Milionowa kara za RODO – uzasadniona!

Milionowa kara za RODO – uzasadniona!

kara rodo

Jaka firma została ukarana?

Przedsiębiorstwo Bisnode Polska – jest oddziałem szwedzkiego przedsiębiorstwa, które zajmuje się gromadzeniem, opracowaniem i dostarczaniem w postaci cyfrowej informacji gospodarczej. Zostało założone w 1989 roku. Bisnode ma filię w 18 krajach Europy.

Za co firma została ukarana?

Firma Bisnode przetwarzała dane przedsiębiorców, które pozyskała np. z CEiDG, czyli Centralnej Ewidencji i Informacji Działalności Gospodarczej. Kwestią, na której skupił się Urząd Ochrony Danych Osobowych, było brak informowania o przetwarzaniu danych, które zgodnie z artykułem 14 RODO, które brzmi:

Artykuł 14 RODO

Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą

1. Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
d) kategorie odnośnych danych osobowych;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

2. Poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
c) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
e) informacje o prawie wniesienia skargi do organu nadzorczego;
f) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
g) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

3. Informacje, o których mowa w ust. 1 i 2, administrator podaje:
a) w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
b) jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
c) jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

4. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

5. Ust. 1- 4 nie mają zastosowania, gdy – i w zakresie, w jakim:
a) osoba, której dane dotyczą, dysponuje już tymi informacjami;
b) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
c) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub
d) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Historia ukarania krok po kroku

15 marca 2019 roku ówczesna Prezes Urzędu Ochrony Danych Osobowych dr Edyta Bielak-Jomaa nałożyła na spółkę Bisnode karę w wysokości 943 tys. Złotych. Przypominamy, iż było to rok po tym jak wprowadzono rozporządzanie ROROD.

11 grudnia 2019 zapadł pierwszy nieprawomocny wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie, w którym sąd ustalił, że obowiązek informacyjny należy spełnić wobec osób, które aktualnie prowadzą bądź zawiesiły działalność gospodarczą. Samo figurowanie przedsiębiorstwa w bazie CEiDG nie zwalniało spółki Bisnode z obowiązku informacji. Sąd uznał także, że obowiązek nie musi być spełniony wobec osób, które nie prowadzą już działalności. Sąd uchylił karę finansową, uznał, że jest ona nieproporcjonalna wobec osób, które zakończyły działalność.

Skarga Kasacyjna – firma Bisnode wniosła skargę kasacyjną od wyroku WSA, zaznaczając, że: “nie musiała spełniać obowiązku informacyjnego z wykorzystaniem tradycyjnej korespondencji lub telefonów z uwagi na wyłączenie z tego obowiązku ze względu na niewspółmiernie duży wysiłek”

Naczelny Sąd Administracyjny w 2023 roku – potwierdził wyrok WSA, z którym spółka powinna spełnić obowiązek informacyjny wobec osób prowadzących działalność gospodarczą, których dane pozyskała. Oddalił skargę kasacyjną.

Na który artykuł RODO powoływała się spółka?

Zgodnie z rozporządzeniem RODO, każdy z nas ma prawo do informacji w jaki sposób są przetwarzane jego dane osobowe. Załóżmy, że jesteśmy przedsiębiorcami, którzy zarejestrowali się w CEiDG, jednak przy rejestracji nie podaliśmy numeru telefonu czy adresu e-mail. Spółka Bisnode – pobrała nasze dane z portalu CEiDG i je przetwarzała, przechowywała. A nas o tym nie poinformowała, dlaczego? Powołała się na Artkuł 14 – informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą. Dokładnie paragraf 5. ust. 1– 4 nie mają zastosowania, gdy – i w zakresie, w jakim: a) osoba, której dane dotyczą, dysponuje już tymi informacjami; b) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku(…). Można więc śmiało powiedzieć, że firma nas nie poinformowała o tym, że przetwarza nasze dane, bo wymagałoby to za dużego wysiłku i za dużych kosztów.

Jak dalej potoczy się historia?

Sąd najwyższej instancji potwierdził, że nie można łatwo unikać obowiązku informacyjnego RODO powołując się na “nadmierny wysiłek”. Wyrok sądu z 2019 roku był zasadny.  Sprawa trafiła ponownie do rozpatrzenia przez Prezesa UODO, być może zmieni się wysokość kary.

O kolejnych etapach sprawy będziemy informowali na bieżąco!

Źródła:

Wyrok WSA w Warszawie z 11 grudnia 2019 r., sygn.  II SA/WA 1030/19. Sygnatura akt: III OSK 2538/21

Po więcej najświeższych informacji z zakresu ochrony danych osobowych  zapraszamy do zakładki aktualności

~Karolina Nowakowska

Centrum Audytu Bezpieczeństwa Sp. z o.o. to firma doradczo-szkoleniowa zajmująca się szeroko rozumianym wsparciem sektora publicznego i prywatnego w zakresie bezpieczeństwa. Działamy na terenie całej Polski od 2019 roku świadcząc usługi związane z ochroną sygnalistów (whistleblowing), bezpieczeństwem i higieną pracy, ochroną danych osobowych (RODO) oraz kompleksowymi audytami, obejmującymi obszary bezpieczeństwa oraz normy ISO.

Dane kontaktowe

Obserwuj nas