- Problematyka pozyskiwania danych ze źródeł powszechnie dostępnych, w tym w ramach ponownego wykorzystywania informacji sektora publicznego, jest dużo szersza i była już przedmiotem rozstrzygnięć polskiego organu nadzorczego - mówi w wywiadzie dla DGP Piotr Drobek, dyrektor Zespołu Strategii i Analiz w Urzędzie Ochrony Danych Osobowych .
Piotr Drobek dyrektor Zespołu Strategii i Analiz w Urzędzie Ochrony Danych Osobowych fot. Materiały prasowe / DGP
W jaki sposób przez prezesa UODO została ustalona wysokość kary?


Jest 11 kryteriów z art. 83 RODO, które wpływają na jej wysokość. W opisywanym przypadku niewątpliwie istotne znaczenie miała liczba osób, wobec których nie spełniono obowiązku informacyjnego, choć nie jest to jedyne kryterium, które brano pod uwagę. Co do wysokości kary, to RODO wymaga, aby sposób jej określania był jednolity w całej UE i my staramy się ten wymóg spełniać.

Niektórzy porównują decyzję wobec ukaranej spółki do tej w sprawie fundacji ePaństwo. Jakie są różnice pomiędzy nimi?
Problematyka pozyskiwania danych ze źródeł powszechnie dostępnych, w tym w ramach ponownego wykorzystywania informacji sektora publicznego, jest dużo szersza i była już przedmiotem rozstrzygnięć polskiego organu nadzorczego. Porównując obie sprawy, należy podkreślić, że w obu nie zakwestionowano legalności przetwarzania tak zebranych danych. Różnica dotyczy realizacji obowiązku informacyjnego, który został uregulowany w art. 14 RODO, i ewentualnych jego ograniczeń. Na odmienne rozstrzygnięcia w obu sprawach miał wpływ inny zakres przetwarzanych danych osobowych. Zbierane przez spółkę dane umożliwiają bezpośredni kontakt z osobami fizycznymi, które prowadzą lub prowadziły działalność gospodarczą. Natomiast we wcześniejszych sprawach prowadzonych przez organ nadzorczy podmioty zbierające dane z zasobów publicznych takimi danymi nie dysponowały, lecz jedynie danymi adresowymi podmiotów, w których te osoby pełniły funkcję organu. W takiej sytuacji próba ustalenia danych teleadresowych osób, których dane zostały pobrane np. tylko z KRS, choć możliwa, wymagałaby niewspółmiernie dużo wysiłku. W konsekwencji w takiej sytuacji może być wystarczające umieszczenie odpowiednich not informacyjnych na stronach internetowych podmiotu, który zebrał takie dane. Jednak spółka, która posiadała dane teleadresowe konkretnych osób, nie może powołać się na takie wyłączenie.
W jaki sposób rozumieć „niewspółmiernie duży wysiłek” stanowiący wyjątek z RODO od spełniania obowiązku informacyjnego? Wiele osób rozumiało to wcześniej jako „niewspółmiernie wysokie koszty”.
Ukarana spółka stała na stanowisku, że obowiązek informacyjny wobec osób, których adresów e-mailowych nie posiadała, wymaga wysłania listu poleconego. Urząd nie podzielił takiej argumentacji. Naszym zdaniem była to próba pokazania dość kosztownego rozwiązania, które z perspektywy spełnienia obowiązku informacyjnego nie jest wymagane. No i stanowiłaby niepotrzebny formalizm ‒ spółka nie musi mieć potwierdzenia nadania tych listów. Proszę również zauważyć, że do części osób można było wysłać np. SMS, skoro spółka miała numery telefonów. Co zaś do reszty osób, to firma miała adresy ich miejsca zamieszkania. Można się było więc zastanowić nad alternatywnymi metodami poinformowania o przetwarzaniu danych.
Mimo wszystko firma poniosłaby wysokie koszty.
Rzetelne wyliczenie kosztów będzie uzależnione od wyboru sposobu realizacji obowiązku informacyjnego. Na związane z tym koszty powinniśmy przede wszystkim spojrzeć z perspektywy dosyć dużej skali działania spółki, a nie tylko ograniczać się do wskazywania oderwanej od tych okoliczności kwoty. Na marginesie warto zadać pytanie: dlaczego koszty informowania w momencie rozpoczęcia stosowania RODO są tak wysokie? Bo spółka przez 25 lat zbierała dane, nie spełniając żadnych obowiązków w tym zakresie, korzystając z niejasnego i zmiennego prawa. Gdyby spółka dotychczas systematycznie spełniała obowiązki, a teraz jedynie aktualizowała noty informacyjne, koszty takich działań byłyby znacząco niższe, a jednocześnie miałaby większą elastyczność co do sposobu przekazania takich informacji. Pamiętajmy, że również dwuletni okres przejściowy na dostosowanie się do wymogów RODO dawał szansę na rozłożenie w czasie takich działań.
Czyli w oczach organu nadzorczego ukarana spółka naruszała prawo przez ćwierćwiecze?
Ja tego nie powiedziałem. Jednakże teraz bardzo ważne jest ucywilizowanie takiej działalności i zapewnienie zgodności z RODO.
Prawnicy mają wątpliwości co do sposobu spełnienia obowiązku informacyjnego. Czy wystarczy list nierejestrowany?
Jeszcze raz chcę podkreślić, że spełnienie obowiązku informacyjnego nie wymaga przesłania listu poleconego. Często się o nim myśli ze względu na związaną z nim formalną możliwość potwierdzenia odbioru korespondencji, lecz RODO tego nie wymaga, dopuszczając inne sposoby spełniania obowiązków informacyjnych. Ponadto warto dodać, że wysłanie listu nierejestrowanego zawierającego dane osobowe za pośrednictwem podmiotu prowadzącego działalność na podstawie prawa pocztowego samo przez się nie powoduje naruszenia bezpieczeństwa tych danych.
UODO nakazało niezwłoczne spełnienie obowiązku informacyjnego przez przedsiębiorcę. Ale przecież dane były zbierane latami.
W decyzji nakazano spełnienie obowiązku informacyjnego w terminie trzech miesięcy wobec osób, które nie zostały dotychczas poinformowane, czyli zarówno wobec tych, których dane zostały zebrane przed 25 maja 2018 r., jak i później. Wynika to z motywu 171 preambuły RODO. Stanowi on, że administratorzy danych mieli obowiązek dostosowania swoich praktyk do nowych przepisów do 25 maja 2018 r. Jak stwierdziła Europejska Rada Ochrony Danych w swoich wytycznych dotyczących przejrzystości, odnosi się to również do obowiązku informacyjnego. W przypadku ukaranego przedsiębiorcy kluczowe jest to, że ten obowiązek nie był wcześniej i nie jest obecnie spełniany. Wypełnienie tego obowiązku jest kluczowe dla realizacji swoich praw przez osoby, których dane dotyczą. Bo gdy osoba nie wie, że jej dane są przetwarzane, to nie ma szansy skorzystać ze swoich praw.
Czy jeśli teraz firmy w panice zaczną spełniać obowiązek informacyjny, to im się upiecze? Bo już się mówi, że czeka nas kolejna fala wiadomości od firm, które ‒ przestraszone decyzją ‒ będą na wyrost zalewać nas e-mailami i listami.
Działania podejmowane w panice rzadko są racjonalne, a racjonalne i rzetelne podejście do swoich obowiązków powinno przyświecać wszystkim administratorom danych. Działania podejmowane wyłącznie pro forma nie mają większego sensu, a dają jedynie złudzenie bezpieczeństwa. Co jednak warto zauważyć, ochrona danych osobowych nie pojawiła się nagle z dniem rozpoczęcia stosowania RODO. Obowiązki informacyjne były również wymagane przez dotychczasowe przepisy prawa. W okresie przejściowym należało jedynie dostosować dotychczasowe noty informacyjne i procedury informowania do nowych wymogów. Co ważne, należy o tych obowiązkach pamiętać za każdym razem, gdy zbiera się dane osobowe. Aby pomóc w realizacji obowiązków informacyjnych, UODO m.in. opublikował na swoim kanale internetowym szkolenie poświęcone tej tematyce.
Chcę na koniec też wyraźnie podkreślić, że nie będziemy karać wyłącznie za niespełnienie obowiązku informacyjnego. Za jakiś czas może pojawić się kara z zupełnie innego obszaru i to nie będzie oznaczać, że UODO skupi się wtedy tylko na tym obszarze. Obowiązków z RODO jest wiele i wszystkie traktujemy tak samo poważnie.