W marcu tego roku UODO nałożył na spółkę Bisnode karę. Przedsiębiorstwo nie wywiązało się zdaniem Urzędu z tzw. obowiązku informacyjnego. Odwołanie do sądu przyniosło jednak rezultat. Pierwsza kara za naruszenie RODO została uchylona.
Zdaniem UODO skoro spółka miała realną możliwość wywiązania się z obowiązku informacyjnego to powinna przynajmniej spróbować
Na początku roku na łamach Bezprawnika informowaliśmy o pierwszej karze za naruszenie przepisów RODO. Spółka Bisnode zdaniem Urzędu Ochrony Danych Osobowych dopuściła się na tyle rażących przepisów ustawy, by nałożyć na nią karę w wysokości niecałego miliona złotych.
Spółka ta pozyskiwała dane z publicznie dostępnych rejestrów. Nie tylko Krajowego Rejestru Sądowego, ale również CEIDG czy REGON. Przepisy RODO pozwalają uniknąć konieczności zawiadamiania osoby, której dane są przetwarzane, jeśli byłoby to niemożliwe bądź wymagało niewspółmiernego wysiłku. Konkretnie, chodzi o art. 14 ust. 5 lit. b.
Bisnode wysyłała wiadomości mailowe do każdego podmiotu, którego adres znalazła. Spór z UODO dotyczył tych osób, których dane adresowe spółka mogła zdaniem urzędu ustalić i zawiadomić innymi sposobami. Mowa przede wszystkim o danych uzyskanych z CEIDG. Te zawierają dane konkretnych osób fizycznych, wraz z adresami. Czasem także numerami telefonów. Bisnode mogło w końcu skorzystać chociażby z tradycyjnej poczty. Skoro zaś tego nie zrobiło, to firma tym samym świadomie naruszyła przepisy RODO.
Spółka z kolei przekonuje że zrobiła co mogła: poniesienie wielomilionowych kosztów byłoby działaniem niewspółmiernym do rezultatu
Jak się łatwo domyślić, Bisnode patrzyło na sprawę zupełnie inaczej. Informowała o tym swego czasu Gazeta Prawna. Zdaniem firmy, zawiadamianie każdej z sześciu milionów osób znajdującej się w jej bazie danych było możliwe – lecz zarazem byłoby także modelowym przykładem „niewspółmiernego wysiłku”. Spółka szacowała wówczas, że przeprowadzenie takiej operacji kosztowałoby ją nawet 30 mln zł. w przypadku zastosowania listów poleconych. Listy zwykłe to „zaledwie” 22 mln zł.
Firma jednocześnie twierdziła, że zrobiła co mogła. Kwestionowała przy tym ustalenia samego urzędu. Maili z informacją o przetwarzaniu danych osobowych Bisnode miało wysłać nie 90 tysięcy, lecz prawie milion. W tym6 79 tys. do podmiotów z samego CEDIG.
Binsode triumfuje w WSA w Warszawie: kara za naruszenie RODO została uchylona
Dr Maciej Kawecki za pomocą Twittera poinformował w środę, że pierwsza tak naprawdę kara za naruszenie RODO została uchylona przez wojewódzki sąd administracyjny w Warszawie. Trzeba przyznać, że wyrok był wręcz salomonowy.
Skład orzekający stwierdził w uzasadnieniu, że Bisnode po części faktycznie nie wywiązało się z obowiązku informacyjnego wynikającego z przepisów. Nie można w końcu postawić znaku równości pomiędzy wysokimi kosztami zawiadomienia osób figurujących w bazie danych, a niewspółmiernym wysiłkiem. Jeśli spółka dysponowała choćby adresem czy telefonem, to powinna przynajmniej podjąć próbę zawiadomienia takiej osoby.
Obowiązek informacyjny wynikający z RODO nie obejmuje najwyraźniej danych archiwalnych
Z drugiej jednak strony, sama kara nałożona przez prezesa UODO okazała się niewspółmierna do przewinienia. Głównie dlatego, że duża część posiadanych przez Bisnode danych miała charakter archiwalny. Nie wiadomo przy tym, czy te dane są jeszcze aktualne – w szczególności te umożliwiające zawiadomienie. W końcu wysyłanie listów pod potencjalnie zły adres byłoby z całą pewnością zupełnie bezcelowe.
W przypadku takich danych nie tylko nie wchodziłby w grę obowiązek informacyjny, ale również samo ich przetwarzanie jest zdaniem sądu wątpliwe jeżeli chodzi o zgodność z art. 5 RODO.