator musiałby podjąć, aby dotrzeć z informacją do podmiotów danych. Ważne jest znalezienie równowagi
między swobodą prowadzenia działalności gospodarczej opartej o dane dostępne w rejestrach publicznych,
a interesem osób, których dotyczą gromadzone dane, w tym prawem do informacji. Być może ta sprawa pomoże
wypracować bardziej szczegółowe reguły poszukiwania tej równowagi. Realnie patrząc, na ostateczne
rozstrzygnięcia będziemy pewnie musieli poczekać jeszcze kilka lat.

ZSPR.421.3.2018

Pierwsza w Polsce administracja kara pieniężna za złamanie przepisów RODO sięgnęła prawie miliona. Decyzję o sposobie wykonania obowiązku informacyjnego, zakresie udzielanych informacji, a także ewentualnym zastosowaniu wyjątków należy podjąć z uwzględnieniem okoliczności przetwarzania.