Aktualizacja artykułu z 26 marca 2019 roku.
Do 15 marca 2019 roku zagrożenie administracyjną karą pieniężną za naruszenie przepisów RODO było dość abstrakcyjne. Przedstawiciele organu podkreślali, że nie będą nimi szafować i rzeczywiście – przez 10 miesięcy okresu obowiązywania RODO polski organ nadzorczy nie nałożył żadnej takiej kary.
Mieliśmy natomiast szereg przykładów kar finansowych za naruszenie przepisów RODO z innych krajów UE. Było to chociażby 50 mln euro kary dla Google nałożonej przez francuski organ nadzorczy CNIL.
Prawie milion złotych kary za naruszenie przepisów RODO
Dokładnie 10 miesięcy od słynnej daty 25 maja 2018 roku, w dniu 15 marca 2019 roku Prezes UODO (wówczas dr Edyta Bielak-Jomma) wydała pierwszą decyzję o ukaraniu administratora za nieprawidłowości związane z realizacją obowiązku informacyjnego kwotą prawie 1 mln złotych.
Pechowy administrator, zgodnie ze swoją interpretacją przepisów – prawidłowo, użył wyłączenia stosowania obowiązku informacyjnego. Nie dostał jednak szansy na naprawienie błędu, który – zdaniem organu – popełnił i przywrócenie stanu zgodnego z przepisami, zanim kara została nałożona. Decyzja UODO zawierała obydwa elementy jednocześnie: nałożenie kary i nakaz spełnienia obowiązku, który w tym konkretnym przypadku może być bardziej kosztowny dla ADO niż sama kara.
Nietrudno się domyślić, jak wzrośnie znaczenie organu ochrony danych osobowych w Polsce, gdy będzie on zasilać budżet Państwa poważnymi wpływami oraz jak to się przełoży na liczbę przeprowadzanych kontroli.
Pierwsza decyzja UODO w zakresie nałożenia administracyjnej kary pieniężnej wywołała ogromne kontrowersje w środowisku osób zajmujących się profesjonalnie ochroną danych osobowych. Zdania na temat jej słuszności czy też wysokości kary są mocno podzielone.
Niemniej jednak możemy być niemal pewni co najmniej dwóch kwestii. Po pierwsze, że sprawa będzie miała swoją kontynuację w sądzie administracyjnym i niebawem doczekamy się pierwszego orzeczenia na gruncie nowych przepisów. Po drugie, o RODO znów będzie głośno, gdyż wielu przedsiębiorców oczekiwało na ruch ze strony organu nadzorczego.
Dla wielu przedsiębiorców to wyraźny sygnał, aby zweryfikować zasady ochrony danych osobowych w ich organizacji. Bo skoro tak wysoką karę pieniężną za naruszenie przepisów RODO otrzymał podmiot, który teoretycznie wdrożył nowe unijne przepisy, to jakich konsekwencji mogą spodziewać Ci, którzy dotąd czekali i robili niewiele albo nic…?
Przeczytaj więcej na temat kar finansowych w 2019 r. za naruszenie RODO: Ochrona danych osobowych – kary.
AKTUALIZACJA
Po 4 latach od wydania pierwszej w Polsce decyzji Prezesa UODO o ukaraniu administratora za nieprawidłowości związane z realizacją obowiązku został wydany wyrok Naczelnego Sądu Administracyjnego (NSA) w tej sprawie. Dla administratora okazał się on niekorzystny, ponieważ Naczelny Sąd Administracyjny oddalił jego skargę i przyznał rację Prezesowi UODO. Wróćmy jednak do genezy sprawy.
Kim jest ukarana spółka?
Spółka, na którą Prezes UODO nałożył pierwszą karę za naruszenie przepisów RODO to Bisnode Sp. z o.o. (obecnie Dun & Bradstreet). Jest to firma świadcząca usługi w zakresie gromadzenia, opracowania i dostarczania informacji gospodarczej w postaci cyfrowej. Inaczej mówiąc jest to wywiadownia gospodarcza oferująca usługi sprawdzania kontrahentów, w tym sporządzania raportów gospodarczych na temat ich wiarygodności finansowej. Bisnode dane przedsiębiorców pozyskuje z ogólnodostępnych źródeł, takich jak Centralna Ewidencja i Informacja o Działalności Gospodarczej (CEiDG), Krajowy Rejestr Sądowy (KRS), czy Baza REGON Głównego Urzędu Statystycznego.
Zakres danych, które spółka pozyskuje w odniesieniu do osób reprezentujących osoby prawne to m.in.: imię, nazwisko, PESEL (pozyskane z KRS). Natomiast w odniesieniu do osób fizycznych prowadzących działalność gospodarczą są to m.in.: imię, nazwisko, firma, adres rejestrowy oraz inne adresy, rodzaj działalności PKD, numer telefonu, adres e-mail, adres strony www, zakazy / uprawnienia / ograniczenia / koncesje na prowadzenie określonej działalności.
Jaki był powód ukarania spółki przez Prezesa UODO?
We wrześniu 2018 roku pracownicy UODO prowadzili w Bisnode kontrolę, która obejmowała m.in. pozyskiwanie przez spółkę danych osób z ogólnodostępnych źródeł. W tym zakresie wykryto nieprawidłowości, w związku z czym Prezes UODO w styczniu 2019 r. zawiadomiła Bisnode o wszczęciu postępowania.
W wyniku kontroli okazało się, że administrator spełnił obowiązek informacyjny z art. 14 RODO tylko wobec części osób, których dane przetwarzał. Mianowicie były to osoby, których adres mailowy był ujawniony w CEIDG. Wobec pozostałych osób ADO postanowił skorzystać ze zwolnienia z obowiązku informacyjnego, zgodnie z art. 14 ust. 5 lit. b RODO. Przywołany przepis daje administratorowi możliwość niewykonania obowiązku informacyjnego w sytuacji, kiedy wymaga to niewspółmiernie dużego wysiłku. W ocenie spółki zrealizowanie powinności z art. 14 RODO poprzez wysłanie listów na tradycyjny adres (rejestrowy lub do doręczeń) jest niewspółmiernym wysiłkiem. Jak twierdzi Bisnode taki proces byłby obciążeniem organizacyjnym, ponieważ konieczne byłoby oddelegowanie pracowników, zasobów rzeczowych (np. komputerów), a także poniesienie kosztów finansowych takich jak m.in. koszt druku i wysyłki dokumentu. Według Bisnode działania te „w krytyczny sposób zakłóciłyby funkcjonowanie Spółki w stopniu, który mógłby wiązać się z koniecznością zakończenia prowadzenia działalności w Polsce”. Zamiast tego Bisnode opublikowało informację na temat przetwarzania danych na swojej stronie internetowej, co nie usatysfakcjonowało organu nadzorczego.
Opublikowanie klauzuli informacyjnej na stronie internetowej jest niewystarczające
Prezes UODO stwierdziła, że zamieszczenie klauzuli informacyjnej na stronie internetowej w sytuacji posiadania przez spółkę danych adresowych (a niekiedy również numerów telefonów) nie może być uznane za wystarczające spełnienie przez spółkę obowiązku informacyjnego.
Prezes UODO w decyzji stwierdziła, że:
„Wysłanie bowiem informacji, o których mowa w art. 14 rozporządzenia 2016/679 pocztą tradycyjną, na adres osoby fizycznej prowadzącej działalność gospodarczą, lub w drodze kontaktu telefonicznego, nie jest czynnością >>niemożliwą<< oraz nie wymaga >>niewspółmiernie dużego wysiłku<<, w sytuacji posiadania przez Spółkę w bazie systemu informatycznego N[…] danych adresowych, w odniesieniu do osób fizycznych prowadzących jednoosobową działalność gospodarczą (aktualnie lub w przeszłości), a także dodatkowo – numerów telefonów – w odniesieniu do części tych osób. Wskazać w tym miejscu należy, że w odróżnieniu do ww. osób fizycznych, odmienna jest sytuacja osób będących udziałowcami lub członkami organów spółek i innych osób prawnych, których dane Spółka przetwarza. W rejestrach publicznych (w szczególności w Rejestrach KRS) brak jest bowiem danych teleadresowych tych osób, w związku z czym Spółka musiałaby poszukiwać tych danych w innych źródłach, co już mogłoby stanowić dla Spółki <<niewspółmiernie duży wysiłek>>”.
Z argumentacją organu nadzorczego nie zgodziła się jednak spółka, która przedstawiła kalkulację kosztów związanych z ewentualną wysyłką informacji zgodnie z art. 14 RODO osobom fizycznym, których dane dotyczą. Jeżeli listy byłyby wysyłane przesyłką poleconą ekonomiczną, kosztowałoby to 33 749 175 zł.
Prezes UODO nie przystała na takie tłumaczenie. Podkreśliła, że względem 181 142 osób spółka dysponowała numerem telefonu, więc swój obowiązek mogła spełnić za pomocą tego środka komunikacyjnego. Co do pozostałych osób organ nadzorczy podkreślił, że RODO nie nakłada obowiązku dopełnienia tej czynność przy wykorzystaniu przesyłki poleconej. Wystarczyłoby jedynie dysponowanie odpowiednimi dowodami, że obowiązek informacyjny został spełniony. W decyzji podkreślono, że „Istotą spełnienia obowiązku jest takie działanie administratora w sposób czynny, aktywny wobec osoby, której dane dotyczą, poprzez podanie tej osobie określonych przepisami rozporządzenia 2016/679 informacji”.
Ustalono, że spółka dopełniła obowiązku informacyjnego względem 90 tys. osób, natomiast nie spełniła go wobec aż 6 mln osób. Warto zaznaczyć, że dotyczyło to zarówno osób czynnie prowadzących działalność gospodarczą, jak i tych, którzy ją zawiesili, bądź zakończyli. W związku z tym zostały one pozbawione wiedzy, że administrator wykorzystuje ich dane (w dodatku w celach zarobkowych) oraz możliwości skorzystania z pozostałych uprawnień przewidzianych na mocy przepisów RODO.
Prezes UODO nie tylko nałożyła na Bisnode niebagatelną karę w wysokości prawie 1 mln zł, ale nakazała również spółce dopełnienie obowiązku informacyjnego względem pozostałych osób w terminie 3 miesięcy od dnia doręczenia decyzji. W przypadku organizacji takiej jak Bisnode zapłata kary jest niczym wierzchołek góry lodowej względem drugiego zobowiązania, tj. nakazu poinformowania tak dużej ilości osób. Nie chodzi tu tylko o wspomniany koszt wysyłki, ale o zaplecze organizacyjne, które również będzie kumulować dodatkowe koszty.
Spółka od razu zaznaczyła, że nie zgadza się z decyzją Prezes UODO i zapowiedziała wniesienie odwołania do Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie.
Wyrok WSA w Warszawie
Bisnode rzeczywiście skierowała skargę na decyzję Prezesa UODO do WSA w Warszawie. Sąd w wyroku z 11 grudnia 2019 roku częściowo uchylił przedmiotową decyzję z uwagi na uchybienia proceduralne. Wyrok uchylił przede wszystkim punkt decyzji odnoszący się do nałożenia na spółkę kary pieniężnej. Ponadto w wyroku orzeczono, że obowiązek dopełnienia obowiązku informacyjnego nie musi zostać spełniony wobec osób, które zaprzestały prowadzenia działalności gospodarczej.
W ocenie sądu organ nadzorczy nie ustalił, czy spółka faktycznie miała możliwość dopełnienia obowiązku informacyjnego w odniesieniu do tych osób z uwagi na możliwość posiadania nieaktualnych danych teleadresowych. Nie ustalono też liczby takich osób, co mogło wpływać na wymiar nałożonej kary. Sąd zwrócił uwagę na jeden z elementów mających wpływ na wysokość kary, tj. jej odstraszający charakter. W opinii WSA „nie stanowi o zindywidualizowaniu kary i jej wysokości w tej sprawie powołanie się przez organ na konieczność odstraszenia (poza samą Spółką przed ponownym naruszeniem) także innych administratorów”. Skuteczność, proporcjonalność i odstraszający charakter kary powinny odnosić się do konkretnego podmiotu naruszającego RODO, w związku z czym nie powinny mieć charakteru odnoszącego się do ogółu.
Przedstawiciele doktryny liczyli, że WSA zwróci się do Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z pytaniem prejudycjalnym dotyczącym wykładni „niewspółmiernie dużego wysiłku” (art. 14 ust. 5 lit. b RODO). W ocenie WSA nie było jednak podstaw do wystąpienia z takim pytaniem. Sąd stwierdził, że spełnienie obowiązku informacyjnego przez spółkę w przedmiotowej sprawie „nie jest czynnością niemożliwą oraz nie wymaga niewspółmiernie dużego wysiłku, w sytuacji posiadania przez Spółkę danych adresowych, a nadto także dodatkowo w odniesieniu do części tych osób – numerów telefonów”. Innymi słowy interes finansowy ADO nie może przewyższać prawa podmiotu danych do informacji na temat ich przetwarzania. W związku z tym spółka musi dopełnić obowiązek informacyjny względem osób, które prowadzą lub zawiesiły działalność gospodarczą.
Wyrok WSA w części uchylił decyzję Prezesa UODO, ale wciąż nie był satysfakcjonujący dla Bisnode. W związku z tym spółka wniosła skargę kasacyjną do Naczelnego Sądu Administracyjnego (NSA).
Wyrok NSA
Po czterech latach od wydania decyzji dotyczącej nałożenia kary na Bisnode w końcu wydane zostało w tej sprawie orzeczenie Naczelnego Sądu Administracyjnego (NSA). Sąd w wyroku z dnia 19 września 2023 r. (sygn. akt III OSK 2538/21) oddalił skargę spółki i podtrzymał w mocy decyzję Prezesa UODO.
Niestety wyrok z uzasadnieniem nie został opublikowany, dlatego informacje na temat orzeczenia są szczątkowe. Prawdopodobnie (według informacji podanych przez UODO) Bisnode podniosła w skardze, że dopełnienie obowiązku informacyjnego listownie lub telefonicznie stanowi „niewspółmiernie duży wysiłek”. W ocenie NSA podstawową zasadą jest transparentność przetwarzania, której w przedmiotowej sprawie zabrakło. Natomiast możliwość skorzystania z instytucji „niewspółmiernie dużego wysiłku” jest wyjątkiem, który należy interpretować zawężająco. Sens jego wykorzystania uzasadniałoby przetwarzanie danych do celów statystycznych, historycznych czy też na potrzeby badań naukowych. Bisnode na pobieraniu i wykorzystywaniu danych zarabia, jeżeli chce więc odnosić z tego tytułu korzyści majątkowe, musi to robić zgodnie z prawem.
Zgodnie z informacjami podanymi przez obecnego Prezesa UODO jest on teraz zobowiązany do ponownego rozpatrzenia sprawy w zakresie, w jakim została uchylona. Należy więc czekać na ponowną decyzję organu nadzorczego wobec przetwarzania danych osób prowadzących działalność gospodarczą w przeszłości oraz w zakresie wysokości pieniężnej kary administracyjnej.
Podsumowanie
Wyrok NSA w sprawie Bisnode bez wątpienia jest precedensowy. Po pierwsze, jest wyraźnym znakiem ostrzegawczym dla administratorów, którzy kwestionują pozycję Prezesa UODO i bagatelizują przepisy dotyczące ochrony danych osobowych. Po serii orzeczeń WSA w Warszawie uchylających decyzje Prezesa UODO wyrok ten stanowi wyraz słuszności jego działań i podnosi znaczenie organu nadzorczego wśród podmiotów przetwarzających dane osobowe.
Po drugie, wyrok NSA podkreśla również, jak ważne jest spełnienie obowiązku informacyjnego przez administratorów. Jest to istotne zwłaszcza w przypadku pośredniego pozyskiwania danych osobowych (czyli w sposób inny niż od osoby, której dane dotyczą). Jeśli nie są one przekazywane bezpośrednio przez podmioty danych, to zapewne nie będą oni mieli żadnej wiedzy na temat takiego przetwarzania. Prawidłowo wykonany obowiązek informacyjny jest podstawą realizacji innych praw gwarantowanych przez przepisy RODO. Stanowi też wyraz zasady przejrzystości. Więcej informacji na temat obowiązku informacyjnego można znaleźć w jednym z naszych artykułów.