RODO: Trzy wnioski dotyczące realizacji obowiązku informacyjnego

Decyzja zapadła w wyniku przeprowadzonej przez Prezesa UODO kontroli a kara została nałożona w związku ze stwierdzeniem naruszenia RODO polegającym na niepodaniu informacji zawartych w art. 14 ust. 1 i 2 RODO wszystkim osobom fizycznym, których dane osobowe przetwarzał ukarany administrator. Pełna treść decyzji dostępna jest pod adresem: https://uodo.gov.pl/decyzje/ZSPR.421.3.2018.

Czas pokaże czy decyzja zostanie zaskarżona przez ukaranego i jak rozpatrzy ewentualną skargę sąd. Niemniej, póki co, poniżej prezentujemy trzy istotne, w naszej opinii, wnioski płynące z lektury tej decyzji w zakresie realizacji tzw. obowiązku informacyjnego.

1. Jeśli masz wątpliwości czy informować o przetwarzaniu – informuj

Pierwsza nałożona przez PUODO kara pieniężna dotyczyła nieprzedstawienia osobom, których dane dotyczą informacji o przetwarzaniu ich danych przez administratora, do czego zobowiązuje art. 14 RODO. Organ nie poprzestał na wezwaniu do usunięcia stwierdzonych nieprawidłowości w postaci przedstawienia odpowiednich informacji. Uznał za celowe również nałożenie kary finansowej. Pokazuje to wyraźnie wagę jaką polski organ nadzoru przykłada do realizacji obowiązku informacyjnego. Dodatkowo, w samej treści decyzji, organ kilkakrotnie podkreślał fundamentalne dla systemu ochrony danych osobowych znaczenie prawidłowego realizowania obowiązku informacyjnego przez administratorów danych. Brak przekazania odpowiedniej informacji podmiotom danych kreuje bowiem ryzyko, że de facto nie będą oni mieli możliwości skorzystać ze swoich praw wynikających z RODO.

Oprócz dużego znaczenia zapewnienia odpowiedniego prawa do informacji o przetwarzaniu, trzeba również zauważyć, że weryfikacja realizacji obowiązku informacyjnego jest stosunkowo nieskomplikowana z punktu widzenia kontrolera, co prowadzi do wniosku, że prawidłowość realizacji tego obowiązku będzie zapewne bardzo często weryfikowana przez inspektorów UODO.

W związku z powyższym, wydaje się kluczowe aby administratorzy danych szczególnie wnikliwie ponownie przeanalizowali: (i) czy powiadomili wszystkie osoby, których dane przetwarzają o przetwarzaniu zgodnie z RODO oraz (ii) w jaki sposób wykonali obowiązek informacyjny. Dotyczy to, w szczególności tych administratorów, którzy mogą być objęci kontrolą zgodnie z planem kontroli ogłoszonym przez UODO (np. brokerzy danych) oraz wszystkich tych, których główny przedmiot działalności obejmuje przetwarzanie danych osobowych.

2. Informowanie to nie to samo co udostępnianie informacji

W przedmiotowej sprawie, Prezes UODO wskazał, że samo umieszczenie informacji, wymaganych RODO na stronie internetowej w ramach „polityki prywatności” nie może być uznane za wystarczające spełnienie obowiązku informacyjnego wynikającego z RODO w sytuacji jednoczesnego posiadania przez administratora danych adresowych osób, których dane dotyczą, umożliwiających przesłanie im korespondencji zawierającej wymagane przez RODO informacje. UODO stwierdził, że „istotą spełnienia obowiązku jest takie działanie administratora w sposób czynny, aktywny wobec osoby, której dane dotyczą, poprzez podanie tej osobie określonych przepisami RODO informacji”.

Trudno ocenić na ile powyższe stanowisko będzie podtrzymywane przez UODO na tle stanów faktycznych innych niż dotyczących przedmiotowej sprawy, niemniej na pewno warto aby administratorzy danych, szczególnie ci, których działalność gospodarcza polega na przetwarzaniu danych, rozważyli czy posiadają dane adresowe podmiotów, których dane przetwarzają, a jeśli tak, czy skierowali do nich w jakiejś formie bezpośrednią korespondencję zwierającą informacje o przetwarzaniu.

3. Nie można zwolnić się z obowiązku informacyjnego powołując się jedynie na wysokie koszty jego realizacji

Ukarany podmiot twierdził, że nie skierował bezpośredniej korespondencji w formie tradycyjnej lub sms-owej do podmiotów, których dane przetwarza ponieważ udzielenie informacji w tej formie wymagałoby niewspółmiernie dużego wysiłku po stronie administratora. Wystąpienie tego rodzaju wysiłku jest, zgodnie z RODO, przesłanką uzasadniającą możliwość niewykonania obowiązku informacyjnego. Ukarany podmiot argumentował, że wysłanie korespondencji do kilku milionów osób wiązałoby się dla niego z „milionowymi kosztami” oraz, potencjalnie, mogłoby spowodować spadek jego konkurencyjności na rynku, czy też nawet utratę płynności finansowej, aż do konieczności zakończenia prowadzonej działalności.

Konieczność poniesienia przez administratora istotnych kosztów związanych z korespondencją nie została jednak uznana przez Prezesa UODO za „niewspółmiernie duży wysiłek” w rozumieniu RODO. Organ stwierdził m.in., że od ukaranego podmiotu, „jako profesjonalisty w tego rodzaju działalności, należy wymagać takiego ukształtowania strony biznesowej swojej działalności, które uwzględniałoby wszelkie koszty niezbędne dla zapewnienia jej zgodności z przepisami prawa (w tym przypadku z przepisami o ochronie danych osobowych)”.

Dodatkowo, fakt świadomego zrezygnowania z realizacji obowiązku motywowanego chęcią uniknięcia kosztów organ potraktował jako okoliczność obciążającą, powodującą zwiększenie nałożonej kary.

W świetle powyższego, wskazane jest wnikliwe, ponowne rozważenie przez administratorów danych, którzy odstąpili od wykonania obowiązku informacyjnego zgodnie z RODO, z uwagi na „niewspółmiernie duży wysiłek” z tym związany, czy w danej sprawie rzeczywiście występuje tego rodzaju wysiłek. Tego rodzaju analiza powinna dotyczyć, przede wszystkim tych przypadków, w których odstąpienie od informowania spowodowane było jedynie wysokimi kosztami a nie np. faktem nieposiadania przez administratora odpowiednich danych adresowych.

Łukasz Rutkowski, Radca prawny, Managing Associate, Deloitte Legal