Właśnie zapadła decyzja o wlepieniu pierwszej kary za naruszenie przepisów o ochronie danych osobych. UODO ukarał pewną firmę za to, że pozyskała z ogólnodostępnej bazy informacje o przedsiębiorcach, ale tylko część z nich poinformowała o tym, że przetwarza ich dane osobowe.
Nie zrobiła tego w przypadku tych firm, do których nie miała adresu mailowego. Musiałaby więc wysyłać im wszystkim papierowe listy, co uznała za niewspółmiernie duży wysiłek w porównaniu do uzyskanych korzyści. Teoretycznie pozwalają na to przepisy. UODO uznał jednak, że firma postąpiła niewłaściwie i powinna powysyłać listy.
- Szereg osób nie zostało poinformowanych i nie mogły przez to skorzystać z prawa do usunięcia lub sprostowania danych. Spółka miała absolutny obowiązek poinformowania oraz możliwość i świadomość konieczności tego zrobienia – powiedziała prezes UODO Edyta Bielak-Jomaa na wrotkowej konferencji prasowej poświęconej tej decyzji. Odmówiła jednak podania nazwy firmy, której dotyczyło postępowanie.
Czytaj więcej o sprawie: RODO. Jest pierwsza kara i od razu na milion zł
Rozstrzygnięcie budzi duże emocje, a prawnicy, z którymi rozmawialiśmy, nie kryją, że jest również rozczarowujące – i to z wielu powodów.
To miał być symbol nowych przepisów
Mec. Maciej Mackiewicz z kancelarii Kochański i Partnerzy jest rozczarowany wyborem tej konkretnej sprawy. - Wydawać się mogło, iż pierwsza, dość symboliczna kara nałożona w związku z brakiem spełnienia wymogów RODO, będzie dotyczyła najbardziej fundamentalnych problemów. Jak na przykład nielegalny handel bazami danych, brak podstaw prawnych przetwarzania czy marketing bezpośredni - mówi.
Tymczasem, jak tłumaczy Mackiewicz, prezes UODO nałożyła karę w sprawie jednak dotyczącej dość formalnej kwestii, która z punktu widzenia przeciętnego człowieka praktycznie nie podnosi bezpieczeństwa przetwarzania danych osobowych.
Zgoda na przetwarzanie danych to podstawa
Dr Maciej Kawecki, który był koordynatorem krajowej reformy ochrony danych osobowych i kieruje obecnie departamentem zarządzania danymi w resorcie cyfryzacji, nie zgadza się ze stwierdzeniem, że Urząd dokonał nieprawidłowego wyboru pierwszej sprawy. Zwraca uwagę, że UODO wie najlepiej, co aktualnie budzi najwięcej trudności w ochronie danych osobowych, gdyż spływają do niego setki skarg na naruszenia.
- Zgadzam się z tym, że jest wiele bardziej doniosłych tematów, np. marketing bezpośredni, któremu Urząd mógł poświęcić pierwszą decyzję, ale daleki jestem od uznania, że wybrano błahą sprawę. Jest to ważny, lecz często bagatelizowany problem. Wiedza o tym, kto w ogóle przetwarza nasze dane osobowe, ma przecież kluczowy charakter. Gdy jej nie mamy, nie jesteśmy w stanie bronić swoich praw – wyjaśnia dr Kawecki.
Czy w nałożeniu kary widzi jednak jakieś ryzyko? Tak. Mówiąc o sprawie nałożonej kary, epatuje się wysokością kary, co może doprowadzić do powtórki "gorączki RODO" sprzed kilku miesięcy, gdy firmy na wyścigi zlecały audyty, wdrażały nowe procedury. Często chaotycznie, bez zastanowienia się, co tak naprawdę wymagało usprawnienia.
- Nie jestem zwolennikiem tworzenia gorączki, bo ona przynosi bardzo złe skutki. Od rana sekretariat departamentu zarządzania danymi odebrał kilkadziesiąt telefonów tylko w tej sprawie, co o czymś świadczy – wyjaśnia.
Z kolei mec. Tomasz Palak, prowadzący bloga tomaszpalak.pl, wskazuje, że UODO ukarał firmę, która - w przeciwieństwie do wielu innych - podjęła jakiekolwiek kroki w celu dostosowania się do RODO. Być może niewystarczające (to już prawdopodobnie oceni sąd), ale jednak nie zignorowała nowych przepisów. Dla firm na jej miejscu rozczarowujące może być, że pierwszej kary nie otrzymał jeden z licznych podmiotów, które w ogóle tematem się nie zajęły.
- W ostatnich miesiącach były przypadki ogromnego wycieku danych użytkowników. Gdyby UODO nałożył karę na którąś z firm, która w niewystarczającym stopniu zabezpieczyła bazy danych, dałby sygnał, że takie zaniechania są nieakceptowalne. Tymczasem ukarał firmę, która - przynajmniej w swoim przekonaniu - dostosowała się do nowych regulacji. Spór z nią będzie dotyczył rozumienia konkretnego słowa w przepisie, a tymczasem rozstrzygnięcia w kwestiach zabezpieczeń technicznych czekają – mówi.
Decyzja jest ostateczna, a firmie przysługuje prawo do zaskarżenia jej do Wojewódzkiego Sądu Administracyjnego. Mecenas Palak zwraca uwagę, że ewentualne postępowanie będzie się koncentrowało na wyjaśnieniu, czy rozesłanie do kilku milionów przedsiębiorców listownej informacji o przetwarzaniu ich danych stanowi niewspółmiernie duży wysiłek.
- W tej sprawie jedna strona będzie przekonywała, że w jej ocenie wysyłka listów byłaby połączona z "niewspółmiernie dużym wysiłkiem", a druga będzie to obalała. A więc ostateczne rozstrzygnięcie nie będzie dla przetwarzających tak cenne, jak byłoby na przykład uszczegółowienie wymagań technicznych co do ochrony danych – komentuje.
- Ciężko obecnie odnosić się do sprawy nie znając uzasadnienia i "wyceny" akurat takiej wartości nałożonej kary. Możliwe jednak, że kolejne będą mieć dla przetwarzających większą wartość edukacyjną - dodaje.
Czytaj też: UODO dostał już blisko 2 tys. zgłoszeń w kwestii RODO. Ale do tej pory nie nałożył żadnej kary
Inny, pragnący zachować anonimowość prawnik zwraca uwagę, że wydanie decyzji zbiega się z czasem z końcem kadencji prezes Edyty Bielak-Jomaa. Jego zdaniem mogła pozwolić sobie na to, by pierwsza decyzja dotyczyła sprawy, w której wina ukaranego nie jest oczywista, gdyż nawet jeśli sąd nie stanie po stronie urzędu, nikt już nie będzie łączył jej nazwiska z tym postępowaniem. Na wyrok sądu przyjdzie nam bowiem trochę poczekać. Biorąc pod uwagę, że dla sędziów problematyka jest nowa, postępowania w obu instancjach mogą trwać w najlepszym przypadku 2 lata.
Czy inne firmy powinny się bać?
Urząd zapowiada, że nie będzie miał litości dla naruszających przepisy o ochronie danych osobowych. Posiada szereg uprawnień i narzędzi, których nie miał jego poprzednik, GIODO, by kontrolować potencjalnych naruszycieli i nakładać kary. W ostatnich miesiącach zwiększył zatrudnienie o ponad 100 osób.
- Kontroli może się więc spodziewać dosłownie każdy przedsiębiorca. Firmy muszą pamiętać, że samo wdrożenie nowych procedur czy prowadzenie dokumentacji nie wystarczy. Urząd interesuje, w jaki sposób, mówiąc językiem przepisów, firma realizuje funkcjonalności RODO. Tego właśnie nie dopilnowała spółka, na którą nałożono karę - wyjaśnia mec. Mackiewicz.
Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl
