• Pierwsza kara na podstawie RODO w Polsce. Za co spółka Bisnode musi zapłacić milion złotych?
Artykuł:

Pierwsza kara na podstawie RODO w Polsce. Za co spółka Bisnode musi zapłacić milion złotych?

09 kwietnia 2019

Decyzją z dnia 15 marca 2019 roku Prezes Urzędu Ochrony Danych Osobowych wymierzyła pierwszą karę na podstawie Rozporządzenia Parlamentu Europejskiego i Rady 2016/679, popularnie zwanego RODO. Kara została wymierzona w kwocie równej 220.000 euro czyli niecałego miliona złotych. Ukarana spółka – Bisnode sp. z o.o. zajmuje się tworzeniem baz danych na podstawie informacji z publicznie dostępnych rejestrów, KRS, CEiDG i REGON. W jej systemach informatycznych znajdują się dane ponad 7,5 miliona osób fizycznych, które prowadzą lub w przeszłości prowadziły działalność gospodarczą, a także osób będących wspólnikami lub członkami organów spółek, fundacji i stowarzyszeń. Na krótko przed wejściem w życie rozporządzenia spółka wysłała wiadomość z informacjami określonymi w art. 14 RODO (dotyczącymi m.in. tożsamości administratora danych, podstawy prawnej i celów przetwarzania danych, pouczenia o prawie sprzeciwu i skargi do Prezesa UODO) do kilkuset tysięcy osób, których adresami e‑mail dysponowała. Zamieściła również klauzulę informacyjną na swojej stronie internetowej. Co do pozostałych osób, których dane były przetwarzane, spółka uznała, że poinformowanie każdej z nich poprzez wysłanie SMS-a lub tradycyjnego listu wiązałoby się z niewspółmiernie dużym wysiłkiem w rozumieniu art. 14 ust. 5 RODO. Spółka oszacowała, że koszt przekazania klauzuli informacyjnej RODO każdemu z podmiotów, którego dane są przetwarzane wyniósłby niemal 34 miliony złotych.

Prezes UODO nie dała się przekonać argumentom spółki. Co więcej, uznała, że skoro niezrealizowanie obowiązku informacyjnego jest wynikiem świadomej decyzji podyktowanej chęcią zaoszczędzenia środków pieniężnych, to sankcja powinna być surowsza. Spółka działała umyślnie, z pełną świadomością możliwych skutków własnego zaniechania. Prezes nie dała też wiary wyjaśnieniom, że wysiłek, jaki musiałaby podjąć spółka, której główna działalność sprowadza się do gromadzenia i przetwarzania danych przedsiębiorców jest niewspółmierny do zysków, jakie spółka odnosi, przetwarzając te dane. Nie przekonał jej też argument, że ryzyko poniesienia szkody przez osobę, której dane są przetwarzane jest niskie, m.in. ze względu na stosowany przez spółkę nowoczesny system zabezpieczeń. Podkreśliła, że już sam fakt, że osoby, których dane są przetwarzane nie mają o tym pojęcia jest okolicznością obciążającą, bo nie mogą one skorzystać ze swoich praw. Zwróciła też uwagę na fakt, że spółka nie wprowadziła w ramach swoich struktur żadnych kodeksów postępowania w celu pełnego wdrożenia RODO ani nie starała się o certyfikację zgodności stosowanych przez nią środków z rozporządzeniem.

Bisnode nie zgadza się z decyzją i prawdopodobnie zaskarży ją do Wojewódzkiego Sądu Administracyjnego. Krytyczne oceny decyzji uzasadniać może fakt, że wiele polskich firm w ogóle nie podjęło działań mających na celu dostosowanie się do wymagań określonych w RODO. Tymczasem komentowana decyzja dotyczy ukarania spółki, która podjęła jednak pewne przemyślane czynności w jej ocenie współmierne do zysków i niebezpieczeństw związanych z przetwarzaniem danych przez spółkę.

Jakie obowiązki wprowadza RODO i co grozi za zaniedbania w ochronie danych osobowych?

RODO nakłada na podmioty zajmujące się przetwarzaniem danych osobowych osób fizycznych szereg obowiązków informacyjnych dotyczących: m. in. podania tożsamości administratora danych osobowych, celów, dla których dane są przetwarzane, podstawy prawnej przetwarzania, czy podmiotów, którym te dane są przekazywane. Ustanawia ponadto obowiązek formułowania zapytań o ewentualną zgodę na przetwarzanie danych osobowych w sposób jasny i zrozumiały, a przy tym możliwy do oddzielenia od pozostałych informacji przekazywanych osobie fizycznej, np. w ramach zawieranej umowy. RODO zobowiązuje również podmioty przetwarzające dane do wprowadzenia odpowiednich środków mających na celu zabezpieczenie danych przed wyciekiem i nieuprawnionym użyciem oraz bieżącego monitorowania ryzyk związanych z przetwarzaniem.

Stosownie do art. 82 i 83 RODO, naruszenie obowiązków związanych z ochroną danych osobowych może skutkować odpowiedzialnością cywilnoprawną i administracyjnoprawną. Zgodnie z art. 82 RODO każda osoba, która poniosła szkodę wskutek naruszenia przepisów rozporządzenia, może dochodzić odszkodowania za szkodę, zarówno majątkową i niemajątkową. W przypadku wycieku danych osobowych szkoda niemajątkowa mogłaby polegać na naruszeniu prywatności osoby fizycznej lub ograniczeniu jej możliwości komunikowania się wskutek zapełnienia skrzynki mailowej niechcianymi  wiadomościami.

Zgodnie z art. 83 RODO, za naruszenie przepisów rozporządzenia organ właściwy do ochrony danych osobowych może nałożyć na podmiot zajmujący się przetwarzaniem danych osobowych karę pieniężną w wysokości nawet do 20.000.000 euro lub - w przypadku przedsiębiorstw - do wysokości 4 % rocznego obrotu światowego tego przedsiębiorstwa. Na wysokość kary ma wpływ w szczególności rodzaj naruszenia, waga i czas trwania naruszenia, umyślne działanie podmiotu, który się naruszenia dopuścił, czy wreszcie środki podjęte przez ten podmiot w celu wyeliminowania naruszeń.

Ponieważ art. 84 RODO daje państwom członkowskim UE możliwość wprowadzenia dodatkowych sankcji za naruszenie przepisów rozporządzenia, polski ustawodawca obok odpowiedzialności cywilnej i administracyjnej wprowadził w art. 107 i 108 ustawy o ochronie danych osobowych również sankcję karną. Osobie nielegalnie przetwarzającej dane osobowe lub udaremniającej przeprowadzenie kontroli przestrzegania przepisów o ochronie danych właściwemu organowi grozi nawet do dwóch lat pozbawienia wolności. Osoba, która nielegalnie przetwarza tzw. dane wrażliwe (np. dotyczące stanu zdrowia, przekonań religijnych, orientacji seksualnej) może być skazana nawet na trzy lata.

Z RODO nie ma żartów

Przed sankcjami nałożonymi na podstawie rozporządzenia nie uchronił się nawet amerykański gigant informatyczny Google. W styczniu 2019 roku francuski organ ochrony danych osobowych CNIL uznał, że Google naruszył przepisy o ochronie danych osobowych i nałożył na firmę 57 milionów euro kary. Zdaniem CNIL, stosowany przez Google system pozyskiwania zgody na przetwarzanie danych osobowych nie jest wystarczająco jasny i przejrzysty. Zgodnie z art. 7 RODO zapytanie o zgodę musi być sformułowane jasnym, prostym zrozumiałym językiem, powinno być przedstawione w sposób pozwalający łatwo odróżnić je od pozostałych kwestii. Google nie spełniło tego wymogu. Sposób przedstawienia informacji o celach i sposobach przetwarzania danych osobowych  również nie mógł być uznany za zgodny z przepisami. Również tutaj zabrakło jasnego i przejrzystego podania wymaganych prawem informacji użytkownikom wyszukiwarki. Rozstrzygnięcie zapadło na podstawie skargi dwóch pozarządowych organizacji zajmujących się ochroną prywatności: None of Your Business i La Quadrature du Net.

Podobnie jak polski organ, francuski CNIL uznał, że wysoka kara zadziała odstraszająco na podmioty masowo przetwarzające dane osobowe bez zachowania zasad określonych w rozporządzeniu a jednocześnie sprawi, że decyzja spotka się z większym rozgłosem.

Jak się uchronić przed karą?

Aby nie narazić się na żadną z opisanych wyżej sankcji należy wprowadzić w swoim przedsiębiorstwie odpowiednie procedury dotyczące przetwarzania danych osobowych. Art. 40 RODO zachęca podmioty prywatne do tworzenia kodeksów postępowań określających procedury postępowania w celu zapewnienia lepszej ochrony danych osobowych podczas przetwarzania przez podmioty prowadzące działalność w danej dziedzinie (np. świadczenie usług medycznych, reklama). Ponieważ kodeksy te podlegają zatwierdzeniu przez Komisję Europejską, podmiot stosujący się do nich ma gwarancję, że postępuje w sposób zgodny z prawem. Podobną funkcję pełni certyfikacja środków służących ochronie danych. Podmiotem właściwym do udzielania certyfikatów jest Prezes UODO.

Z uwagi na fakt że RODO weszło w życie stosunkowo niedawno, a procedury przed krajowymi i unijnymi organami administracji trwają długo, nie każdy obszar działalności przedsiębiorców został objęty stosownym kodeksem postępowania zatwierdzonym przez Komisję. Większość dostępnych na rynku środków służących ochronie danych nie posiada stosownego certyfikatu. Wartym rozważenia rozwiązaniem jest powierzenie opracowania i wdrożenia odpowiednich wewnętrznych zasad podmiotom profesjonalnym, które zagwarantują, że przetwarzanie danych osobowych w przedsiębiorstwie nie będzie się wiązało z ryzykiem wysokich kar.

 

Źródła:

https://www.uodo.gov.pl/decyzje/ZSPR.421.3.2018

https://www.bisnode.pl/strona-wyszukiwania/?q=Decyzja+Urz%C4%99du+Ochrony+Danych+Osobowych+w+sprawie+Bisnode

https://www.rp.pl/Firma/190329577-Pierwsza-kara-za-RODO--milion-zlotych.html

https://www.reuters.com/article/us-google-privacy-france/france-fines-google-57-million-for-european-privacy-rule-breach-idUSKCN1PF208