Dziś w obrazku nie koń, a bat. Stało się nieuniknione — pierwsza „rodowita” kara w kraju. I choć było nieuniknione, to nadal nie zabrakło zaskoczeń. Chciałbym wraz z innymi osobami bliskimi tematu parę Ci pokazać.
Najpierw — o ile kogoś to jednak ominęło — krótka garść historii o tym, z czego kara się wzięła:
– niepodana z nazwy spółka
– przetwarzała dane publicznie dostępne osób fizycznych prowadzących działalność
– nie wszystkie spośród nich informowała — jak nie miała maila, to nie wysyłała tradycyjnego listu uznając, że to podpada pod wskazany w RODO niewspółmiernie duży wysiłek
– Urząd uznał, że jednak powinna i nałożył niemal milion kary.
Ja już wypowiadałem się o niej dla money.pl (tutaj cały artykuł), ale u siebie rozwinę. Trochę szkoda, że Urząd na początek ukarał akurat firmę, która podjęła jakiekolwiek kroki w celu dostosowania się. Nie brakowało wielu „januszy”, którzy w ogóle nie przejęli się tematem RODO — i teraz będą się z tych bardziej dopasowanych śmiali.
Urzędy wydawały pomocne interpretacje przepisów (RODO a monitoring, RODO w szkołach itp.) i raczej można było spodziewać się, że to w tych zakresach najpierw będą kontrole i ewentualnie kary. Poza tym ostatnio było sporo dużych wycieków danych (np. morele) i to takie firmy raczej były w powszechnym mniemaniu pierwsze „w kolejce”. A jednak skupiono się nie na aspektach technicznych zabezpieczeń, tylko innym intepretowaniu słowa „niewspółmierny” przez ukaranego i urząd. Tu zresztą też przypuszczam, że mogą powrócić wątpliwości — czy na pewno wypisanie, włożenie do kopert, wypełnienie adresów, opłacenie i nadanie na poczcie dla tysięcy listów to mały wysiłek? Mi się odechciewa już przy kilkunastu ???? I pewnie koledzy z branży mnie poprą.
A skoro mowa o poparciu kolegów z branży — dodam tutaj głosy dwóch z nich. Oto co sądzą na temat tej pierwszej kary.
Adam Klimowski, główny specjalista ds. ochrony danych osobowych w Jamano sp. z o.o.
Jestem rozczarowany tym, że Prezes UODO nie ogłosił nazwy ukaranej spółki. Tym bardziej, że podmiot, który obciążono karą, nie dopełnił obowiązku informacyjnego wobec ogromnej liczby osób. Jeśli z blisko 90 tysięcy poinformowanych przedsiębiorców aż 12 tysięcy złożyło sprzeciw wobec wykorzystania danych, to podobnej reakcji należy spodziewać się po reszcie osób. Mam nadzieję, że takie postępowanie polskiego organu nadzorczego będzie wyjątkiem od reguły.
Michał Nosowski, radca prawny specjalizujący się w prawie nowych technologii, www.wsroddanych.pl
Dzisiejsza kara jest potwierdzeniem tego, że w wyborze pomiędzy rygorystycznym podejściem do interpretowania przepisów RODO, a tym bardziej liberalnym, Prezes Urzędu Ochrony Danych Osobowych wybiera tę pierwszą opcję. Stąd też duża wysokość kary i nałożenie jej w dyskusyjnej sytuacji, dotyczącej konieczności spełniania obowiązku informacyjnego w sytuacji gdy byłoby to bardzo kosztowne. Trzeba pamiętać, że poglądy wskazujące na brak obowiązku informowania osób, których dane dotyczą o tym, że informacje ich dotyczące zostały pobrane z CEiDG i zamieszczone w komercyjnych bazach danych pojawiały się już wcześniej. Dzisiejszą decyzją Prezes UODO zabrała głos w tej dyskusji i wskazała, że nie podziela takiej interpretacji. Możemy się jednak spodziewać, że to dopiero początek sporu. Z uwagi na różne poglądy dotyczące tej kwestii, złożenie przez ukaranego skargi do Wojewódzkiego Sądu Administracyjnego ma szansę powodzenia i uchylenia decyzji o nałożeniu kary.
A więc RODO panika wróci — zgadzam się z tymi opiniami. I też jestem pewien, że to jeszcze nie koniec i sprawa będzie przed Wojewódzkim Sądem Administracyjnym. To jeszcze potrwa, nim rozstrzygnięcie będzie finalne — i ciężko powiedzieć, czy będzie mieć jakąś „wartość edukacyjną”. Z pewnością mniejszą, niż ukaranie kogoś za nie zabranie się za RODO w ogóle albo niezabezpieczenie danych i ich wyciek. Ale to już pewnie będzie temat dla następcy obecnego Prezesa Urzędu Ochrony Danych Osobowych — pojawiła się zresztą kandydatura, którą lepiej możesz poznać tutaj.
Na dzisiaj to tyle, temat będzie śledzony, więcej o RODO w moich poprzednich wpisach. Jesteśmy w intaczu!
