W środę 11 grudnia zapadł pierwszy nieprawomocny wyrok w sprawie pierwszej kary prezesa Urzędu Ochrony Danych Osobowych dla spółki Bisnode za nieprzestrzeganie RODO. Dr Edyta Bielak-Jomaa decyzją z 15 marca 2019 roku nałożyła 943 tys. zł kary za to, że broker danych nie poinformował blisko 6,6 miliona osób o tym, że przetwarza ich dane. Spółka twierdziła, że wysłanie listów kosztowałoby ją nawet 30 mln złotych. Nie spełniła więc obowiązku informacyjnego z art. 14 RODO, gdyż wiązałoby się to z niewspółmiernie wysokim wysiłkiem. Ponadto prezes UODO nakazał spółce poinformować osoby fizyczne prowadzące aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz te, które ją zawiesiły o tym, że przetwarza ich dane. Spółka zaskarżyła decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, a ten ją częściowo uchylił. Dlaczego?

Czytaj również:
Stanowisko UODO w sprawie wyroku WSA >>
Rozmowę z prezesem Bisnode o wyroku WSA >>

Co orzekł sąd administracyjny

WSA w Warszawie stwierdził, że obowiązek informacyjny należy spełnić wobec osób aktualnie prowadzących działalność gospodarczą lub tych, które ją zawiesiły. Listownie bądź telefonicznie. Figurowanie w bazie CEIDG nie zwalnia bowiem spółki z jego spełniania. Jednocześnie wskazał, że nie można postawić znaku równości między niewspółmiernie dużym wysiłkiem, a kosztami. Ponadto sąd uznałł, że obowiązek ten nie musi być spełniony wobec osób, które nie prowadzą już działalności gospodarczej, bo dotarcie do nich może być trudne. Iwona Maciejuk, sędzia sprawozdawca, podkreśliła, że każda osoba ma prawo wiedzieć, co dzieje się z jej danymi. Przetwarzane dane muszą być prawidłowe i w razie potrzeby uaktualniane. Administrator zaś powinien podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Żeby o to zadbać, podmiot danych musi wiedzieć, kto przetwarza jego dane. Jednocześnie sąd uchylił karę finansową, gdyż uznał, że jest w tej sytuacji nieproporcjonalna skoro odnosiła się do braku informacji również wobec osób, ktore zakończyły działalność gospodarczą.

Ustawa o ochronie danych osobowych. Komentarz

Dominik Lubasz

Sprawdź  

Należy wskazać formy spełniania obowiązku informacyjnego

Maciej Gawroński, radca prawny i partner w kancelarii Gawroński & Partners zauważa, że trudno jest oceniać wyrok, nie znając pełnego uzasadnienia. To sąd ma przedstawić w ciągu dwóch tygodni. Jego zdaniem, jest on jednak zastanawiający, dla każdej ze stron, publiczności, ale także sąd powinien się nad nim zastanowić. 
- Po pierwsze można odnieść wrażenie, że zdaniem sądu kara jest zbyt wysoka, z czym trudno się nie zgodzić, skoro to pierwsza kara na podstawie RODO. Nie sposób natomiast zgodzić się, że potencjalnie wadliwy adres osoby, która już zaprzestała prowadzenia działalności uzasadnia rezygnację ze spełnienia obowiązku informacyjnego. To wprost sprzeczne z zasadą poprawności danych z art. 5 ust. 1 lit. d RODO - ocenia mec. Gawroński. Zgodnie z art. 5 ust. 1 lit. d RODO przetwarzane dane muszą być prawidłowe i w razie potrzeby uaktualniane.

Zdaniem Macieja Gawrońskiego przed sądami administracyjnymi jeszcze długa droga edukacji w ochronie danych. - Tym bardziej, że w sprawie chodzi o brokera danych, a więc podmiot szczególnej troski w każdym systemie ochrony danych – obecnie nawet w USA. Po drugie sąd słusznie zauważa, że przetwarzanie danych osób, które zaprzestały prowadzenia działalności jest sprzeczne  z art. 5 lit. D RODO. Trzeba pamiętać, że to jest broker danych, który powinien mieć podwyższone standardy staranności – mówi mec. Gawroński. I dodaje, że brakuje mu odniesienia do sposobów kompensujących względem obowiązku informacyjnego, których możliwość przewiduje RODO.

Zdaniem Macieja Gawrońskiego obowiązek wysłania listu pocztą może być wymaganiem niewspółmiernym. - W sytuacji, gdy chodzi o poinformowanie milionów osób, co do których ustalenie adresu korespondencyjnego czy numeru telefonu może  być trudne, dopuszczalna mogłaby być kampania reklamowa. RODO upoważniało spółkę do wybrania proporcjonalnej metody zastąpienia bezpośredniego poinformowania innym odpowiednim działaniem. Mogłaby, np. ogłosić w mediach, że przetwarza dane wszystkich, którzy prowadzą działalność – tłumaczy Maciej Gawroński. 

Spór o pojęcie niewspółmierny wysiłek

Dr Maciej Kawecki, dziekan Wyższej Szkoły Bankowej w Warszawie, współpracownik kancelarii Kancelaria Maruta Wachta, zwraca uwagę na inny aspekt. - Nie rozumiem dlaczego w identycznej sprawie NSA uznaje, że koszty finansowe mogą świadczyć o niewspółmiernym wysiłku, a w tej nie. Co innego zatem o nim przesądza? W obecnych czasach i realiach ewentualnie mogą to być tylko kwestie techniczne - mówi dr Kawecki.

Swego czasu toczył się spór pomiędzy spółką Info Veriti a prezesem GIODO o obowiązek informacyjny. Wówczas funkcję tę pełnił Wojciech Wiewiórowski, który nakazał spółce poinformować osoby o tym, że przetwarza ich dane pozyskane z KRS. Wówczas, zdaniem GIODO, tylko w ten sposób mogły one skorzystać z przysługujących im praw, np. sprawdzenia, czy ich dane są poprawne. NSA uznał jednak, że firma nie musi spełniać obowiązku informacyjnego właśnie z powodu jego wysokich kosztów. Tyle, że to dotyczyło danych z KRS, a więc kosztem byłoby jeszcze ustalenie adresu doręczeń. NSA wskazał, że sankcja powinna być adekwatna, współmierna do stopnia naruszenia prawa, a także winna uwzględniać zagrożenie praw osoby, której dane dotyczą.

Ponadto zdaniem dr Kaweckiego z punktu widzenia wizerunku wyrok nie jest najlepszy dla UODO, bo uchyla jego pierwszą karę. Pozostaje pytanie, kto zaskarży wyrok. Ani spółka, ani broniąca ją kancelaria KLM Law Kobylańska Lewoszewski Mednis, ani Urząd Ochrony Danych Osobowych nie chcą na razie się wypowiadać, ani komentować wyroku. Zarówno spółka jak i urząd oświadczenie w jego sprawie planują ogłosić w czwartek.

Wyrok WSA w Warszawie z 11 grudnia 2019 r., sygn.  II SA/WA 1030/19.