Pierwszy wyrok w sprawie zaskarżonej kary finansowej za naruszenie RODO w Polsce – jest uzasadnienie wyroku

Opublikowano uzasadnienie wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 11 grudnia 2019 r., o sygn. II SA/WA 1030/19, dotyczącego kary finansowej za naruszenie przepisów RODO (pisaliśmy o tym wyroku pod linkiem: https://rodoradar.pl/pierwszy-wyrok-w-sprawie-zaskarzonej-kary-finansowej-za-naruszenie-rodo-w-polsce/). Sąd w uzasadnieniu poruszył kilka istotnych kwestii, którym warto się przyjrzeć. Jeśli argumenty sądu znajdą uznanie Naczelnego Sądu Administracyjnego oraz innych sądów administracyjnych, będą miały praktyczne przełożenie na funkcjonowanie wywiadowni gospodarczych w Polsce.

1. Dane archiwalne.

Sąd nakazał Prezesowi Urzędu Ochrony Danych Osobowych zweryfikowanie wysokości nałożonej kary finansowej. Kara została nałożona przy założeniu, że naruszenie prawa do ochrony danych osobowych przez spółkę dotyczyło także danych osób, które już nie prowadzą działalności gospodarczej, w związku z tym, że zostali wykreśleni z publicznego rejestru. Prezes Urzędu Ochrony Danych Osobowych uznał w swojej decyzji, że obowiązek informacyjny należy spełniać względem wszystkich osób, których dane przetwarza administrator. Sąd jednak zwrócił uwagę, że Prezes UODO powinien był zbadać w trakcie postępowania, czy spółka posiada faktyczną możliwość spełnienia obowiązku informacyjnego wobec osób, które już nie prowadzą działalności gospodarczej, ponieważ ich dane korespondencyjne, które posiada spółka, mogą być dawno nieaktualne. Jest to najbardziej interesujący punkt orzeczenia, ponieważ sąd uzależnia spełnianie obowiązku informacyjnego od aktualności danych kontaktowych osoby, której dane dotyczą. RODO nie przewiduje takiego wyjątku od obowiązku spełniania obowiązku informacyjnego, dlatego interesujące będzie, czy inne sądy podzielą zdanie Wojewódzkiego Sądu Administracyjnego w Warszawie.

2. Kara jako odstraszenie?

Uzasadniając wysokość nałożonej kary, Prezes Urzędu Ochrony Danych Osobowych argumentował, że nałożona kara finansowa powinna skutecznie zniechęcać także inne podmioty do naruszania w przyszłości prawa ochrony danych osobowych. Sąd uznał taki argument za niedozwoloną przesłankę ustalania wysokości kary i podkreślił, że zgodnie z art. 83 ust. 1 RODO kara powinna być odstraszająca w indywidualnym przypadku, jedynie w stosunku do konkretnego podmiotu, na który zostaje nałożona. Organ nadzorczy nie może zatem tak podwyższać kary, aby odstraszyć także inne podmioty działające w tej branży na rynku.

3. Niewspółmiernie duży wysiłek.

Sąd przyznał rację Prezesowi UODO, że spełnienie obowiązku informacyjnego pocztą tradycyjną nie jest czynnością niemożliwą oraz nie wymaga niewspółmiernie dużego wysiłku, o którym mowa w art. 14 ust. 5 lit. b RODO, w sytuacji posiadania przez spółkę danych adresowych osób fizycznych prowadzących działalność gospodarczą. Zdaniem sądu pojęcie niewspółmiernie dużego wysiłku nie jest tożsame ze znacznym wysiłkiem organizacyjnym i finansowym spółki, związanym z wysyłką wielkiej ilości listów. Sąd uznał, że kwestie organizacyjne i finansowe nie przeważają nad prawami osób fizycznych, których dane osobowe są przetwarzane przez administratora, w tym także w przypadku, gdy pozyskane zostały ze źródeł powszechnie dostępnych, a przetwarzane są następnie przez administratora w celach komercyjnych. Dokonując wykładni pojęcia niewspółmiernie dużego wysiłku sąd podkreślił, że chodzi o sytuację, gdy spełnienie obowiązku informacyjnego jest obiektywnie możliwe, ale niebywale utrudnione (graniczące z brakiem możliwości udzielenia informacji). W przedmiotowej sprawie, zdaniem sądu, nie mamy do czynienia z sytuacją, w której wysiłek, jaki administrator musiałby ponieść, aby wypełnić obowiązek informacyjny, można byłoby uznać za niewspółmiernie duży w odniesieniu do korzyści uzyskanych przez osoby fizyczne, których dane osobowe spółka przetwarza.

 

Źródło:

http://orzeczenia.nsa.gov.pl/doc/30EDD316DA

Autor

Michał Madecki

Doświadczenie zawodowe zdobywał podczas pracy w Urzędzie Ochronie Danych Osobowych oraz kancelariach prawnych specjalizujących się w prawie ochrony danych osobowych, e-privacy, prawie własności intelektualnej, e-commerce, prawie pracy oraz obsłudze prawnej spółek handlowych. Brał udział w opiniowaniu projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych.