Sinopsis
Autoritatea pentru protecția datelor din Polonia (UODO) a anunțat, pe 26.03.2019, aplicarea primei amenzi în baza GDPR unui broker de date pentru nerespectarea obligației de informare prevăzută la art. 14 alin (1) si (2) din Regulamentul pentru Protecția Datelor cu Caracter Personal (GDPR). Amenda, în cuantum de 220.000 Euro, a fost aplicată deoarece brokerul nu ar fi notificat aproximativ 6,6 milioane de persoane vizate privind faptul că le prelucrează datele cu caracter personal, deși cunoștea că are obligația de informare.
Faptele. Nerespectarea obligației de informare de către broker a fost considerată de UODO ca fiind serioasă și intenționată
Brokerul de date (care are calitatea de operator conform prevederilor GDPR) deținea informații privind persoane fizice autorizate și societăți, inclusiv numele reprezentanților acestora, din baze de date publice și le prelucra în scopuri comerciale. El a transmis notificări în concordanță cu prevederile art. 14 din GDPR numai către persoanele pentru care deținea o adresă de email de contact (aproximativ 650.000 persoane).
În cazul celorlalte persoane vizate pentru care nu deținea adresă de email (având la dispoziție însă adresa poștală și număr de telefon), brokerul a decis să nu transmită notificări privind prelucrarea datelor invocând costurile mari de trimitere (aproximativ 8 milioane de Euro, 97% din cifra de afaceri a companiei) si incidența prevederilor art. 14 alin. (5) din GDPR, respectiv faptul că transmiterea notificărilor către persoanele vizate la care nu deține o adresă de email ar reprezenta un efort disproporționat. Acesta a decis să publice nota de informare pe site.
Totuși, UODO a apreciat că brokerul, în calitatea sa de operator, ar fi putut să informeze persoanele vizate prin transmiterea unei simple scrisori, fără confirmare de primire, ceea ce ar fi redus costurile transmiterii acestora.
UODO a mai apreciat că operatorul nu trebuie să notifice membrii organelor de conducere ale societăților ale căror date de contact nu sunt în bazele de date publice deoarece aceasta ar însemna că operatorul să caute date de contact pentru acestea astfel că eforturile brokerului ar fi fost, în acest caz, disproporționate.
Amenda poate fi contestată de brokerul de date și este de așteptat ca acest lucru să se întâmple având în vedere costurile la care s-ar expune brokerul pentru a informa toate persoanele vizate în cele 90 de zile impuse de UODO.
Rațiuni pentru amenda aplicată și lecții de învățat
Fără a fi la adăpost de argumente contrare, decizia UODO pare să stabilească (pâna la o eventuală modificare sau anulare) câteva standarde de practică privind modalitatea de îndeplinire a obligației de informare de către operatori. În particular, câteva aspecte din argumentația UODO merită retinute:
- Multe dintre persoanele ale căror date personale au fost prelucrate de broker nu cunoșteau acest lucru. Astfel, ele nu au avut posibilitatea să obiecteze la prelucrare, să solicite rectificarea sau ștergerea datelor.
Acesta este motivul pentru care UODO a considerat că încălcarea este una serioasă, ea privind drepturi și libertăți fundamentale ale indivizilor, în particular dreptul la informare asupra faptului că datele lor sunt prelucrate.
- Drepturile persoanelor fizice prevalează și brokerul de date ar fi trebuit să ia în considerare costul de notificare a acestora în cadrul modelului său de business.
Aparent, UODO nu a contestat temeiul juridic de prelucrare a datelor personale ale persoanelor vizate în speță (cel mai probabil brokerul invocând interesul legitim).
Apreciem, din această perspectivă, că decizia Autorității din Polonia va avea efect asupra activității brokerilor, băncilor (procedura de KYC), agențiilor de recrutare precum și asupra oricărui operator care prelucrează informații din baze de date publice.
- Operatorii pot trimite scrisori simple de informare, prin poștă, fără confirmare de primire, pentru a reduce costurile, însă trebuie să aibă în vedere principiul responsabilității ca operator.
Concluziile noastre
- În spiritul GDPR, trebuie să existe un echilibru între costurile trimiterii unei informări și capacitatea de a conduce un business, în sensul că aceste costuri nu ar trebui sa fie prohibitive, disproporționate.
- În plus, persoanele fizice și persoanele fizice autorizate ale căror date apar în registrele publice ar trebui să aibă așteptări rezonabile că datele lor ar putea fi utilizate sau re-utilizate în baza interesului legitim
- Noțiunea de persoane fizică autorizată nu ar trebui să fie asimilată cu cea de persoană fizică sau foarte apropiată de aceasta. Un alt aspect important este faptul că, în speță, datele respective nu au fost utilizate public ci numai păstrate în baza de date internă a brokerului.
