26 marca 2019 roku Prezes Urzędu Ochrony Danych Osobowych poinformował o nałożeniu pierwszej administracyjnej kary pieniężnej za naruszenie przepisów RODO. Wysokość kary oscyluje w granicach miliona złotych. Powodem nałożenia kary pieniężnej na przedsiębiorcę zajmującego się dostarczaniem publicznych informacji o kontrahentach były uchybienia w wykonywaniu obowiązku informacyjnego, o którym mowa w art. 14 RODO wobec osób fizycznych prowadzących działalność gospodarczą.
Zgodnie z art. 14 RODO, jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, między innymi informacje o swojej tożsamości, celach przetwarzania, kategoriach odnośnych danych osobowych, a także informacje o źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – informacji czy pochodzą one ze źródeł publicznie dostępnych.
Powyższy obowiązek nie ma jednak zastosowania, gdy i w zakresie, w jakim udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie.
W przedmiotowej sprawie, administrator danych, który pozyskał dane o kontrahentach z CEIDG, z uwagi na wysokie koszty postanowił nie realizować obowiązku informacyjnego w stosunku do osób, z którymi kontakt elektroniczny był niemożliwy. Poinformowanie wszystkich zainteresowanych za pośrednictwem poczty tradycyjnej mogłoby bowiem kosztować około 30 mln złotych, a zatem więcej niż obrót firmy. Wprawdzie administrator postanowił udostępnić stosowne informacje na swojej stronie internetowej, niemniej jednak Prezes Urzędu Ochrony Danych Osobowych uznał takie działanie za niewystarczające i stwierdził istnienie naruszenia przepisów RODO w zakresie realizacji obowiązku informacyjnego. Jednakże z dużym prawdopodobieństwem decyzja Prezesa Urzędu Ochrony Danych zostanie poddana kontroli w toku postępowania odwoławczego, albowiem istnieje wiele argumentów przemawiających za tym, że postępowanie administratora w tym przypadku było właściwe.
Powyższe podkreśla, że aspekt informacyjny ma istotne znaczenie z punktu widzenia ochrony danych osobowych, a systematyczne audytowanie skuteczności przyjętych rozwiązań w praktyce pozwala uchronić przedsiębiorstwo przed wysokimi karami pieniężnymi. Należy przypomnieć, że RODO to nie tylko wdrożenie, ale również systematyczna weryfikacja stosowania odpowiednich zasad ochrony danych przez organizację w praktyce.
Daniel Trędkiewicz
Aplikant radcowski