Wyświetleń: 458

Napisane przez:

Pierwsza decyzja PUODO ws. naruszenia przepisów RODO

Pierwsza decyzja Prezes Urzędu Ochrony Danych Osobowych w sprawie naruszenia przepisów RODO została właśnie wydana. Treść decyzji jest już dostępna na stronie UODO. Zachęcam do jej lektury. 

W związku z dostępnością decyzji pozwolę sobie pominąć opis stanu faktycznego oraz przytaczanie fragmentów rozstrzygnięcia i skupię się na wskazaniu tego co wzbudziło moje największe zdziwienie.

Otóż, pierwszej decyzji dotyczącej naruszenia przepisów RODO spodziewałam się w stosunku do podmiotu, który przetwarza dane konsumentów. Tymczasem, niniejsza decyzja dotyczy spółki, która przetwarza dane przedsiębiorców. Co więcej, dane te pozyskuje ze źródeł powszechnie dostępnych takich jak KRS czy CEIDG. Za co już w tym miejscu należy się ukłon w stronę spółki, gdyż oficjalna strona KRS tak często nie „łączy się z bazą” albo wymaga podania prawidłowego kodu, który się nie wyświetla, a w CEIDG tak często nie działa kod, że pozyskanie danych z tych źródeł wymaga nie lada cierpliwości i determinacji.  

Oczywiście w decyzji nie ma słowa na temat tego czy waga danych przedsiębiorców, biorąc pod uwagę, że są one publicznie dostępne, jest taka sama jak danych konsumentów. Na pierwsze wyczucie wydawałoby się, że nie, ale wobec braku analizy tej kwestii w uzasadnieniu decyzji należałoby przyjąć, że Prezes UODO nie uznała tej okoliczności za łagodzącą przy ustalaniu wysokości kary. 

Ponadto, z treści uzasadnienia można wnioskować, że zdaniem Prezes UODO obowiązek informacyjny winien być wykonany w stosunku do każdej osoby indywidualnie. Tymczasem, w art. 14 rozporządzenia nie znajdujemy takiego wymogu. Ciekawe jest również stanowisko Prezes w sprawie sposobu wysyłki tych indywidualnych informacji. Otóż, nie musi się to odbywać przesyłką poleconą. Jak bowiem czytamy w decyzji „W ocenie Prezesa UODO, z przepisu tego nie wynika, żeby prawodawca nałożył na administratora obowiązek wysyłania takiej informacji np. przesyłką poleconą, byleby tylko administrator mógł stosownymi dowodami wykazać, że ów obowiązek informacyjny został przez niego spełniony wobec podmiotów, których dane osobowe przetwarza.Istotą spełnienia obowiązku jest takie działanie administratora w sposób czynny, aktywny wobec osoby, której dane dotyczą, poprzez podanie tej osobie określonych przepisami rozporządzenia 2016/679 informacji.”

W mojej ocenie nie ma nic bardziej irytującego niż wskazanie, że coś może być wykonane inaczej, ale trzeba mieć na to dowód i brak wskazania jaki np. dowód zdaniem Pani Prezes, byłyby tym stosownym dowodem. Przyznam, że w przypadku przesyłek zwykłych tj. niepoleconych, ciężko mi wymyślić jaki miałby to być dowód. Zastanawiam się czy nie lepszym wyjściem dla spółki byłoby zamieszczenie reklamy w telewizji albo prasie, w której poinformowaliby, że są spółką zajmująca się tym i tym i w związku ze swoją działalnością pozyskują dane przedsiębiorców ze źródeł powszechnie dostępnych, a co za tym idzie zakomunikować, że „jeśli jesteś przedsiębiorcą to zapewne mamy twoje dane i ze szczegółami dotyczący zasad ich przetwarzania możesz zapoznać się na naszej stronie dostępnej pod adresem …”. W ten sposób spółka upiekłaby dwie pieczenie przy jednym ogniu – zareklamowałaby się i wykonała obowiązek informacyjny. 

To czego brakuje mi w decyzji to analizy tego, że aby spółka nie jest jeszcze w terminie do wykonania obowiązku informacyjnego. Bo przecież zgodnie z art. 14 ust. 3 lit c) RODO, jeżeli administratora planuje ujawnić dane osobowe innemu odbiorcy to informacje, o których mowa w art. 14 ust. 1 i 2 RODO, podaje najpóźniej przy ich pierwszym ujawnieniu. Z opisu przedmiotu działalności spółki wynika, że celem przetwarzania danych było przekazywanie/ujawnianie ich innym odbiorcom, a w takim wypadku obowiązek należy wykonać najpóźniej przy ich ujawnieniu, a zatem spółka może być jeszcze w terminie. 

Reasumując, mam wrażenie, że nie do końca taki był cel RODO. Chodziło przecież głównie o zapewnienie lepszej ochrony danych konsumentów. Wydanie pierwszej decyzji w stosunku do spółki, która przetwarza jedynie dane przedsiębiorców wydaje mi się pójściem na łatwiznę. Na tę chwilę – z uwagi na brak znajomości całego materiału sprawy – nie twierdzę, że działalnie spółki było prawidłowe, natomiast uzasadnienie decyzji nie spełnia mojego wyobrażenia o rzetelności i kompletności analizy merytorycznej sprawy. 

W całej tej sytuacji i szumie medialnym oraz licznych stanowiskach ekspertów w dziedzinie ochrony danych osobowych plusem jest to, że pełnomocnik spółki może poszukiwać argumentów na korzyść spółki w Internecie i znajdzie tam wiele cennych wskazówek.

Z niecierpliwością będę wyczekiwać dalszych orzeczeń w tej sprawie.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *