Aktualności

Pierwsza kara nałożona przez Prezesa PUODO za niewywiązanie się z obowiązku informacyjnego

Pierwsza kara nałożona przez Prezesa PUODO za niewywiązanie się z obowiązku informacyjnego

Pierwsza kara nałożona przez Prezesa Urzędu Ochrony Danych Osobowych za naruszenie przepisów RODO budzi duże kontrowersje, i to nie tylko z powodu jej wysokości sięgającej blisko 1 000 000 złotych (około 220 000 Euro). Podmiot zajmujący się udostępnianiem danych pozyskanych z publicznych rejestrów w ramach tzw. wywiadu gospodarczego został ukarany z powodu nie spełnienia obowiązku informacyjnego wobec osób, których dane osobowe pozyskał z ewidencji przedsiębiorców. Ukarana firma świadomie zrezygnowała z dochowania obowiązku informacyjnego ponieważ uznała, że stosuje się do niej wyjątek przewidziany w art. 14 ust. 5 RODO. Z uwagi na to, że dysponowała tylko adresem części osób znajdujących się bazie, przekazanie im listownie informacji o przetwarzaniu danych wiązałoby się z bardzo dużym kosztem i wysiłkiem organizacyjnym. Zamiast tego informację o przetwarzaniu danych zamieściła na swojej stronie internetowej. Sprawa najprawdopodobniej będzie miała swój finał w sądzie.

Mając na względzie restrykcyjne podejście polskiego organu nadzorczego do kwestii spełnienia obowiązku informacyjnego, poniżej przedstawiamy wskazówki dotyczące jego realizacji.

W jakich sytuacjach administrator danych powinien spełnić obowiązek informacyjny zgodnie art. 14 ust. 1 i 2 RODO?
Obowiązek informacyjny, co do zasady, należy spełnić wtedy gdy dane osobowe, które przetwarzamy nie zostały nam przekazane bezpośrednio przez osobę, której dotyczą. Będzie to miało miejsce np. w przypadku:
a) uzyskania danych osobowych od osób trzecich poprzez:
   - system poleceń w rekrutacji;
   - wskazanie przez kontrahenta danych osobowych pracowników właściwych do kontaktu,
b) zakup bazy danych zawierającej dane osobowe,
c) uzupełniania własnej bazy danych dodatkowymi danymi osobowymi z publicznie dostępnych systemów np. z CEiDG, książek telefonicznych itd.,
d) nabycia wierzytelności przysługujących wobec osób fizycznych,
e) przejścia zakładu pracy lub jego części na innego pracodawcę.

Uwaga! Obowiązek informacyjny nie dotyczy tych podmiotów, które przetwarzają dane osobowe pozyskane w ten sposób jako procesorzy – na polecenie administratora danych (chyba, że co innego wynika z łączącej strony umowy powierzenia przetwarzania danych osobowych).

Jakie informacje należy przekazać osobom, których dane dotyczą?
Oprócz podstawowych informacji o administratorze danych, celach i postawach przetwarzania oraz prawach przysługujących w związku z przetwarzaniem danych należy poinformować o tym, jakie kategorie danych są przetwarzane i z jakiego źródła zostały pozyskane, w tym czy pochodzą z rejestrów publicznych (np. CEiDG, GUS).

W jakim czasie należy spełnić obowiązek informacyjny?
Przekazanie informacji o przetwarzaniu danych osobowych powinno nastąpić w rozsądnym czasie, nie dłuższym niż miesiąc od momentu ich pozyskania. Jeżeli administrator pozyskał dane osobowe po to, by kontaktować się z podmiotem danych albo udostępnić je osobom trzecim, informacja o przetwarzaniu danych osobowych powinna być przekazana nie później niż podczas tych czynności.

Czy można zrezygnować z realizacji obowiązku informacyjnego z powodu związanych z tym wysokich kosztów lub trudności organizacyjnych?
Na gruncie RODO przewidziano odstępstwa od obowiązku realizacji obowiązku informacyjnego wskazanego w art. 14 ust. 1 i 2 RODO, chociażby z powodu niewspółmiernie wysokiego wysiłku obciążającego w związku z tym administratora danych lub niemożliwości przekazania informacji. W świetle opisywanej decyzji Prezesa UODO zaleca się jednak daleko idącą ostrożność i korzystanie z tych zwolnień jedynie wyjątkowo. Warto przed podjęciem decyzji zbadać w jaki sposób brak przekazania informacji wpłynie na możliwość realizacji praw związanych z przetwarzaniem danych osobowych przez podmioty danych takich jak prawo do informacji, do sprostowania danych czy też do wyrażenia sprzeciwu wobec przetwarzania.



Anna Szymielewicz

Prawnik

Anna Szymielewicz

Radca prawny, Counsel

Anna Szymielewicz

Kontakt:

ul. Rondo ONZ 1
00-124 Warszawa