Pierwsza kara pieniężna „za RODO” w Polsce

W dniu 26 marca 2019 r. Prezes Urzędu Ochrony Danych Osobowych (PUODO) w trakcie konferencji powiadomiła opinię publiczną o pierwszej karze z tytułu niedopełnienia przepisów Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Tym samym oficjalne zakończył się okres, który został dany polskim przedsiębiorcom na wdrożenie nowych przepisów z zakresu ochrony danych osobowych – swoisty okres ochronny, będący zapewne wynikiem chaosu informacyjnego i poczucia dezorientacji w momencie, kiedy przepisy RODO zaczęły być stosowane, tj. 25 maja 2018 r.

Po ogromnych karach nakładanych przez organy nadzorcze za naszą zachodnią granicą (m.in. 250 tysięcy euro kary nałożone przez  francuski odpowiednik Urzędu Ochrony Danych Osobowych na sklep internetowy Optical Center; 400 tys. euro kary nałożone na szpital w Portugalii; 120 tys. funtów w Wielkiej Brytanii na lotnisko Heathrow Airport – kłopoty lotniska rozpoczęły się od zagubienia przez pracownika pendrive’a; w Austrii przedsiębiorca musi zapłacić 4,8 tys. euro za źle ustawiony monitoring), dowiadujemy się o pierwszej karze pieniężnej „za RODO” w Polsce (w wysokości 943 tys. zł).

 Za co została nałożona kara?

W skrócie – za naruszenie o charakterze stricte prawnym, dotyczące obowiązków informacyjnych. Ukarana spółka pozyskiwała dane osobowe ze źródeł powszechnie dostępnych, takich jak rejestry publiczne. Zakresem danych były objęte m.in. dane kontaktowe (adres, numer telefonu). W stosunku do tych danych została podjęta przez spółkę decyzja o niewykonywaniu obowiązku informacyjnego z art. 14 RODO, z powołaniem się na art. 14 ust. 5 pkt b) RODO – obowiązek informacyjny jest wyłączony, jeżeli jego wykonanie jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. To właśnie ta decyzja o nierealizowaniu obowiązku informacyjnego legła u podstaw nałożonej kary.

Na co warto zwrócić uwagę w związku z pierwszą karą „za RODO” w Polsce w odniesieniu do swojego przedsiębiorstwa?

Bez wątpienia polskiemu organowi nadzorczemu łatwiej przychodzi stosowanie przepisów nakładających obowiązki prawne i ew. organizacyjne, niż techniczne. W swojej analizie, po pół roku od stosowania RODO, polski organ nadzorczy wskazuje : “Wciąż trzeba pracować nad doskonaleniem stosowanych rozwiązań i procedur. Warto przypomnieć, że zapewnianie zgodności z RODO to proces ciągły, a nie jednorazowe działanie. Urząd zaleca firmom, by wciąż pogłębiały wiedzę o przepisach ochrony danych oraz poprawiły ocenę ryzyka. Według urzędu chodzi m.in. o to, by w większym stopniu uwzględniać zagrożenia, jakie dla ochrony danych powoduje korzystanie z nowych technologii i internetu. Polscy przedsiębiorcy narzekają najczęściej na to, że RODO ogranicza możliwość działań marketingowych oraz sprzedażowych. Należy jednak w tym miejscu zaznaczyć, że zazwyczaj są to konsekwencje źle wdrożonego RODO lub błędnie interpretowanych przepisów RODO. Dlatego zaleca się przeprowadzanie audytów po zakończonym procesie wdrożenia.

Wybór drogi jaką obiorą Polscy przedsiębiorcy w celu dostosowania się do nowych przepisów z zakresu ochrony danych osobowych, zgodnie z szerokorozumianą zasadą podejścia opartego na ryzyku („risk based approach”), wybiorą oni sami. Polski organ nadzorczy podjął jednak konkretne działania ukierunkowane już nie tylko na uświadamianie przedsiębiorców, a na egzekwowanie przepisów RODO. Organ nadzorczy podkreśla olbrzymią ilość skarg na działania przedsiębiorców w związku z niewłaściwym stosowaniem przez nich przepisów RODO, a przypomnijmy, że kontrola urzędu często może być wynikiem niepozornej skargi, która np. decyzją biznesową, zostaje zbagatelizowana. Przywołajmy tutaj, wspomnianego wyżej, zagubionego pendrive’a w Wielkiej Brytanii.

W styczniu ogłoszony został plan kontroli sektorowych: UODO zweryfikuje przetwarzanie danych osobowych m.in. w takich obszarach, jak: telemarketing, profilowanie w sektorze bankowym i ubezpieczeniowym, ale także przetwarzanie w każdej prywatnej firmie danych osobowych pracowników  rejestrowanych za pomocą systemu monitoringu wizyjnego czy przetwarzanie danych w związku z rekrutacją. W zakresie przetwarzania danych osobowych pracowników wspomnieć należy, że uprawnionymi do kontroli są również urzędnicy Państwowej Inspekcji Pracy, zobowiązani do współpracy z PUODO.

W uzasadnieniu decyzji o nałożeniu tak wysokiej kary polski organ nadzorczy zaznaczył, iż ma ona mieć również charakter prewencyjny i że „zarówno Spółka, jak i inni administratorzy, będą skutecznie zniechęceni do naruszania w przyszłości prawa ochrony danych osobowych.” Niech zatem to „zniechęcenie” będzie zachętą do spojrzenia raz jeszcze na własne „podwórko” przetwarzania danych osobowych lub, co gorsze, do spojrzenia na nie po raz pierwszy.

Niniejsza informacja nie stanowi porady prawnej ani podatkowej. Kancelaria nie ponosi odpowiedzialności za wykorzystanie informacji w nim zawartych bez wcześniejszego zasięgnięcia opinii Kancelarii.