RODO okiem kontrolera

O pierwszej karze za złamanie RODO


Początek wiosny okazał się być dosyć pracowitym, jednak chciałbym się podzielić z Wami moimi refleksjami odnośnie pierwszej kary nałożonej z okazji Dyrektywy o ochronie danych osobowych.

Jak już wszyscy zdążyli pewnie wielokrotnie przeczytać, te zaszczytne pierwsze miejsce w historii, zajął podmiot przetwarzający dane osobowe z publicznie dostępnych rejestrów, na potrzeby tworzenia baz danych do celów marketingowych, na których to następnie miał zarabiać. Omawiana kara konkretnie została nałożona za nie poinformowanie osób fizycznych (prowadzących działalność gospodarczą) o tym, że w takich bazach się znajdują.

Tak się przypadkiem składa, że zajmowałem się wdrażaniem RODO w średniej spółce (tak wiem, mało to finansowe, a jednak ;)) i pewne swoje przemyślenia na ten temat mam. Po pierwsze, sama podstawa w tym wypadku wydaje mi się wątpliwa. Skoro dane są publicznie dostępne (patrz: publiczne rejestry), to ciężko oczekiwać, że każdy będzie teraz informował każdego, iż właśnie sobie takie dane z nich ściągnął. Dochodzimy tutaj do pewnego absurdu. Nie jestem prawnikiem, ale mogę się założyć, że ukarany będzie się odwoływał i to z całkiem sporymi szansami na sukces.

Po drugie, znamiennym jest również, iż UODO, za szczególnie groźne uznał nieinformowanie wszystkich osób prywatnych o pobraniu ich danych z bazy publicznej,a  potem przetwarzanie. Jest to problem niejako nowy, powstały dopiero przy okazji wdrażania RODO. Wcześniej kwestia informacyjna była “załatwiana” przez różnej maści klauzule, tickboxy i oświadczenia o wykorzystaniu danych do celów marketingowych przez królika i wszystkich, którym te dane sprzeda. Oczywiście żeby nie było, takie jest prawo i uważam, że jego złamanie należy ścigać. Tylko czemu pierwszą kara nie została obdzielona dowolna spółka wydzwaniająca do ludzi z kuszącymi ofertami na zakup garnków, prezentację pościeli lub z ofertą świetnej pożyczki z RRSO o długości numeru PESEL? Chyba nikt nie ma wątpliwości, iż zgody na takie telefony nie posiadają.

Podejrzewam, że zwyczajnie brakuje w tym cudownym urzędzie ludzi z głową na karku, bo wojowanie ze znikającym telemarketerem, na pograniczu ustawy, będzie okupione daleko większym wysiłkiem, niż ściganie spółki oficjalnie korzystającej z publicznego rejestru.

Dodatkowo UODO ustami swojej prezes pouczył innych potencjalnych “przestępców informacyjnych”, że są na końcowym etapie orzekania o winie i nakładania kary w około 10 kolejnych przypadkach. Nie chciałbym bym cyniczny, ale raczej nie będzie wśród nich żadnej większej organizacji lub wspomnianych wydzwaniaczy.

Wielkość kary też jest tutaj znamienna. Od momentu ogłoszenia widełek, było wiadomo, że kary będą dotkliwe. Już pierwsza okazała się być większą, niż suma wszystkich nałożonych przy zastosowaniu poprzednich przepisów. A wracając do poprzedniej myśli, “wykroczenie” nie było w tym wypadku szczególnie dotkliwe (przynajmniej wg mojego postrzegania intencji ustawodawców). Na jaką więc potencjalnie karę zasłużyłby wspomniany telemarketer od garnków? Oczywiście zakładając, że ktoś się nim zainteresuje ;) Tak na marginesie, odpowiednik naszego UODO we Francji nałożył nie tak dawno na Google 50 mln EUR…

Jaka nauka na przyszłość płynie dla Nas z dotychczasowego egzekwowania prawa przez UODO? Jeżeli potraktowaliście ten obowiązek po macoszemu, to zdecydowanie należy do tego przysiąść, zwracając szczególną uwagę na wszystkie wątki, które pojawiły się wraz z implementacją Dyrektywy (wspomniany obowiązek informacyjny, czy też podział danych osobowych na dane “zwykłe” i te szczególnie wrażliwe). Po drugie, jeżeli już coś w tym temacie w Waszych organizacjach zostało zrobione, przyjrzyjcie się procedurom, czy aby na pewno spełniają wymagania nowych przepisów (inne niż dotychczas są chociażby zasady reagowania w przypadku wycieku danych osobowych). I po trzecie, z praktycznego punktu widzenia, łatwiej jest pozbyć się nadmiarowych danych (tak ochoczo chomikowanych po różnych systemach), aby nie ponosić kosztów związanych z dodatkową ochroną czy stratami finansowymi i wizerunkowymi w przypadku ich wycieku. Dlatego też, jeżeli jakieś dane nie są Wam niezbędne do uzyskiwania przychodu, lepiej się ich pozbyć, niż potem sądzić z UODO ;)