12/12/2019
Sąd administracyjny uchylił pierwszą polską karę “za RODO”. To jednak nie oznacza, że UODO całkowicie się pomylił. Nie oznacza to również, że dane osobowe przedsiębiorców będzie można do woli przetwarzać bez spełniania obowiązku informacyjnego.
Przypomnijmy, że w marcu tego roku nałożono pierwszą w Polsce karę na mocy RODO. Wysokość kary wyniosła 943 tys. zł złotych, ale sprawa od początku była nieco kontrowersyjna.
Tło sprawy
O co chodziło? Ukarana spółka (Bisnode Polska) przetwarzała dane osób przedsiębiorców pozyskane ze m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG). Problem w tym, że tylko część przedsiębiorców została poinformowana o tym, że ich dane trafiły do bazy spółki. Jeśli ktoś podał swój e-mail w CEIDG to dostał od Bisnode informację o przetwarzaniu danych. W przypadku pozostałych osób spółka uznała, że informowanie byłoby “nadmiernym kosztem”, a przecież art. 14 pkt 5 lit b RODO przewiduje możliwość odstąpienia od informowania jeśli wymagałoby to “nadmiernego wysiłku”.
Nakładając karę UODO wziął pod uwagę, że aż 12 tys. wniosło sprzeciw wobec przetwarzania ich danych przez spółkę.
Co właściwie powiedział sąd?
Dr Maciej Kawecki poinformował wczoraj na Twitterze, że Wojewódzki Sąd Administracyjny w Warszawie uchylił karę dla Bisnode Polska.
Wiadomość o uchyleniu kary szybko obiegła internet, ale często z pominięciem tej drugiej, jakże istotnej części wpisu dra Kaweckiego. Sąd mimo wszystko uznał, że wysokie koszty nie uzasadniają niezrealizowania obowiązku informacyjnego. Wydaje się więc, że WSA miał bardziej zastrzeżenia co do proporcjonalności kary niż co do jej zasadności.
Warto zwrócić informację na publikację serwisu Prawo.pl, który przytacza pewne wnioski sędzi sprawozdawcy Iwony Maciejuk. Sędzia miała podkreślić, że wciąż każda osoba ma prawo wiedzieć, co dzieje się z jej danymi. Poza tym warto zwrócić uwagę na problem dotyczący danych osób, które swoją działalność już zakończyły. Czy przetwarzanie danych takich osób da się pogodzić z zasadą poprawności danych?
Tak naprawdę opinię na temat tego wyroku będzie można sobie wyrobić po sporządzeniu uzasadnienia, a to może potrwać do dwóch tygodni. UODO i Bisnode jeszcze nie skomentowały sprawy w oficjalnych oświadczeniach, ale może się to stać niebawem. Uchylenie “pierwszej” i zarazem “milionowej” kary będzie pewnym ciosem wizerunkowym dla Urzędu Ochrony Danych Osobowych. Co więcej, w kolejce do sądu czekają kolejne kontrowersyjne decyzje, bo Morele.net nie zamierza się poddawać i ClickQuickNow też nie. Obecnie w Polsce mamy 5 kar nałożonych w związku RODO i byłoby trochę głupio, gdyby znaczna ich część nie obroniła się w sądzie.
Aktualizacja 13.12.2019 10:12
UODO wydał oświadczenie w sprawie uchylenia kary i podkreślił w nim, że… sąd przyznał mu rację.
Przypomnijmy, że spółkę ukarano w związku ze stwierdzeniem naruszenia obowiązku informacyjnego (art. 14 ust. 1-3 ogólnego rozporządzenia o ochronie danych osobowych), polegającego na niepodaniu informacji zawartych w art. 14 ust. 1 i 2 RODO wszystkim osobom fizycznym, których dane osobowe spółka przetwarza, prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalności.
Od tej decyzji spółka wniosła skargę do WSA. Spółka argumentowała m.in., że nie ciąży na niej obowiązek informacyjny z art. 14 RODO (…) Ta argumentacja nie znalazła akceptacji WSA. Sąd uznał, iż wysoki koszt wysyłki tej informacji pocztą tradycyjną nie może przesądzać o tym, że zachodzi przesłanka „niewspółmiernie dużego wysiłku”.
Sąd oddalił więc skargę w zakresie dotyczącym nakazu dopełnienia obowiązku informacyjnego wobec osób fizycznych prowadzących aktualnie działalność gospodarczą oraz osób fizycznych, które zawiesiły wykonywanie tej działalności, a którym informacje te nie zostały dotychczas podane. Kara została natomiast uchylona z uwagi na dostrzeżone uchybienia proceduralne, w części dotyczącej nakazu dopełnienia obowiązku informacyjnego wobec osób fizycznych prowadzących w przeszłości działalność gospodarczą.
Prezes UODO ma ponownie przeprowadzić postępowanie administracyjne zgodnie ze wskazaniami Sądu. Zmieniła się liczba podmiotów danych dotkniętych naruszeniem i trzeba to wziąć przy wymierzeniu kary. Trzeba też mieć na uwadze, że wyrok nie jest prawomocny.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Czy to oznacza, że UODO nałoży/może nałożyć na nich mniejszą karę i wtedy sąd się nie przyczepi, czy też ten wyrok oznacza, że już w ogóle nie dostaną żadnej kary?
Będzie nowy proces i zapewne mniejsza kara.
Tą karę za RODO zapłaci klient, a nie prywaciarz. Przedsiębiorca odbije stratę podnosząc cenę towarów.
ps.
W najgorszym przypadku prywaciarz zamknie firmę, pracowników zwolni, a klienci będą drożej płacić za towar bo zmniejszy się konkurencja. No, ale ciemna masa cieszy się z kolejnego UNIJNEGO PODATKU.
Ukarany przedsiębiorca ma dwie opcje:
1) pozostawić niezmienione ceny swoich towarów i usług ale wtedy z części przychodów musi pokryć grzywnę a więc kara ostatecznie będzie dotkliwa dla właścicieli, którzy osiągną mniejszy zysk;
2) podnieść ceny swoich towarów i usług ale wtedy stanie się mniej konkurencyjny w stosunku do innych (nie ukaranych) przedsiębiorców na rynku, którzy są w stanie wyświadczyć takie same usługi i dostarczyć takie same towary ale niższym kosztem bo bez płacenia grzywny i to do nich przeniosą się klienci.
Ja tu widzę same plusy:
* Firma, która nie spełnia RODO i dostaje kary, staje się mniej konkurencyjna, bo albo podnosi ceny, albo zmniejsza marżę, albo efektywność działalności
* Jeśli padnie, to dobrze, bo na rynku zostaną tylko firmy nieukarane z tego tytułu
Jedyny problem jest z monopolistami, ale źródłem tego problemu jest sam monopol, a nie RODO.
A co wytwarza Bisnode, poza pomaganiem spamerom?
*Firma , która nie spełnia RODO wcale nie musi być przez to mniej konkurencyjna. Inne firmy pójdą jej śladem ponosząc finalie cenę produktu by mieć zapas gotówki na karę.
*Firma, która padnie zwolni pracowników. Państwo straci na składkach, podatkach. Myslisz, że państwo, gdzie będzie tych pieniędzy szukać? Wyrównają sobie to wprowadzając podatek od szkodliwego cukru ^^
RODO to czyste rozbójnictwo, kolejne narzędzie nakierowane na uwalenie niewygodnych firm.
Dokładnie Przypia ma rację, o jakich produktach i konkurencyjności pieprzycie. Dzięki Bisonde i podobnym telefony każdego mikroprzedsiebiorcy zalewa fala wójowych reklamodawców, bo co z tego że zastrzegasz że nie chcesz być w spamobazie, jeżeli co miesiąc sobie ją odnawiają.
studencik 2019.12.12 14:27 |
Dokładnie tak jest. Wystarczy porównać ceny towarów przed wprowadzeniem RODO z obecnymi. WIdać wyraźnie, że firmy przerzuciły koszta wdrożenia RODO na konsumenta.
RODO powstało wyłącznie w celu generowania budżetowych posad z wynagrodzeniami oderwanymi od realiów, bezcelowe urzędy których jedynym celem jest kontrola kwitów tzw. dupochronów, stan faktyczny urzędu nie interesuje.
W żadnym realny przypadku wyłudzenia na skradzione dane żaden urząd nie pomógł i nie pomoże pokrzywdzonemu obywatelowi który o oszustwie dowiaduje się od komornika z prawomocnym wyrokiem niezawisłego sądu …
Ile w skali kraju kosztuje rodo papiery, szkolenia, etaty inspektora ochrony danych w każdej budżetowej instytucji od urzędów centralnych do wsiowych gmin, szkół, przychodni itp. ? Kto będzie płacił ewentualne kary w budżetówce i jaki jest tego cel poza ww. ?
W czasach gdy kopię dokumentu można zrobić telefonem gdy pierdyliony stażystów, praktykantów, pracowników firm outsourcing-owych itp. mają dostęp do baz danych jak dowieść gdzie wyciekły dane ?
Popieram. Pieniądze z kar za łamianie RODO powinny trafiać do poszkodowanych, wtedy miałoby to jakiś sens. To oczywiście nie jedyny przypadek, kiedy budżet dostaje fanty, za to, że ktoś komuś zrobił źle (np. kary za łamanie praw konsumetów, też nie trafiają do konsumentów). To trochę tak, jakby ktoś uszkodził komuś samochód przy parkowaniu, a odszkodowanie zgarnał właściciel parkingu ;-)
@zenonsesns z tym się zgadzam!
Częścią wykonywanej przeze mnie dla Klienta pracy jest dbanie o bezpieczeństwo. Nie tylko od strony zabezpieczenia kopii danych, ale również ograniczania dostępu.
Też ze współpracownikami zadaję sobie pytanie, jak to upilnować, a jeżeli zdarzy się, że do wycieku dojdzie – jak zlokalizować punkt zapalny? W pewnych przypadkach jak najbardziej się uda, w wielu niestety nie.
Kosztów wdrożenia RODO w przedsiębiorstwie nie policzę, ale są w wielu miejscach: od zakupowania dodatkowych produktów (typu papier, tonery, teczki, etc.) poprzez koszty ogólne (nawet energia) po podnoszenie kosztu procesów i nowe procesy związane z RODO. I tak na prawdę to koszty i praca poniesiona tylko po to, żeby zabezpieczyć przedsiębiorstwo przed karą, bo zawsze jesteśmy nastawieni na zadowolenie Klienta, szacunek i zrozumienie. Nigdy jednak nie osiągnie się 100% bezpieczeństwa, a w razie “W” kara. Chociaż dla nas karą i dramatem byłaby już sama sytuacja.
@DmN, ale przecież nie dostaniesz kary za sam fakt włamania do Twojego systemu i związanego z tym wycieku danych. Jeśli zrobiłeś wszystko co mogłeś, aby uchronić się przed atakiem, to jesteś czysty. No ale jak trzymasz hasła w plikach *.txt jak Facebook, czy robisz inne głupie rzeczy to sorry, jesteś winny rażącego zaniedbania. Biznes to ryzyko, możesz zarobić i możesz stracić. Skoro zarabiasz to masz obowiązki oraz środki na zapewnienie jak największego bezpieczeństwa. A nawet jak dostaniesz karę to jest ona śmiesznie mała w proporcji do dochodu firmy – czyli nie tracisz, a po prostu mniej zarobisz! Gdyby było inaczej to każdy miałby firmę/działalność.
“….Warto zwrócić informację na publikację …” mały błąd chyba
Szwecja – niby też w UE, ale tam chyba nie mają problemów z RODO.
Jakiś czas temu znajomy przebywający w Szwecji, po wielokrotnych nieudanych próbach przeliterowania mi swojego adresu zamieszkania, doznał “olśnienia” i uradowany powiedział mi: sprawdź sobie w ratst.se. Sprawdziłam. Można tam uzyskać dużo więcej informacji, niż adresy zamieszkania: m.in. datę urodzenia, płeć, stan cywilny/związek nieformalny… Można także sprawdzić (odpłatnie) dochody. Taka ciekawostka :)
Przepraszam, nie zawsze “dobija” mi klawisz “i” :( powinno być ratsit.se
Loreena, wiesz jaki jest największy problem z RODO? To, że nikt tego dokumentu nie przeczytał i większość ludzi bazuje na opowieściach, które zaszłyszeli. Co do meritum twojego komentarza. RODO jest szablonem, który kreśli granicę/warunki brzegowe jak ma wyglądać przetwarzanie danych. Piję do twojego przykładu o Szwecji, bo w art. 6 RODO masz przesłanki legalności przetwarzania danych, wystarczy jedna z nich, żeby przetwarzanie było legalne/poprawne. Jedną z tych przesłanek jest np. przepis prawa. Czyli jeśli w jakiejś ustawie jest napisane, że można przetwarzać PESEL, miejsce zamieszkania, datę urodzenia i ma to być widoczne w internecie, w jakimś miejscu fizycznym czy gdzie indziej, to z RODO nie ma problemu. Więc jeśli w Szwecji mają takie prawo, że mogę wejść do miejskiego rejestru i sprawdzić po nazwisku osobę/mieszkańca danego miasta i jest to prawnie usankcjonowane, to RODO nie stoi na przeszkodzie w ujawnianiu tych danych. Patrz na polski KRS, przecież tam na podstawie przepisów prawa podane są pesele osób, które zasiadają w organizacjach, stowarzyszeniach, zarządach spółek.Rejestr jest publiczny i dostępny dla każdego.
Brzmi jak schizofrenia paranoidalna w sytuacji cofnięcia kary:
UODO wydał oświadczenie w sprawie uchylenia kary i podkreślił w nim, że… sąd przyznał mu rację.
Stan umysłu czy co?
art. 14 pkt 5 lit b RODO przewiduje możliwość odstąpienia od informowania jeśli wymagałoby to “nadmiernego wysiłku”
Czy ja dobrze rozumiem, ze sad stwierdzil, ze ten zapis jest niewazny? (nie to, ze bronie firmy, ale sady powinny stac na strazy prawa, a wchodzic w buty ustawodawcy i selektywnie ignorowac przepisy).
Sąd stwierdził, że wysokie koszty, w przypadku Bisnode wysyłki listów za 20 mln zł czy ile oni tam sobie wyliczyli, nie oznacza z automatu “nadmierny wysiłek” z art. 14 pkt 5 lit b RODO. Czyli ten wyjątek z RODO dot. nadmiernego wysiłku nie można identyfikować z wysokimi kosztami poinformowania osób.
@pd Ale policzmy inaczej. Trzeba by wysłać korespondencję do ok 6 000 000 adresatów.
Jeżeli przyjmiemy na przygotowanie jednego listu czas 10 sekund, to na przygotowanie wysyłki wszystkich listów potrzeba ponad 8 lat, działając przez 2000 godzin w ciągu roku (bo tyle w przybliżeniu jest godzin pracujących).
Według sądu to nie jest “nadmierny wysiłek”.
@Therminus – ależ oczywiście, pełna zgoda, że obsługa 6 mln osób, czytaj wysłanie 6 mln listów zajmie dużo czasu, tylko ja mam prywatnie pewien dysonans. 6 mln listów nie można wysłać, bo dużo kosztuje i długo się wysyła, ale przetwarzać rekordy 6 mln osób już jest łatwo i przyjemnie, a jeszcze zarabiać na tych danych, to już bajka. Więc moim zdaniem, przedsiębiorca powinien przeanalizować swoją działalność i ocenić ryzyko przetwarzania danych 6 mln osób, że nie wiąże się to tylko z profitami, ale także z obowiązkami.
>sady powinny stac na strazy prawa, a wchodzic w buty ustawodawcy i selektywnie ignorowac przepisy
a bo to pierwszy raz?
Chwila, ale to najpierw UODO “zignorował” ten przepis. I chyba o to jest główny zgryz, że przewinienie w zasadzie jest, ale kara jest zaskakująco duża.
Poza tym takie zdanie sugeruje, że buty ustawodawcy polegają na ignorowaniu przepisów :-D (a bo to pierwszy raz?)
O to właśnie chodzi żeby wszytko było zagmatwane :
gdyby art 6. 1 c) ” przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;” brać poważnie to żadnej instytucji budżetowej nie powinno dotyczyć rodo bo przetwarzają dane wyłącznie w celu “wypełnienia obowiązku prawnego”;
No dobrze, a jeśli popełnią błędy przy tym przetwarzaniu, to to jaki jest obowiązek prawny?
Automatyzacja. Jakoś w przypadku spamu działa.
trafiłem na ukarana spółkę kiedy zacząłem odstawać maile od jakieś fundacji która zachęcała do wpłacania na ich konta pieniędzy…. z ciekawości napisałem do tej fundacji skąd mają moje dane, bo nie przypominam sobie żebym cokolwiek z nimi miał wspólnego, infor od fundacji że właśnie ukarana spółka sprzedała im moje dane… A kiedy zapytałem ukaranej spółki via ich bok skąd, mają moje dane (nie “jestem” firmą, tylko osobą prywatną) to powiedzieli że nie mają mnie w bazie…. Tak że ktoś kłamie…
UODO samo się wkopało. Zamiast spokojnie podejść do tematu, od razu wali z grubej rury. A swoją drogą, kto ukarze UODO za info o PPK. Podobno najpierw kazali zbierać od pracowników zgody na przetwarzane danych, a potem stwierdzili, że zgody nie są potrzebne.
Zadziwiająco dużo wśród wypowiedzi jest krytyki RODO, UODO, sądów…
To spamerzy, handlarze danych osobowych piszą?
Bo jakoś nie chce mi się wierzyć, że ci piszący takie bzdury cieszyliby się z tego, że ICH dane osobowe są w publicznym obiegu i jeszcze ktoś na tym zarabia.
Ten wyjątek z art. 14 o niewspółmiernym wysiłku na który BisNode się powołało dotyczy tylko instytucji badawczych, archiwów państwowych, i innych wyjątków które Sejm Ustawodawczy zapisze w ustawie. Polska wersja RODO została źle przetłumaczona, bo o ile w wersji angielskiej nie ma wątpliwości że ten wyjątek dotyczy tylko tych wprost wskazanych podmiotów, to w polskim jest forma przecinkowa sugerująca rozłączność, i bisnode sobie wyczytała że mimo że nie jest zadnym z tych podmiotów też może się powoływać na za wysokie koszty. Oczywiście zgoda na kopiowanie CEIDG nie została zapisana w ustawie, więc w tym przypadku dla wszystkich osób fizycznych prowadzących działalność gospodarczą, czy obecnie, czy w przeszłości BisnNode miała obowiązek uzyskania ich zgody przed 25 maja 2018 albo skasowania tych danych.