Jakie wnioski płyną z pierwszych decyzji prezesa UODO

Jak rozumieć „niewspółmiernie duży wysiłek”, czyli sprawa Bisnode

Przyczyną wymierzenia pierwszej kary finansowej w Polsce było niedopełnienie obowiązku informacyjnego wobec osób, których dane dotyczą. Bisnode Polska sp. z o.o., będąca brokerem i „wywiadownią gospodarczą” należącą do międzynarodowej grupy kapitałowej, została zobowiązana do zapłaty kary w wysokości ponad 943 tys. zł, ponieważ poinformowała o przetwarzaniu danych jedynie 90 tys. spośród ponad 6 mln osób, których dane pozyskała z publicznych rejestrów (głównie z Centralnej Ewidencji i Informacji o Działalności Gospodarczej). Na wymiar kary wpłynął tu z jednej strony zakres naruszenia, tj. liczba osób, których to dotyczyło, z drugiej – fundamentalność obowiązku informacyjnego, bez spełnienia którego podmiot danych nie wie, przez kogo przetwarzane są jego dane. Nie mniej istotna jest reakcja osób, które zostały poinformowane: aż 12 tys. z nich zgłosiło sprzeciw wobec przetwarzania ich danych. Spółka odpierała zarzuty, powołując się na wyjątek z art. 14 ust. 5 lit. b RODO, tj. wskazując, że przesyłanie informacji każdemu przedsiębiorcy pocztą tradycyjną wymagałoby „niewspółmiernie dużego wysiłku” i obciążałoby spółkę kosztem przekraczającym jej roczne obroty. Prezesa UODO ta argumentacja nie przekonała – uznał, że spełnienie obowiązku informacyjnego wobec pozostałych osób, których dane spółka przetwarzała, było możliwe. Co więcej, na wymiar kary miało wpływ, że administrator nie podjął żadnych działań zmierzających do usunięcia naruszenia czy złagodzenia jego skutków.