Ochrona danych osobowych

Sąd uchyla pierwszą w Polsce karę za RODO

11 grudnia 2019 r. Wojewódzki Sąd Administracyjny w Warszawie uchylił pierwszą karę finansową (943.470 zł), nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych. Jednak uchylenie przez Sąd wspomnianej kary nie oznacza zakończenia sprawy. Sprawa ma wrócić do UODO, które ma ponownie zająć się sprawą. Natomiast co ze wspomnianego wyroku WSA w Warszawie wynika dla innych administratorów danych?

  1. Przetwarzasz nieaktualne dane? Możesz naruszać RODO.

W ocenie Sądu przetwarzanie nieaktualnych danych dotyczących jednoosobowych działalności gospodarczych należy ocenić pod kątem jego zgodności z art. 5 ust. 1 lit. d RODO (zasada prawidłowości danych). Wspomniany przepis wymaga, aby przetwarzane dane były prawidłowe i w razie potrzeby uaktualniane. Dlatego przetwarzanie nieaktualnych danych (dotyczących nieaktywnych jednoosobowych działalności gospodarczych) zdaniem Sądu może wiązać się z naruszeniem RODO.

  1. Jawność danych w przypadku jednoosobowych działalności gospodarczych nie zwalnia z realizacji wobec nich obowiązku informacyjnego.

Sąd przyznał rację Prezesowi UODO odnośnie obowiązku realizacji obowiązku informacyjnego wobec osób fizycznych aktualnie prowadzących jednoosobową działalność gospodarczą, których dane zostały pozyskane ze źródeł ogólnodostępnych (np. CEIDG). Zdaniem Sądu fakt, że informacje udostępniane przez CEIDG są jawne i każdy ma prawo dostępu do takich informacji ujawnionych w rejestrze, nie jest równoznaczna z możliwością dowolnego ich przetwarzania przez inne podmioty w celach innych, niż te dane zostały w CEIDG zgromadzone.

Ponadto w ocenie Sądu nie jest możliwe przyjęcie założenia, że każda osoba fizyczna prowadząca jednoosobową działalność gospodarczą, której dane osobowe potencjalny administrator przetwarza, miała wiedzę choćby o nazwie takiego administratora. Natomiast jeśli nie wie się o przetwarzaniu swoich danych osobowych (pozyskanych z jawnych rejestrów) przez określony podmiot, to trudno jest takim osobom domyślić się, że powinny poszukiwać strony internetowej konkretnego podmiotu, żeby dowiedzieć się o przetwarzaniu swoich danych osobowych, celach tego przetwarzania i przysługujących prawach.

Dlatego też Sąd uznał, że samo umieszczenie informacji, wymaganych w art. 14 RODO (pozyskanie danych z innego źródła niż podmiot danych), na stronie internetowej administratora, nie może być uznane za wystarczające spełnienie obowiązku informacyjnego.

  1. Wysoki koszt realizacji obowiązku informacyjnego nie oznacza niewspółmiernie dużego wysiłku.

W ocenie Sądu wysłanie informacji o przetwarzaniu danych osobowych (klauzuli informacyjnej) pocztą tradycyjną, na adres osoby fizycznej prowadzącej aktualnie jednoosobową działalność gospodarczą lub w drodze kontaktu telefonicznego, nie jest czynnością niemożliwą oraz nie wymaga niewspółmiernie dużego wysiłku, w sytuacji posiadania przez Spółkę danych adresowych, czy numerów telefonów.

Zdaniem Sądu pojęcie niewspółmiernie dużego wysiłku, ujęte jako przesłanka zwalniająca od realizacji obowiązku informacyjnego, nie może być utożsamiane z wysokimi kosztami, jakie administrator zmuszony będzie ponieść w związku z koniecznością realizacji obowiązku informacyjnego. W ocenie Sądu interes finansowy administratora nie może przeważać nad prawami osób fizycznych, których dane osobowe przetwarzane są przez administratora, w tym także w przypadku, gdy dane pozyskane zostały ze źródeł powszechnie dostępnych, a przetwarzane są następnie przez administratora w celach komercyjnych.

Ponadto Sąd wskazał, że jeśli administrator posiada dane kontaktowe (np. adres pocztowy) podmiotu danych, to w praktyce nie będzie mógł powołać się na zwolnienie od realizacji obowiązku informacyjnego, w związku z niewspółmiernie dużym wysiłkiem, o którym mowa w art. 14 ust. 5 lit. b RODO.

  1. Kara nakładana przez Prezesa UODO nie ma mieć na celu oddziaływanie na inne podmioty.

W ocenie Sądu karana nakładana przez Prezesa UODO musi być proporcjonalna do stwierdzonego naruszenia RODO. W związku z powyższym Prezes UODO, ustalając wysokość kary finansowej, powinien bezspornie ustalić liczbę osób, których prawa zostały naruszone, przez nieprawidłowe działania danego podmiotu. Ponadto Sąd podkreślił, że proporcjonalność i odstraszający charakter administracyjnej kary pieniężnej musi być odnoszony do konkretnego podmiotu, który dopuścił się naruszenia przepisów RODO. Dlatego na wymiar kary nie może mieć wpływu cel, jaki Prezes UODO chciałby osiągnąć wobec innych administratorów.

Zamiar odstraszenia innych podmiotów od naruszania w przyszłości RODO, stanowi zatem przesłankę niedozwoloną tak przy podejmowaniu decyzji o nałożeniu administracyjnej kary pieniężnej, jak i przy kształtowaniu jej wysokości.

Autor: Paweł Domagała, prawnik, JAMANO Sp. z o.o.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *