Podczas oficjalnej konferencji prasowej Prezes Urzędu Ochrony Danych Osobowych ogłosiła nałożenie pierwszej w Polsce kary pieniężnej za naruszenie przepisów RODO. Ukarano spółkę zajmującą się pozyskiwaniem informacji o osobach prowadzących działalność gospodarczą z publicznie dostępnych źródeł (np. KRS oraz CEIDG). Kara została nałożona za to, że spółka nie poinformowała większości firm, których dane pozyskiwała, o przetwarzaniu ich danych. Urząd nakazał ukaranej spółce przesłać odpowiednią informację do firm, które spółka posiada w swojej bazie, a także nałożył karę ok. 950 tys. zł. Łączny koszt, jaki może ponieść ukarana spółka, to nawet kilkanaście milionów złotych, ponieważ informacja ma zostać przesłana do prawie 6,5 miliona odbiorców, dla których spółka dysponuje adresem korespondencyjnym. Zdaniem Urzędu wysłanie takiej informacji nie stanowi niewspółmiernie dużego wysiłku.
Decyzja budzi wiele kontrowersji, zwłaszcza wśród prawników zajmujących się na co dzień ochroną danych osobowych. Urząd w pierwszej decyzji o wymierzeniu kary wziął pod uwagę kluczowy wymóg RODO, jakim jest przekazywanie informacji o zasadach przetwarzania danych osobom, których dane dotyczą. – Wszyscy mamy świadomość, jak istotnym elementem RODO jest kwestia przejrzystego informowania o przetwarzaniu danych. – komentuje mec. Bartosz Pilc, partner w kancelarii CORE Law Grzybowski & Pilc, która jest strategicznym partnerem Polskiego Stowarzyszenia Marketingu SMB w kwestiach związanych z ochroną danych osobowych. – Obawiamy się jednak, że ze względu na okoliczności sprawy oraz wysokość kary decyzja wydana przez Urząd może paradoksalnie wywołać więcej szkody niż pożytku, czyli drugą falę absurdów oraz paniki związanej z RODO. Kluczowy element tej decyzji to możliwość zwolnienia z obowiązku informacyjnego w sytuacji, gdy jego realizacja jest niemożliwa lub wymagałaby „niewspółmiernie dużego wysiłku”. A to już element bardzo ocenny, co do którego nie ma jasnych wytycznych. Jak wynika z opinii UODO, koszt, który stawiałby pod znakiem zapytania płynność finansową, a być może nawet i byt całej firmy, nie jest wysiłkiem „nadmiernym”.
Ukarana spółka może wnieść teraz skargę na decyzję Urzędu do sądu administracyjnego. Taka skarga wstrzyma obowiązek zapłaty kary pieniężnej, ale mimo to spółka musi zastosować się do nakazu przesłania informacji o przetwarzaniu danych do firm, które posiada w swojej bazie. Ten obowiązek może zostać zawieszony tylko przez UODO lub sąd, jeśli spółka wykaże, że jego realizacja mogłaby grozić jej znaczną szkodą lub wywołać trudne do odwrócenia skutki.
– Niemal na pewno sprawa trafi ostatecznie do sądu administracyjnego, a prawdopodobnie również do Trybunału Sprawiedliwości Unii Europejskiej. To najlepiej pokazuje, że nie jest to klarowny przypadek jakiegoś rażącego naruszenia. Sprawa nie dotyczy osób zasługujących na szczególną ochronę (np. konsumentów czy pacjentów). Nie chodzi o wyciek danych ani przetwarzanie ich bez podstawy prawnej. Dlatego decyzja Urzędu może, niestety, pogłębić problem niezrozumienia dla nowych przepisów – kończy mec. Bartosz Pilc.
Polskie Stowarzyszenie Marketingu SMB jest organizacją zrzeszającą podmioty rozumiejące potrzebę uregulowania i etycznego korzystania z danych osobowych. W związku z tym pragniemy zwrócić uwagę, że spółka pozyskiwała dane ze źródeł ogólnie dostępnych, a więc takich, z których korzystać może każdy przedsiębiorca czy osoba fizyczna. W opinii UODO uchybienie firmy polegało na niedopełnieniu obowiązku informacyjnego, który zdaniem firmy wiązał się z nadmiernymi kosztami finansowymi. W tej sytuacji wydaje się, że również dla setek innych podmiotów korzystających z danych ogólnie dostępnych istotną kwestią będzie opracowanie jasnych zasad określających definicję „współmierności” .