We wtorek 26 marca Prezes Urzędu Ochrony Danych Osobowych podał do publicznej wiadomości informację o nałożeniu pierwszej kary na gruncie RODO: kara w wysokości 943 470 zł została nałożona na firmę Bisnode Polska sp. z o.o., która nie spełniła obowiązku informacyjnego wobec osób prowadzących działalność gospodarczą. Tego samego dnia na oficjalnej stronie UODO zamieszczona została treść decyzji, na podstawie której nałożono wspomnianą karę. Poniżej przedstawiamy streszczenie przedmiotowej decyzji wraz z uwzględnieniem najważniejszych fragmentów.
Stan faktyczny
We wrześniu 2018 r. upoważnieni pracownicy Urzędu Ochrony Danych Osobowych przeprowadzili kontrolę w Bisnode Polska sp. z o. o., w celu zbadania zgodności przetwarzania przez Spółkę danych osobowych z przepisami o ochronie danych osobowych, tj. ogólnego rozporządzenia o ochronie danych (RODO) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Kontrolą objęto przetwarzanie przez Spółkę danych osobowych pozyskiwanych ze źródeł publicznie dostępnych, w tym z rejestrów publicznych (m.in. Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, Centralnej Ewidencji i Informacji o Działalności Gospodarczej, Bazy REGON Głównego Urzędu Statystycznego).
Prezes UODO, na podstawie zebranego materiału dowodowego, ustalił, że ramach swojej działalności firma Bisnode oferuje w szczególności raporty handlowe, a przedmiotem przeważającej działalności Spółki są działalność usługowa w zakresie informacji, a także m. in. wydawanie wykazów oraz list (np. adresowych, telefonicznych), przetwarzanie danych, zarządzanie stronami internetowymi (hosting) oraz doradztwo w zakresie prowadzenia działalności gospodarczej i zarządzania. Spółka przetwarzała w systemie informatycznym dane osobowe osób fizycznych prowadzących działalność gospodarczą, które zostały pozyskane ze źródeł ogólnie dostępnych, w tym z rejestrów publicznych, m.in.
z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, z Bazy REGON Głównego Urzędu Statystycznego, z Monitora Sądowego i Gospodarczego. W bazie danych systemu przechowywano dane dotyczące ok. 3,59 mln osób fizycznych prowadzących aktualnie jednoosobową działalność gospodarczą oraz osób fizycznych, które zawiesiły tę działalność oraz 2,33 mln osób fizycznych prowadzących działalność gospodarczą w przeszłości.
W dniu 27 kwietnia 2018 r., tj. przed dniem rozpoczęcia obowiązywania RODO, Bisnode Polska wysłała klauzulę informacyjną o przetwarzaniu danych osobowych na wszystkie adresy poczty elektronicznej posiadane w bazie danych systemu informatycznego, które były przypisane do przedsiębiorców prowadzących jednoosobową działalność gospodarczą. W trakcie ww. kampanii informacyjnej Spółka wysłała 902 837 wiadomości elektronicznych. Bisnode opublikowała również na swojej stronie pełną klauzulę informacyjną, odpowiadającą wymogom art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679.
Firma podjęła decyzję, aby nie realizować obowiązku informacyjnego, poprzez wysłanie krótkich wiadomości tekstowych (SMS) wobec osób, których dane pozyskała ze źródeł publicznie dostępnych takich jak Centralna Ewidencja i Informacja o Działalności Gospodarczej, ponieważ nie posiada numerów telefonów w odniesieniu do każdej z tych osób, a także ze względu na wysokie koszty takiej akcji. Ze względu na wysokie koszty Spółka nie zdecydowała się również na spełnienie tego obowiązku poprzez wysłanie listu poleconego zawierającego klauzulę informacyjną do osób, których dane przetwarza.
Decyzja PUODO
Po przeanalizowaniu zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych wskazał, że obowiązek, o którym mowa w art. 14 rozporządzenia 2016/679, został przez Bisnode Polska dopełniony wyłącznie w odniesieniu do 682 439 osób fizycznych prowadzących działalność gospodarczą, których dane osobowe Spółka przetwarza w systemie informatycznym.
Przedmiotowy obowiązek nie został przez Spółkę spełniony w stosunku do pozostałych osób fizycznych prowadzących działalność gospodarczą, które nie posiadały adresu e-mail w swojej bazie danych, przy czym zarówno chodzi o przedsiębiorców, którzy prowadzą aktualnie działalność gospodarczą, jak i
o tych, którzy zaprzestali prowadzenia działalności gospodarczej.
Prezes Urzędu Ochrony Danych Osobowych stwierdził, że samo umieszczenie informacji, wymaganych w art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679, na stronie internetowej Spółki, w sytuacji posiadania przez Bisnode Polska danych adresowych osób fizycznych prowadzących jednoosobową działalność gospodarczą, umożliwiających przesłanie pocztą tradycyjną korespondencji zawierającej wymagane tym przepisem informacje (lub przekazanie ich drogą kontaktu telefonicznego), nie może być uznane za wystarczające spełnienie przez Spółkę obowiązku, o którym mowa w art. 14 ust. 1-3 RODO. W ocenie Prezesa UODO wysłanie informacji, o których mowa w art. 14 RODO pocztą tradycyjną, na adres osoby fizycznej prowadzącej działalność gospodarczą, lub w drodze kontaktu telefonicznego, nie jest czynnością „niemożliwą” oraz nie wymaga „niewspółmiernie dużego wysiłku”, w sytuacji posiadania przez Spółkę w bazie systemu informatycznego danych adresowych, w odniesieniu do osób fizycznych prowadzących jednoosobową działalność gospodarczą, a także dodatkowo – numerów telefonów – w odniesieniu do części tych osób.
Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. d rozporządzenia 2016/679, nakazał Spółce – w terminie do trzech miesięcy od daty otrzymania przedmiotowej decyzji – dopełnienie obowiązku podania informacji,
o których mowa w art. 14 ust. 1 i 2 RODO, tym osobom fizycznym prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą , których dane osobowe przetwarza, a którym informacje te nie zostały podane. Należy podkreślić, że w myśl przepisów RODO, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia, zależnie od okoliczności konkretnej sprawy. Prezes UODO stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki warunkujące nałożenie na Spółkę administracyjnej kary pieniężnej.
Decydując czy nałożyć administracyjną karę pieniężną, a także ustalając jej wysokość, za najistotniejszy Prezes UODO uznał umyślny charakter naruszenia, czyli świadome podjęcie decyzji o nierealizowaniu obowiązku informacyjnego. Niezwykle istotne jest także to, że decyzja ta miała i ma wpływ na bardzo dużą liczbę osób, wobec których obowiązek informacyjny nie został spełniony. Także czas trwania naruszenia ocenić należy negatywnie mając na uwadze termin wejścia w życie rozporządzenia 2016/679 i termin rozpoczęcia jego stosowania. Znaczenie w tej sprawie ma także to, że naruszenie dotyczy – zgodnie z art. 83 ust. 5 lit b rozporządzenia 2016/679 – jednego z podstawowych praw osób, do którego zastosowanie ma wyższa kwota administracyjnej kary pieniężnej.
Prezes Urzędu Ochrony Danych Osobowych wskazał, że zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Bisnode Polska dostosuje swoje procesy przetwarzania danych do stanu zgodnego z prawem. Wysokość kary powinna być na tyle duża, żeby Spółka, jako ukarany podmiot nie wkalkulowała jej w koszty swojej działalności. Ponadto skuteczność tego rodzaju środka powinna wiązać się dla administratora, jakim jest Spółka, z dolegliwością finansową, niewątpliwą w przypadku podmiotu prowadzącego działalność czysto komercyjną, motywującego swoje działania (w tym również te związane ze stwierdzonym naruszeniem) chęcią powiększenia swoich zysków czy też uniknięcia dodatkowych, niepotrzebnych w jego ocenie, kosztów czy nakładów finansowych. Zastosowanie administracyjnej kary pieniężnej w niniejszym przypadku jest niezbędne zważywszy także na to, że Spółka będąc świadomą istnienia naruszenia, nie podjęła ani nawet nie zadeklarowała podjęcia, żadnych działań mających na celu jego usunięcie.
Źródło: https://uodo.gov.pl/decyzje/ZSPR.421.3.2018,
