W dniu 26 marca 2019 r. Prezes UODO poinformowała o nałożeniu pierwszej kary pieniężnej z RODO. Wysokość kary (220 tys. euro, czyli blisko 1 mln złotych) wzbudziła duże emocje i rozpoczęła ożywioną dyskusję, nie tylko wśród prawników od ochrony danych osobowych.

Za co spółka została ukarana?

Spółka pozyskała dane osobowe ponad 6 mln osób fizycznych ze źródeł publicznie dostępnych, m.in. z CEiDG, w celu ich przetwarzania dla celów komercyjnych. Wiadomość e-mail z klauzulą informacyjną RODO została przesłana tylko do tych osób, które ujawniły swój adres poczty elektronicznej. W odniesieniu do pozostałych osób (zdecydowanej większości), spółka uznała, że wystarczające będzie umieszczenie informacji na swojej stronie internetowej.

Część ekspertów wskazała na surowość orzeczonej przez Prezes UODO kary i niejednoznaczność w zakresie wykładni pojęcia „niewspółmiernie dużego wysiłku”. W konkretnych okolicznościach może on uzasadniać brak bezpośredniego przekazania klauzuli informacyjnej z RODO. Spółka uznała, że koszty wysyłki kilku milionów listów poleconych byłyby nieadekwatnie wysokie do spodziewanych korzyści biznesowych.

Nie jest moim celem opowiadanie się po którejkolwiek ze stron, ale próba wyjaśnienia, jakie okoliczności wpłynęły na orzeczenie kary w tej, a nie innej wysokości.

Co wpłynęło na wymiar kary pieniężnej?

RODO wskazuje na szereg czynników, które organ powinien wziąć pod uwagę przy ustalaniu wysokości kary pieniężnej. W mojej ocenie, w tej konkretnej sprawie na wysokość kary miały wpływ dwa główne czynniki.

Po pierwsze, masowa skala przetwarzania danych osobowych. Spółka wykonała obowiązek informacyjny w stosunku do 90 tys. osób, których adresy e-mail pozyskała wraz z innymi danymi. Aż 12 tys. spośród nich skorzystało z prawa do wniesienia sprzeciwu wobec przetwarzania danych osobowych. Administrator przetwarzał dane podstawie art. 6 ust. 1 lit f RODO, na zasadzie prawnie uzasadnionego interesu spółki i jej klientów.

Po drugie, rodzaj zarzuconego naruszenia. Wykonanie obowiązku informacyjnego ma kluczowe znaczenie dla umożliwienia osobom, których dane dotyczą, realizacji ich praw wynikających z RODO. Jak wynika z powyższego ustalenia UODO, ok. 13 % osób, które otrzymały informację o przetwarzaniu ich danych, wniosło sprzeciw wobec przetwarzania. Nie ma oczywiście pewności, czy w przypadku przekazania informacji wszystkim przedsiębiorcom, odsetek ten kształtowałby się podobnie. Gdyby jednak tak było, sprzeciw dotyczyłby blisko 800 tys. osób. Teoretycznie taka właśnie grupa osób nie mogła skorzystać z prawa do wniesienia sprzeciwu wobec nieuzyskania informacji o przetwarzaniu ich danych przez spółkę.

Jak wskazała Prezes UODO, wysokość kary miała również na celu zapewnienie, aby ukarany podmiot nie wliczył kary w ryzyko prowadzonej przez siebie działalności. Cele kary zostałyby zniweczone, gdyby spółce bardziej opłacało się płacić kary niż wykonywać obowiązki z RODO.

Warto dodać, że naruszenie polegające na braku prawidłowego wykonania obowiązku informacyjnego, zgodnie z RODO zagrożone jest karą w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku. Stawia to wymierzoną przez karę pieniężną w pewnym kontekście (1 mln zł vs 20 mln euro).

O wiele dotkliwsza pod względem finansowym dla ukaranej spółki może okazać się konieczność realizacji obowiązku informacyjnego, szczególnie jeżeli miałby on przybrać postać wysyłki listów do wszystkich zainteresowanych. Samo RODO nie przesądza jednak, w jakiej formie obowiązek informacyjny może być zrealizowany. Decyzję w tym zakresie podejmuje sam administrator, biorąc pod uwagę dostępne opcje oraz ich koszty. Z ekonomicznego punktu widzenia zasadny jest wybór takiego rozwiązania, które nie obciąży nadmiernie budżetu firmy. Nie może odbywać się to jednak kosztem praw i wolności osób, których dane dotyczą.

Decyzja administratora podlega kontroli ze strony Prezesa UODO i w razie odmiennego stanowiska organu, może być podstawą do ukarania danego podmiotu.

Znaczenie decyzji dla branży analityki danych

Orzeczona kara może mieć duże znaczenie dla branży Data Science, która opiera swoją działalność na zbieraniu na masową skalę i analizie danych. Dużą część z tego stanowią dane osobowe, które są przetwarzane także do celów profilowania, oraz udostępniane innym podmiotom.

Umieszczenie danych w publicznych rejestrach, takich jak CEiDG, sprawia, że dane te są jawne i ogólnie dostępne dla każdego użytkownika Internetu. Nie oznacza to bynajmniej, że mogą być one wykorzystywane przez każdego i w dowolnym celu. Prowadziłoby to bowiem do faktycznej utraty władztwa nad danymi osobowymi przez osoby, które z mocy przepisów prawa publicznego, obowiązane są ujawnić swoje dane w publicznych rejestrach.

W ramach postępowania Prezes UODO nie zakwestionował jednak samego faktu zebrania danych ze źródeł dostępnych publicznie ani podstawy prawnej ich przetwarzania wskazanej przez spółkę, ale brak wykonania obowiązku informacyjnego w stosunku do zdecydowanej większości osób, których dane zgromadzono.

W kontekście zbierania danych przez firmy z branży Data Science z powszechnie dostępnych źródeł, szczególnie na skalę masową, dużym wyzwaniem jest późniejsza obsługa żądań osób, których dane dotyczą. Nie chodzi wyłącznie o uwzględnienie ewentualnego sprzeciwu wobec przetwarzania, ale także realizację innych potencjalnych żądań, jak sprostowanie danych, ograniczenie przetwarzania czy wydanie kopii danych. Istotna jest weryfikacja tożsamości osoby, która zgłasza żądanie. Zadanie to może być utrudnione, gdy firma korzysta z metod opartych na danych, które są publicznie dostępne.

Przetwarzanie danych osobowych przez firmy Data Science nakłada na administratorów obowiązki z RODO adekwatne do skali przetwarzania.

Spółka zapowiedziała, że zaskarży decyzję UODO do wojewódzkiego sądu administracyjnego, który oceni, czy mogła ona powołać się na wyjątek spod obowiązku bezpośredniego przekazania informacji większości przedsiębiorców.