W 10 miesięcy od rozpoczęcia obowiązywania przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (ogólne rozporządzenie o ochronie danych – RODO) doczekaliśmy się ziszczenia czarnego scenariusza, jaki wiązał się z uchwaleniem tych przepisów. Polski organ nadzorczy –Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą karę. Do mediów mainstreamowych przebiła się głównie informacja o wysokości kary. Nie ma tu wielkiego zaskoczenia, albowiem kara na poziomie 1 miliona złotych musi budzić co najmniej zainteresowanie.
Wydaje się jednak, że ciekawszym jest rodzaj uchybienia, jakiego dopuścił przedsiębiorca. Polegało ono na zaniechaniu wykonania obowiązku informacyjnego wobec osób, których dane pozyskano w inny sposób niż od nich samych (z ogólnie dostępnych rejestrów publicznych – CEIDG). Kara została nałożona zatem za uchybienie o charakterze stricte prawnym. Można było przy tym się spodziewać, że PUODO nie będzie angażował się w techniczny dyskurs na temat zasadności zastosowania określonych środków bezpieczeństwa z obszaru IT.
Z punktu widzenia polityki informacyjnej prowadzonej przez PUODO można mieć do decyzji nakładającej karę sporo wątpliwości. Jako pierwszy został ukarany podmiot nie należący do grupy przetwarzającej tzw. Big Data, jak miało to miejsce w przypadku francuskiego organu nadzorczego, który pierwszą karę (50 mln euro!) nałożył na Google.
Po drugie PUODO praktycznie nie odniósł się do kwestii będącej podstawą całej linii obrony przedsiębiorcy. Tłumaczył on, że obowiązek informacyjny nie był spełniony w oparciu o normę wynikającą z art. 14 ust. 5 lit. b) RODO. Pozwala ona na nieinformowanie osób, których dane dotyczą, jeżeli wymagałoby niewspółmiernie dużego wysiłku. PUODO ograniczył się do lakonicznego stwierdzenia, że opisywanej sprawie przesłanka ta nie ma zastosowania. Brak wyjaśnienia kwestii w uzasadnieniu decyzji, co oznacza, a co nie oznacza pojęcie „ nadmiernego wysiłku” może być podstawą uzasadnionych zarzutów wobec PUODO, że nie stosuje prawa w sposób pozwalający na jednoznaczne zidentyfikowanie obowiązków, jakie obciążają innych przedsiębiorców.
Po trzecie PUODO nie analizował, w jaki sposób różnicować sytuację przedsiębiorców, których dane identyfikacyjne i kontaktowe są praktycznie powszechnie jawne, a w jaki sposób odnosić się do danych konsumentów, gdzie prawo do prywatności jest jednym z fundamentów funkcjonowania w społeczeństwie. Nie ulega wątpliwości, że sytuacja tych grup podmiotów jest diametralnie różna.
Wnioski, jakie płyną na przyszłość w związku z niniejszą sprawą to przede wszystkim konieczność uświadomienia sobie, że cały sprawny system ochrony danych osobowych zaczyna się od poinformowania osób, których dane są przetwarzane o ich prawach. Nie sposób odmówić pewnej racji PUODO. Bez właściwego poinformowania osób nie ma możliwości, aby zapewnić im realizację ich praw.
W dalszej kolejności należy mieć świadomość, że w opisywanej sprawie jasno widać, że organ nadzorczy dążyć będzie do egzekwowania zasady ograniczonego celu przetwarzania. Oznacza ona, że dane mogą być przetwarzane wyłącznie w określonym z góry celu. Wciąż pokutuje zaś swoiste przekonanie o legalności przetwarzania danych, które już raz zostały gdzieś ujawnione. Konieczne wydaje się przy tym prowadzenie stałego nadzoru nad procesem przetwarzania danych osobowych w każdej firmie. Wydaje się przy tym, że zdecydowany akcent trzeba położyć na formalnoprawne sposoby zalegalizowania określonych procesów przetwarzania danych.
adwokat Robert Gruz
NK Legal Partners
W sytuacji gdy w Państwa działalności powstały wątpliwości na powyższym gruncie zapraszamy do kontaktu w celu omówienia możliwości wsparcia prawnego w zakresie ochrony danych osobowych lub przeprowadzenia przez ekspertów Kancelarii audytu prawnego umożliwiającego w szerokim spectrum weryfikację wszystkich aspektów formalnych przetwarzania danych osobowych w Spółce oraz wdrożenia rozwiązań zabezpieczających przed ryzykami prawnymi oraz finansowymi.
