Jolanta Ojczyk: Nałożyła pani pierwszą karę za naruszenie RODO za niewykonanie obowiązku informacyjnego. Firma twierdzi, że wysłanie listów byłoby zbyt kosztowne. Pani mówi, że można poinformować taniej. Czy Urząd wyjaśni jak?
Czytaj również: Prawie milion złotych - pierwsza kara za naruszenie RODO >>
Dr Edyta Bielak-Jomaa, prezes UODO: W postępowaniu spółka koncentrowała się na kosztach wysyłki listów poleconych, czego RODO nie wymaga. Administrator musi spełnić obowiązek informacyjny w taki sposób, aby stosowny komunikat dotarł do osoby, której dotyczy. Rolą UODO nie jest szczegółowe wskazywanie jego formy. To bowiem administrator najlepiej wie, jakie dane przetwarza, jakiej grupy osób, w jakim celu. Mając tę wiedzę, jest w stanie wybrać najbardziej efektywną formę spełnienia obowiązku informacyjnego tak, aby osoby, których dane są przetwarzane, zostały o tym efektywnie poinformowane. Firma, wobec której została wydana decyzja, część osób poinformowała o tym, że przetwarza ich dane osobowe, przesyłając odpowiednie informacje e-mailem. W odniesieniu do innej, bardzo dużej grupy, uznała, że mimo iż dysponuje ich numerami telefonów lub adresami korespondencyjnymi, byłoby to zbyt kosztowne, więc komunikat na ten temat zamieściła na swojej stronie internetowej. Tylko kto o tym mógł wiedzieć i jak miałby ustalić, że ten komunikat dotyczy właśnie jego?
Firmy jednak mają wątpliwości, czy muszą spełnić obowiązek informacyjny wobec osób, których dane pozyskały z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, e jeśli tak, to w jaki sposób. Oczekują podpowiedzi, a nie straszenia karami. A teraz wiedzą, że kara nie jest mała.
O tym, że samo zbieranie informacji ze źródeł powszechnie dostępnych nie zwalnia z obowiązku informacyjnego, mówimy od dawna. Dla przykładu w lutym obowiązkowi informacyjnemu poświęciliśmy jedno ze szkoleń skierowanych do inspektorów ochrony danych, które dla wszystkich zainteresowanych jest cały czas dostępne online. Niemniej pamiętajmy, że jako Urząd możemy wskazać wyłącznie warunki, jakie muszą być spełnione przy dopełnianiu obowiązku informacyjnego. Wybór najwłaściwszej formy, dostosowanej do specyfiki działalności, należy do administratora.
Jakie to są formy?
To są wszystkie formy, które można sobie wyobrazić. Może to być e-mail, sms, list zwykły. Jeszcze raz zaznaczam, że nie ma wymogu, aby był to list polecony. W pewnych sytuacjach obowiązek informacyjny można zrealizować np. przez publikację komunikatu w prasie, radiu lub telewizji, czy też w ramach szerszej kampanii informacyjnej. Z drugiej strony w sytuacji bezpośredniego zbierania danych od osób, których one dotyczą, najlepszą metodą może być wywieszenie informacji w widocznym miejscu, w pomieszczeniu, w których dochodzi do zbierania danych.
Jak udowodnić, że informacja została przekazana listem zwykłym?
To chyba nie jest aż takie trudne do udowodnienia. Wykazanie określonych działań dotyczących osób jest możliwe także poprzez wykazanie rzeczywistego wdrożenia określonej procedury informowania, czy poprzez wykazania przeprowadzenia szerszej akcji informacyjnej dotyczącej określonych grup osób, których dane dotyczą. Myślę, że pomysłów może być wiele i nie chciałabym w żaden sposób ograniczać kreatywności administratorów.
Jak udowodnić, że przekaz w mediach dotarł do właściwych osób?
Wszystko zależy od okoliczności, które należałoby bardzo dokładnie przeanalizować zastanawiając się jak efektywnie dotrzeć do osób, których dane przetwarzamy, na jakim obszarze mieszkają te osoby, z jakich środków komunikacji korzystają. Na tej podstawie można dobrać kanał dotarcia, tak, by informację umieścić tam, gdzie osoby, których dane przetwarzamy, będą miały największą szansę się z nią zapoznać. Na firmowej stronie, w specjalnej zakładce raczej nikt nie szuka takich informacji jeżeli nie wie, że ta firma te dane przetwarza. Poza tym komunikat i tak musiałby być sformułowany tak, by przynajmniej część osób mogła się domyśleć, że to ich on dotyczy. To na pewno wymaga rzetelnego przygotowania, ale gdy wykorzystujemy dane osobowe do prowadzenia działalności, to pod uwagę musimy brać wszystkie wynikające z RODO obowiązki, jakie ciążą na administratorach.
Dlaczego obowiązek informacyjny jest taki ważny?
Bardzo wiele osób, których dane przetwarzała ukarana spółka, nie miało o tym pojęcia. Administrator ich o tym nie powiadomił. Tym samym odebrał im możliwość skorzystania z praw, jakie przysługują im na gruncie RODO. Nie mogły więc one np. sprzeciwić się dalszemu przetwarzaniu ich danych, żądać ich sprostowania czy usunięcia. Dlatego uznałam, że naruszenie ma poważny charakter. Dotyczy bowiem podstawowych praw i wolności osób, których dane przetwarza spółka.
Zobacz w LEX:
Praktyczne omówienie obowiązku informacyjnego w świetle RODO >
Realizacja obowiązku informacyjnego przy gromadzeniu danych osobowych - procedura krok po kroku >>
Jak przygotować się na kontrolę inspektorów UODO w zakresie zgodności wykorzystywanego monitoringu wizyjnego z przepisami RODO >
Skąd kwota 943 tys. zł, a dokładnie 220 tys. euro?
Zgodnie z RODO, kary z samego założenia mają być dotkliwe i odstraszające. Przy ich wymierzaniu decydować jednak musi indywidualna ocena każdego z naruszeń. Zanim dojdzie do jej nałożenia, bierzemy pod uwagę 11 czynników, o których mowa w art. 83 RODO. Powołaliśmy do tego nawet specjalny zespół, by ocena była kolegialna i jak najbardziej zobiektywizowana. Ocenia się więc charakter, wagę i czas trwania naruszenia. Znaczenie ma liczba poszkodowanych osób czy rozmiar poniesionej przez nie szkody, a także to, jaki był cel i zakres przetwarzania danych, których dotyczyło naruszenie. Zwracamy również uwagę, jak wcześniej administrator podchodził do ochrony danych. Ukarana spółka nie dopełniała obowiązku informacyjnego w stosunku do ponad 6 mln osób, w tym 2,9 mln osób, które zawiesiły wykonywanie działalności. Spośród około 680 tys. osób, które poinformowała mailowo o przetwarzaniu danych, ponad 12 tys. wniosło sprzeciw. To prawie 2 proc. poinformowanych. Pokazuje to, jak ważne jest prawidłowe spełnienie obowiązków informacyjnych umożliwiających realizację uprawnień przysługujących nam zgodnie z RODO. W praktyce tylko te osoby mogły skorzystać np. z prawa do sprzeciwu.
Spółka odwoła się do sądu. Prawdopodobnie będzie podważała niewspółmierny wysiłek. Prawnicy, mówią, że dobrze by się stało, aby TSUE wyjaśnił, jak rozumieć to pojęcie, bo jest nieprecyzyjne, przez co decyzja kontrowersyjna?
Uważam, że nasza decyzja jest słuszna. Ukarany podmiot dysponował danymi kontaktowymi osób, których dane przetwarzał. Mógł więc w łatwy sposób dopełnić obowiązku informacyjnego i powinien był to robić sukcesywnie, bo nie jest to nowy obowiązek. Faktycznie były okresy, w których dane osobowe przedsiębiorców nie podlegały ochronie wynikającej z przepisów o ochronie danych osobowych, ale od pewnego czasu już tak nie jest. Nic więc nie stało na przeszkodzie, by już wcześniej i sukcesywnie dopełniać obowiązku informacyjnego. Pamiętajmy też, że firma, która została ukarana, przetwarza dane osób w celach komercyjnych, zarabia na nich. Mamy świadomość, że czasami obowiązku informacyjnego może być trudno dopełnić z dnia na dzień. Ukarany podmiot nie zaczął go jednak realizować nawet wówczas, gdy już trwało postępowanie.
Jeśli jednak ukarana firma nie zgadza się z naszym rozstrzygnięciem ma prawo wnieść sprawę to sądu. To z kolei jej prawo gwarantowane przez RODO. Gdybym nie był przekonana o słuszności swojej decyzji, to bym jej nie podejmowała i nie nakładała kary na przedsiębiorcę.
