fbpx

Pierwsza kara za naruszenie RODO – AKTUALIZACJA

Czy wysokie koszty zwalniają z obowiązku informowania o przetwarzaniu danych osobowych? Przed takim pytaniem stanął Wojewódzki Sąd Administracyjny (WSA) w Warszawie po złożeniu przez Spółkę Bisnode odwołania od decyzji Prezesa Urzędu Ochrony Danych Osobowych, którą nałożył na Spółkę karę w wysokości niemal miliona złotych.

W środę 11 grudnia skład orzekający częściowo uchylił decyzję wydaną przez UODO, sąd stwierdził w uzasadnieniu, że rzeczywiście Bisnode nie wywiązała się z obowiązku informacyjnego wynikającego z przepisów. Zdaniem WSA Spółka powinna poinformować (listownie lub telefonicznie) indywidualnych przedsiębiorców, że przetwarza ich dane, jednak tylko tych, którzy aktualnie prowadzą działalność lub ją zawiesili. Tym samym Sąd uznał, że figurowanie w ogólnodostępnej bazie CEIDG nie zwalnia ze spełnienia obowiązku informacyjnego. W ocenie WSA okoliczność, że Spółka dysponowała adresem bądź telefonem przedsiębiorcy, dowodzi, że Bisnode powinna choć podjąć próbę zawiadomienia takiej osoby.  

Jednocześnie sąd uznał, że Spółka nie musiała dopełnić obowiązku informacyjnego wobec wykreślonych przedsiębiorców, którzy zakończyli prowadzenie działalności (nieaktywnych w bazie CEIDG). Zdaniem WSA duża część danych posiadanych przez Bisnode miała charakter archiwalny, co uniemożliwiało prawidłowe zawiadomienie, a w związku z tym, że nie wiadomo, czy te dane są aktualne wysyłanie listów pod potencjalnie błędny adres byłoby zdaniem sądu zupełnie bezcelowe. 

Wobec powyższego kara nałożona przez prezesa UODO okazała się niewspółmierna do przewinienia. Niemniej jednak w ocenie WSA nie można stawiać znaku równości pomiędzy wysokimi kosztami zawiadomienia osób figurujących w bazie danych, a niewspółmiernym wysiłkiem. 

Wygląda na to, że WSA rozstrzygając tę sprawę miał bardziej zastrzeżenia co do proporcjonalności kary niż co do jej zasadności. Zdaniem wielu prawników kazus Bisnode jest wręcz modelowym przykładem „niewspółmiernego wysiłku”, stąd też Spółka niebawem ma podjąć decyzję o złożeniu skargi kasacyjnej do Naczelnego Sądu Administracyjnego w pozostałej części zaskarżonej decyzji prezesa UODO, tj. spełnienia obowiązku informacyjnego wobec podmiotów aktywnych z CEIDG.

Niewątpliwie wyrok WSA to cios wizerunkowy dla Urzędu Ochrony Danych Osobowych, który nie sprawdził, czy Spółka miała realną możliwość spełnienia obowiązku informacyjnego wobec nieaktywnych przedsiębiorców, jednak na ostateczną interpretację przepisów RODO w tym zakresie przyjdzie nam jeszcze zaczekać.

Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą karę po wejściu w życie RODO. Spółka Bisnode Polska została ukarana kwotą sięgającą niemal miliona złotych.

Bisnode Polska to firma, która zajmuje się gromadzeniem, opracowywaniem i dostarczaniem informacji gospodarczych. Spółka przetwarzała w celach zarobkowych dane osobowe pozyskane ze źródeł ogólnodostępnych m.in. CEIDG, KRS czy GUS.

UODO uznał, że Spółka nie dopełniła obowiązku informacyjnego. Bisnode w swojej bazie miała dane blisko 6 milionów osób, z czego jedynie 80 tysięcy zostało poinformowanych o tym fakcie drogą elektroniczną.

Zdaniem UODO działania Spółki polegające na zamieszczeniu stosownego komunikatu na stronie internetowej i korespondencji prowadzonej wyłącznie w formie elektronicznej okazały się niewystarczające.

rodo-milion-kary

Czy sąd administracyjny uzna, że operacja kosztująca 30 mln zł to niewspółmiernie duży wysiłek i zwalnia z obowiązku informacyjnego?

Jednak niniejsza decyzja wzbudziła szereg kontrowersji i to nie tylko wśród prawników.

Bisnode już zapowiedziała, że zaskarży decyzję do sądu administracyjnego, który rozstrzygnie czy interpretacja UODO dot. proporcjonalności wysiłku zawartego w art. 14 pkt 5 lit. b RODO jest prawidłowa.

W ocenie władz spółki obowiązek informacyjny został spełniony w zakresie, w jakim był możliwy i proporcjonalny do skali jej działalności. Zdaniem prezesa spółki Andrzeja Osińskiego Bisnode wykonała wszystkie czynności, jakie uznała za proporcjonalny wysiłek. Wszystkim przedsiębiorcom, których adres e-mail znajdował się w bazie, przesłano wymagane informacje – było to blisko milion e-maili.

Przed wejściem w życie przepisów RODO spółka analizowała inne możliwości, jednak wysyłkę listów poleconych, której koszt to niemal 30 mln złotych, uznano za niewspółmierny wysiłek, tym bardziej że kwota ta przekracza roczne obroty przedsiębiorstwa.

Bezpieczeństwo sieci

Gałczyńskiego 18
40-587 Katowice
NIP: 651-15-41-295
Tel: 32 225 99 66

email: kontakt@vida.pl

Zapytaj o produkt

Rozwiązania IT

Gałczyńskiego 18
40-587 Katowice
NIP: 651-15-41-295
Tel: 32 225 99 66
email: kontakt@vida.pl