Przedsiębiorstwo, na które Prezes Urzędu Ochrony Danych Osobowych 26 marca nałożył karę za złamanie przepisów o ochronie danych osobowych, przetwarzało ogólnodostępne dane w Internecie. Spółka z Warszawy gromadziła dane osób prowadzących działalność, a pochodzące z CEiDG, KRS, GUS. Z tych danych tworzyła bazy danych pozwalające na weryfikację wiarygodności podmiotów.

 

Przedsiębiorcy, którzy podali w rejestrach swoje adresy mailowe otrzymali obowiązek informacyjny w drodze korespondencji elektronicznej. Pozostałym przedsiębiorcom spółka nie wysyłała listów na papierze, gdyż jej zdaniem wymagałoby to niewspółmiernie dużego wysiłku. Obowiązek informacyjny dla pozostałych spółka opublikowała na swojej stronie internetowej.

 

To pierwszy milion złotych kary za naruszenie przepisów RODO. W ten sposób prezes Urzędu Ochrony Danych Osobowych dała jasny przekaz, iż nie ma zgody na takie traktowanie osób prowadzących działalność gospodarczą. Teraz spółka musi wysłać listy do osób, które nie zostały wówczas poinformowane o fakcie, że ich dane są przetwarzane. Z pewnością spółka ta wniesie odwołanie do sądu administracyjnego. Wszczęcie procesu wstrzyma wykonanie decyzji aż do czasu wydania prawomocnego wyroku przez sąd. Nakładając karę prezes wytłumaczyła, że brak spełnienia obowiązku wynikającego z art. 13 i 14 RODO spowodował, że osoby, których dane były przetwarzane, nie mogły zrealizować praw wynikających z przepisów RODO, choćby żądania usunięcia danych czy też sprostowania danych osobowych. Zdaniem prezes opublikowanie informacji na stronie internetowej nie było wystarczające. Tym bardziej, że w odniesieniu do 90 tysięcy osób, które zostały poinformowane, ponad 12 tysięcy osób w reakcji na przesłaną informację złożyło sprzeciw wobec przetwarzania danych w celach marketingowych.  Niewątpliwie nałożona kara jest kontrowersyjna i podzieliła ekspertów, a ponadto ma charakter precedensowy i z dużym prawdopodobieństwem wpłynie na inne branże. Z pewnością najwięcej zastrzeżeń budzi fakt, iż dane osób fizycznych prowadzących działalność gospodarczą pochodziły z publicznych, ogólnodostępnych rejestrów. Natomiast dla prezes Urzędu Ochrony Danych Osobowych istotna była świadomość podjętej decyzji o niezrealizowaniu obowiązku informacyjnego.

 

Artykuły 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – wcześniej jako RODO – przewidują dwa warianty obowiązków informacyjnych. Artykuł 13 RODO reguluje obowiązek informacyjny spełniany w przypadku pierwotnego pozyskiwania danych od osoby, której dane dotyczą. Artykuł 14 RODO odnosi się natomiast do obowiązku informacyjnego realizowanego w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą. Adresatem obowiązku informacyjnego jest administrator. Nie realizuje go natomiast podmiot przetwarzający, chyba że robi to w imieniu administratora. Obowiązek ten musi realizować administrator aktywnie, bez wniosku lub jakiegokolwiek innego żądania czy inicjatywy osoby, której dane dotyczą. Administrator musi także pamiętać, że obowiązek informacyjny powinien być spełniany w czasie pozyskiwania danych, podczas tej czynności, nie następczo, kiedy dane zostaną już zebrane. Klauzula powinna być napisana prostym i zrozumiałym językiem. Jeżeli administrator pozyskuje dane z innego źródła niż od samego podmiotu tych danych, tj. w myśl Artykułu 14 RODO, w takim przypadku poza informacjami opisanymi w Artykule 13 RODO musi wskazać, jakie dane (jakie kategorie danych) i skąd pozyskał. Pełen katalog informacji, których przekazanie może być konieczne, obejmuje więc:

a) tożsamość i dane kontaktowe administratora oraz – gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora;

b) dane kontaktowe inspektora ochrony danych, jeżeli został wyznaczony;

c) cele przetwarzania, do których mają posłużyć dane osobowe;

d) podstawę prawną przetwarzania;

e) kategorie odnośnych danych osobowych;

f) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

g) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46 , 47 lub 49 ust. 1  2 RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;

h) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu;

i) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

j) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

k) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a  RODO – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

l) informacje o prawie wniesienia skargi do organu nadzorczego;

m) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;

n) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4  RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Przepis art. 14 ust. 3 RODO wskazuje, w jakim terminie należy zrealizować obowiązek informacyjny. Administrator ma obowiązek przekazać wszystkie informacje w rozsądnym terminie po pozyskaniu danych osobowych, mając na uwadze konkretne okoliczności przetwarzania danych osobowych. Przekazanie to musi nastąpić najpóźniej w ciągu miesiąca od pozyskania danych. Jeżeli natomiast dane mają być stosowane do komunikacji z podmiotem danych, obowiązek informacyjny należy zrealizować najpóźniej przy pierwszej takiej komunikacji. Jeżeli z kolei administrator planuje ujawnić dane innemu odbiorcy, obowiązek ten należy zrealizować najpóźniej przy pierwszym ujawnieniu danych temu odbiorcy.

 

Artykuł 14 ust. 5 RODO przewiduje wyjątki od obowiązku przekazania podmiotowi danych informacji wskazanych powyżej. Z realizacji obowiązku informacyjnego można zrezygnować, gdy:

a) osoba, której dane dotyczą, dysponuje już informacjami wymaganymi zgodnie z art. 14 RODO;

b) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 RODO, lub o ile obowiązek informacyjny może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, aby chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

c) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;

d) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

W przypadku analizy możliwości skorzystania z jakichkolwiek zwolnień z obowiązków informacyjnych należy także brać pod uwagę przepis art. 11 RODO, zgodnie z którym jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, aby zastosować się do wymogów RODO.

 

Jak powinna wyglądać przykładowa klauzula informacyjna dla przedstawicieli kontrahenta wpisanych do umowy jako osoby uprawnione do kontaktu w związku z realizacją danej umowy?

 

Wzór klauzuli informacyjnej:

Administratorem Państwa danych osobowych jest .................... z siedzibą w .................... (....................) przy ul. ...................., adres e-mail: ...................., numer telefonu ...................., wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem ...................., numer NIP: ...................., REGON: ...................., o kapitale zakładowym w wysokości .................... zł, której akta rejestrowe przechowywane są w Sądzie Rejonowym ...................., w .................... Wydziale Gospodarczym Krajowego Rejestru Sądowego.

Z Inspektorem ochrony danych można skontaktować się w następujący sposób - listownie na adres ...................., elektronicznie na adres e-mail: .................... lub telefonicznie - numer telefonu ……….

Przysługuje Państwu prawo dostępu do danych, ich sprostowania, żądania ich usunięcia, a także prawo ograniczenia przetwarzania, wniesienia sprzeciwu co do przetwarzania danych osobowych i prawo wniesienia skargi do organu nadzorczego, jeżeli dane są przetwarzane niezgodnie z wymogami prawnymi.

Dane będą przetwarzane w celu realizacji prawnie uzasadnionego interesu Administratora opisanego poniżej - przez czas niezbędny do realizacji prawnie uzasadnionego interesu Administratora, w tym zakresie nie dłużej jednak niż do czasu uznania za uzasadniony szczególną sytuacją Państwa sprzeciwu.

Nie będą podlegali Państwo decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec Państwa skutki prawne lub w podobny sposób istotnie na nią wpływa.

Podstawą prawną przetwarzania jest art. 6 ust. 1 lit. f) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - dalej: RODO, tj. prawnie uzasadniony interes Administratora polegający na działaniach związanych z ustaleniem warunków zawarcia umowy z kontrahentem oraz ułatwieniu komunikacji związanej z jej wykonaniem, a także ustaleniem osób odpowiedzialnych za realizację i uprawnionych do kontaktów w ramach wykonywania umowy.

Państwa dane zostały pozyskane przez Administratora od ....................
Administrator będzie przetwarzał następujące kategorie Państwa danych: imię, nazwisko, numer telefonu, adres e-mail, ....................
Odbiorcami Państwa danych osobowych mogą być: ....................
Administrator nie planuje przekazywać Pani/Pana danych osobowych odbiorcom spoza EOG, czyli do państw trzecich / planuje przekazywanie danych osobowych do państw trzecich, w zakresie .................... i na podstawie ....................
Przysługuje Pani/Panu prawo sprzeciwu wobec przetwarzania danych osobowych z przyczyn związanych z Państwa szczególną sytuacją.

 

Mając na uwadze stanowisko Prezesa Urzędu Ochrony Danych Osobowych wyrażone w decyzji, to administrator powinien wykazać należytą staranność w zakresie przekazywania osobie, której dane dotyczą informacji o zasadach przetwarzania jej danych. Jeżeli dane są pozyskiwane drogą elektroniczną, nic nie stoi na przeszkodzie, aby pod formularzem podać podstawowe informacje wraz z linkiem do pełnego obowiązku informacyjnego. W przypadku pozyskiwania danych osobowych na piśmie, wskazane jest przekazanie wszystkich informacji w momencie pozyskiwania danych tą samą drogą, ponieważ wchodzenie na podany link wymagałoby od osoby, której dane dotyczą niewspółmiernego wysiłku. Natomiast w zakresie danych pozyskanych z innego źródła, administrator podejmuje rozsądne działania, w celu przekazania niezbędnych informacji.  Samo umieszczenie na stronie internetowej firmy treści klauzuli informacyjnej nie jest wystarczające, bo nie będzie potwierdzenia, że obowiązek informacyjny względem konkretnego indywidualnego przedsiębiorcy faktycznie został spełniony, a udowodnienie tego faktu będzie konieczne, w razie ewentualnej kontroli, zgodnie z zasadą rozliczalności przewidzianą w art. 5 ust. 1 lit. a RODO.

 


Autorem tekstu jest radca prawny Małgorzata Miller

Wpisana na listę OIRP w Poznaniu, specjalizuje się w obsłudze przedsiębiorców z branży motoryzacyjnej. Świadczy doradztwo prawne w zakresie roszczeń wynikających z rękojmi, gwarancji. Opiniuje umowy kredytu, leasingu, prawnych zabezpieczeń zapłaty wierzytelności. Prowadzi spory z ubezpieczycielami. Prowadzi szkolenia dla branży motoryzacyjnej, w tym szkolenia z zakresu RODO. Ponadto, posiada duże doświadczenie w bieżącym doradztwie prawnym na rzecz instytucji finansowych.