Poczytałem dziś uzasadnienie do wyroku Wojewódzkiego Sądu Administracyjnego w sprawie Bisnode (spółka sama się ujawniła i dyskutowała publicznie, więc nie widzę podstaw do ukrywania nazwy). I jak w tytule – dla mnie BOMBA!

Po pierwsze – uchylenie kary

No to może nie do końca takie uchylenie… Otóż w uzasadnieniu ujawniła się ciekawa rzecz. Sąd przychylił się do zdania i uznał (w skrócie), że fakt, trudno jest mówić o tym, wobec ilu osób spółka nie dopełniła obowiązku informacyjnego. Bo… faktycznym problem z poinformowaniem dotyczy UWAGA! osób, które już działalności nie prowadzą. A PUODO nie dokonał analizy, ile to tych danych jest. A karę “obliczył” w oparciu o ilość osób, których dotyczyło naruszenie obowiązku. 

Dla mnie bomba! Wykonać działanie matematyczne bez danych wejściowych. Nobel za matematykę nowoczesną dla inspektorów prowadzących? No więc sąd wysłał na przyspieszony kurs matematyki naszych inspektorów. 

W skrócie: jak już sobie znajdziecie niewiadomą X (ilość osób, do których już spółka nie ma aktualnego kontaktu) to sobie od nowa przeliczcie. 

Zamienił stryjek siekierkę na kijek

Mogłoby się wydawać, że spółka jest wygraną w tej sprawie (znaczy wątku kary), ale… nie do końca. Otóż sąd wskazał wyraźnie art 5.1.a i d. Ten 5.1.a to jest kwestia przejrzystości przetwarzania danych w tym ów nieszczęsny obowiązek informacyjny, natomiast 5.1.d to prawidłowość danych. 

O ile Prezes UODO nałożył karę za niedopełnienie obowiązku informacyjnego, czyli naruszenie normy z art. 14.5 RODO, która jest uszczegółowieniem (w jednym z aspektów) art 5.1.a, to teraz ma to jeszcze raz ogarnąć, ale dodając jeszcze przetwarzanie nieprawidłowych danych. Jak zwykle mogę być niezrozumianym, więc jaśniej:

Obecnie:

  • Bisnode oberwał za brak realizacji jednej z części zasad fundamentalnych z RODO – z art 5.1.a (przejrzystość). 

Będzie: Bisnode oberwie:

  • Za brak realizacji jednej z części zasad fundamentalnych z RODO – z art 5.1.a (przejrzystość) na pomniejszonej próbie (liczbie osób);
  • Za brak realizacji CAŁEJ fundamentalnej zasady prawidłowości danych – art 5.1.d. 

(PS uczestnicy dzisiejszego webinaru o audycie RODO i celach – rozumiecie już dlaczego to tak maglowałem?)

Dla mnie bomba! A podobno niektórzy prawnicy już dzielili skórę na niedźwiedziu i już witali się z gąską. Chyba to nie była gąska… A nawet jeśli, to teraz są już dwie (dwa przepisy na jednej sprawie – ciekaw jestem jak tym razem inspektorzy UODO sprawdzą się matematyce stosowanej). 

Sędzia Dred…

Pamiętacie ten film? Otóż Prezes UODO uznał, że kara powinna odstraszać… wszystkich. I sam sobie prokuratorem i sędzią i sam stawia i sam wymierza, aż ma boleć wszystkich dookoła (tak wiem, kara administracyjna jak najbardziej, ale ten model to raczej w sprawach karnych). WSA nie podziela tego stanowiska. Uważa, że odstraszenie ma dotyczyć konkretnego podmiotu (administratora), który dopuścił się naruszenia. 

Dla mnie bomba! IOD-dzi dużych, poważnych firm biegiem po podwyżki!!! WSA wskazał wprost zasadę w której kara ma być równie dotkliwa dla wszystkich. I potwierdził zasadę 2% czy 4% kary. Dla zmęczonych dniem – im większe obroty, tym większa kara musi być, aby odstraszyć dany podmiot. Choć wolałbym, aby z kary odstraszającej korzystał nasz urząd stosując też przepisy karne. Bo finansowe… cóż. Nie zawsze są aż tak odstraszające. 

PS czekam na Morele.net. Bo tam to z kredytami… cóż, chyba już nie było podstaw. 

Zakończmy wątek kar, który tak radośnie “fani” PUODO okrzyknęli w swoich postach i wpisach w mediach społecznościowych jakimś tam sukcesem:

Do organu należy ponowna ocena tak co do niezbędności zastosowania administracyjnej kary pieniężnej w tej sprawie jak i – w przypadku podtrzymania stanowiska co do potrzeby wymierzenia kary pieniężnej – ustalenia jej wysokości z uwzględnieniem wymogów art. 83 rozporządzenia 2016/679.

Super sukces, czyli dla mnie bomba! Otóż teraz organ ma ustalić ile osób zostało dotkniętych brakiem informacji ORAZ przetwarzaniem niepoprawnych danych. A do tego WSA zostawia “wolną rękę” organowi. No jak tak wyglądają sukcesy, to chrońcie mnie gwiazdy przed nimi. Wolę porażki. 

Nadmierny wysiłek

Teraz będzie nieco poważniej. WSA dość precyzyjnie wyjaśnił rozumienie nadmiernego wysiłku po stronie administratora danych oraz wskazał na pewne ramy czasowe związane z RODO. Pokrótce:

  • Za nadmierny wysiłek nie można brać TYLKO strony organizacyjnej, administracyjnej, czy ekonomicznej administratora. Ważne jest, aby nadmierność wysiłku była obiektywna, a nie subiektywna (choć w efekcie i tak zejdziemy w jakimś tam ostatecznym kroku do finansów i organizacji – przypisek mój). Sąd wskazuje, że muszą to być realne utrudnienia. Dziś nie mogę sobie przypomnieć materiału w którym to czytałem, bo podobne zapisy były też pod poprzednimi przepisami. I gdzieś widziałem poradnik chyba z okolic 2005-207 roku. Jak znajdę to napiszę. 
  • Ramy czasowe wskazał sąd bardzo precyzyjnie. Tu widać, że nie będzie litości ze strony WSA w orzeczeniach. 2016 to rok wejścia w życie RODO, 2018 rok rozpoczęcia obowiązywania (art 99 RODO). A więc firmy miały do dziś 4 lata na wdrożenie rozwiązań. 

Wpływ na #RODOmaniaków i narzędzia

To trochę modyfikuje nasze treści szkoleniowe i publikacje związane zarówno z BOW-TIE w RODO jak i związane z testem równowagi w kontekście oceny zarówno do art 14.5 RODO, ale też i 34 RODO – czyli informowania o naruszeniu osób, których naruszenie dotyczy. 

Dla mnie bomba! Krótko, treściwie (no prawie). Ale z jasnym wytycznym, jak weryfikować i ustalać “równowagę” miedzy interesem administratora, nadmiernością, współmiernością i interesem osoby, której dane dotyczą.