Uplynul takmer rok odo dňa účinnosti GDPR a v Európe pribúdajú rozhodnutia národných úradov na ochranu osobných údajov a začínajú sa ukladať prvé vysoké pokuty. Nás zaujalo nedávne rozhodnutie Úradu na ochranu osobných údajov v Poľsku.
V polovici marca 2019 poľský Úrad na ochranu osobných údajov uložil pokutu vyše 220.000 Eur poľskej pobočke švédskej digitálnej marketingovej agentúry za porušenie informačnej povinnosti stanovenej v článku 14 nariadenia GDPR (informačná povinnosť).
Tam, kde agentúra mala k dispozícii e-mailovú adresu dotknutej osoby, zaslala dotknutej osobe oznámenie o spracúvaní jej osobných údajov, čím si splnila svoju povinnosť uloženú článkom 14 nariadenia. Naopak tam, kde agentúra e-mailovú adresu dotknutej osoby nepoznala, oznámenie o spracúvaní osobných údajov nezasielala, a to napriek tomu, že poznala jej poštovú adresu. Agentúra zhodnotila, že svoju informačnú povinnosť voči týmto osobám (celkovo išlo o vyše 6 miliónov osôb) splní zverejnením oznámenia o spracúvaní osobných údajov na svojej webovej stránke.
V konaní pred Úradom sa agentúra opierala o výnimku z informačnej povinnosti v zmysle článku 14 odsek 5 písm. b) nariadenia, pričom argumentovala tým, že nie je možné dodržať informačnú povinnosť, nakoľko náklady na tlač oznámenia o spracúvaní osobných údajov a ich zasielanie poštou, nehovoriac o súvisiacich personálnych nákladoch, by boli v porovnaní s očakávaným ziskom neprimerané.
Poľský Úrad na ochranu osobných údajov sa s argumentáciou agentúry nestotožnil a uložil jej spomínanú pokutu. Okrem iného Úrad uviedol, že agentúra „...ako odborník v tomto type činnosti je povinná formovať obchodnú stránku svojho podnikania tak, aby zohľadňovala všetky náklady potrebné na zabezpečenie súladu s právnymi predpismi“. Úrad tiež agentúre nariadil, aby si dodatočne splnila svoju informačnú povinnosť tým, že dotknutým osobám, ktorých poštové adresy sú známe, oznámi spracúvanie ich osobných údajov poštou. Kým tak neurobí, nesmie osobné údaje dotknutých osôb nijak ďalej spracúvať. Navyše, Úrad posúdil informáciu o spracúvaní osobných údajov zverejnenú na webovej stránke agentúry za nedostatočne spracovanú.
Úrad zdôraznil, že v súvislosti s konaním agentúry boli dotknuté osoby zbavené možnosti vykonávať svoje práva podľa nariadenia GDPR, najmä práva namietať proti ďalšiemu spracúvaniu ich osobných údajov alebo požadovať ich opravu alebo vymazanie.
Agentúra už informovala, že sa proti rozhodnutiu odvolala na správny súd vo Varšave. Je preto možné, že otázka týkajúca sa výkladu „disproporčného úsilia“ v zmysle vyššie uvedeného článku nariadenia GDPR ako výnimka z informačnej povinnosti sa ako prejudiciálna otázka dostane na posúdenie až na Súdny dvor Európskej únie.
Ako sa bude tento prípad vyvíjať a ako sa v obdobných prípadoch zachová Úrad na ochranu osobných údajov u nás budeme pozorne sledovať.
The controller fulfilled the information obligation by providing the information required under Art. 14 (1) – (3) of the GDPR only in relation to the persons whose e-mail addresses it had at its disposal. In case of the remaining persons the controller failed to comply with the information obligation – as it explained in the course of the proceedings – due to high operational costs. Therefore, it presented the information clause only on its website.