Decyzją z 15 marca 2019 r. dr Edyta Bielak-Jomaa, prezes UODO, ukarała jedną z firm zajmujących się dostarczaniem informacji o kontrahentach za niedopełnienie obowiązku informacyjnego wobec osób prowadzących jednoosobową działalność gospodarczą. Kara wynosi 220 tys. euro kary, czyli 943,5 tys. zł.
Czytaj również: Prawie milion złotych - pierwsza kara za naruszenie RODO >>
Piotr Drobek, dyrektor Zespołu Analiz i Strategii w UODO wyjaśnia, że spółka nie dopełniała obowiązku informacyjnego w stosunku do ponad 6 mln osób. Ukarana spółka przetwarza dane osób pozyskane ze źródeł publicznie dostępnych, m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG). Spełniła ona obowiązek informacyjny, podając informacje wymagane przepisami art. 14 ust. 1-3 RODO jedynie wobec tych, do których miała adresy e-mail. W przypadku pozostałych osób tego nie zrobiła z uwagi na wysokie koszty takiej operacji. Wątpliwości prawników budzi fakt, czy w ogóle obowiązek istniej przy danych pozyskiwanych z publicznych, jawnych rejestrów - o czym pisaliśmy w poniedziałek 25 marca. Inni jednak zastanawiają się, czy można spełnić obowiązek inaczej, tak aby nie był to niewspółmierny wysiłek.
Informacja na stronie to za mało
Z informacji do jakich dotarło Prawo.pl wynika, że wysłanie listów poleconych mogłoby kosztować spółkę nawet 30 mln zł. Zdaniem spółki byłby to jest niewspółmierny wysiłek, stąd skorzystała z art. 14 ust. 5 RODO. Zwalnia on z obowiązku informacyjnego, jeżeli jego wykonanie jest niemożliwe lub gdy wiązałoby się z „niewspółmiernie dużym wysiłkiem". - Poinformowanie bezpośrednio konkretnych sześciu milionów osób to rzeczywiście może być problem finansowy – uważa Maciej Gawroński, radca prawny, partner w Gawroński & Piecuch. - Jeśli zna się tylko ich adres pocztowy, byłby to koszt zapewne rzędu 10 milionów złotych - dodaje Gawroński. Dlatego spółka jedynie wysłała maile , a ponadto na swojej stronie internetowej zamieścił klauzulę informacyjną. - Kto o tym mógł wiedzieć? To tak jakbyśmy dziś wszyscy nagle siedli przed komputerem i szukali informacji, czy nasze dane są przez kogoś przetwarzane - mówi dr Edytę Bielak-Jomaa, prezes UODO. - Trudno nie zgodzić się ze stwierdzeniem, że na firmowej stronie nikt nie będzie szukał informacji o tym, że jego dane są przetwarzane – ocenia Maciej Gawroński. Jak zatem inaczej można go zrealizować?
List to nie jedyny sposób na spełnienie obowiązku informacyjnego z RODO
Prezes UODO dodaje jednak, że nie ma wymogu, by obowiązek informacyjny spełnić poprzez list polecony. - To może być list zwykły czy sms. Jeśli ich wysłanie jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, obowiązek można zrealizować, np. przez publikację informacji telewizyjnej, prasowej – dodaje dr Edytę Bielak-Jomaa, prezes UODO. - Jednokrotna reklama przed głównym wydaniem Wiadomości czy Faktów, to podobno koszt ok. 60 tys. zł – wskazuje mec. Gawroński. - W pakiecie wyszłoby zapewne taniej. Można byłoby skonstruować kampanię informacyjną z wykorzystaniem telewizji i internetu w cenie do 1 miliona złotych. Za taką kwotę zapewne można też wysłać smsy na ślepo na 21 milionów numerów telefonów, choć byłoby to zapewne wylanie dziecka z kąpielą – kalkuluje mec. Gawroński.
Co z zasadą rozliczalności?
Powstaje jednak pytanie, czy tak wyświetlona informacja zostanie uznana za skierowaną do tych, których dane są przetwarzane. Czy firma wykaże w postępowaniu, że wypełniła obowiązek, za który grozi kara? Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji nie ma pewności, czy taka realizacja obowiązku byłaby skuteczna. - Byłbym bliższy stanowiska, że nie. Nie mamy przecież pewności, ze informacja do osób zainteresowanych dotrze - uważa Maciej Kawecki. Podobnie myśli Michał Kibil, adwokat, partner zarządzający w Kibil i Wspólnicy.- Co do reklamy telewizyjnej, to skuteczność będzie pewnie taka sama, jak w przypadku opublikowania na stronie internetowej, ale to już chyba zależy od stacji - ocenia Michał Kibil.
Ważna jest analiza ryzyka
Dr Mirosław Gumularz, radca prawny z kancelarii GKK Gumularz Kozik zwraca uwagę na jeszcze inny problem. - Wszyscy komentują problem obowiązku informacyjnego i niewspółmierności, a nikt nie zwraca uwagi na brak analizy ryzyka. Choć to jest koronny problem RODO, kluczowy na zachodzie. U nas analizy prawie nikt jej nie robi, np. zapominają o tym podmioty publiczne, co wyszło przy okazji kamer w Krakowie - tłumaczy Mirosław Gumularz. - Tymczasem zgodnie z RODO administrator zastanawiając się, czy odpowiednio „skalibrował” sposób realizacji obowiązków, tzn. dobrał odpowiednie środki do ich realizacji, powinien wziąć pod uwagę ryzyko naruszenia praw lub wolności. Dotyczy to także środków służących realizacji obowiązków informacyjnych - podkreśla Gumularz.
Zgodnie z art. 25 ust. 1 RODO administrator powinien odpowiedzieć na pytanie, czy przewidywane środki są odpowiednie, z uwzględnieniem ich kosztu, np. wysyłki listów. Co ważne, analiza ryzyka nie służy odpowiedzi na pytanie, czy należy spełnić określony wymóg, ale czy dobrane środki są wystarczające. W zależności od stanu faktycznego ten poziom ryzyka może się różnić. Także środki. - RODO nie działa więc na zasadzie wszystko lub nic. Bez analizy ryzyka ocena prawidłowości doboru środków będzie zawsze arbitralna. Pytanie, jak powyższe elementy ocenił urząd, bo z decyzji to wprost nie wynika. Trudo zaś przyjąć, aby w tej sprawie waga i prawdopodobieństwo potencjalnych konsekwencji dla praw lub wolności, wymagały wdrożenia wyśrubowanych mechanizmów informacyjnych. Podobnie bezsensu byłoby nagrywanie rozmowy tylko po to aby wykazać, że informacja została przekazana w jej trakcie - podsumowuje Mirosław Gumularz.
