Polský úřad udělil pokutu za porušení GDPR při zpracování veřejně dostupných dat

Polská pobočka švédské společnosti Bisnode dostala pokutu 220 000 euro za nesplnění informační povinnosti dle GDPR. Případ může mít zásadní dopady na zpracovávání veřejně dostupných dat a plnění informační povinnosti vůči osobám, které ve veřejně dostupných rejstřících vystupují.

Společnost Bisnode sbírá veřejně dostupná data z různých rejstříků a používá je k vytváření přehledů obchodních, ekonomických a tržních informací, které následně komerčně poskytuje dalším organizacím. Takto se v Polsku dostala k údajům zhruba 5,7 milionů fyzických osob, především podnikatelů, ale i členů statutárních orgánů. Rejstříky zahrnovaly jméno, příjmení, identifikační čísla, adresy, typ činnosti, zákazy, povolení a další údaje.

Společnost měla k dispozici e-mailové adresy na část subjektů zahrnutých do zmíněných přehledů (e-maily jsou v rejstřících uváděny nepovinně). Na tyto elektronické adresy zaslala poučení o zpracování osobních údajů dotčených osob. U ostatních osob připadalo v úvahu využití poštovních služeb, případně telefonního čísla, pokud bylo zveřejněno. Odhad finanční náročnosti se však vyšplhal na zhruba 8 milionů euro, společnost se tedy rozhodla splnit informační povinnost cestou zveřejnění poučení na svých webových stránkách.

Úřad nicméně shledal, že takový postup je v rozporu s GDPR, protože společnost je povinna informovat dotčené osoby adresně a přímo, aby byla v souladu s nařízením. K tomu dodal, že společnost jakožto profesionál v oboru (zabývá se zpracováním údajů pro komerční účely) musí být schopna povinnost beze zbytku splnit. Prostředky jejího splnění v rozhodnutí nezmínil, ale poukázal na fakt, že poštovní služby, představující pro společnost velmi vysoké náklady, nejsou jediným možným prostředkem pro řádné informování.

Proti tomu společnost namítla, že jiné prostředky pro splnění povinnosti prakticky neexistují, což pro ni znamená nepřiměřené úsilí, jak je definováno v čl. 14/5/b GDPR.

Informace o zpracování osobních údajů mimo jiné musí obsahovat identifikaci správce (společnosti), účelů a právních základů zpracování a v neposlední řadě i poučení o právech, zejména o právu podat námitku. Zhruba 15 % osob informovaných o zpracování podalo námitku. Podle polského úřadu je toto další argument v neprospěch společnosti, protože nedostatečné informování svědčí o citelném zásahu do práv dotčených osob, které by jinak pravděpodobně podaly námitku proti zpracování svých údajů ze strany Bisnode.

Úřad sáhl po pokutě i z důvodu, že společnost neprojevila snahu o odstranění nesouladu a v činnosti hodlá dále pokračovat. Společnost prohlásila, že plnění povinnosti s takto vysokými náklady i pokuta jsou nesmyslné a hodlá se dál bránit u soudu. Podle svých prohlášení je ochotna celou věc vést až před Soudní dvůr Evropské unie.

Otázkou zůstává, co úřad považuje za řádné splnění povinnosti, pokud tím nemá na mysli poštovní služby. Před soudem se tedy bude řešit zajímavý precedent, a sice co je v obdobných případech „nepřiměřené úsilí“ dle čl. 14/5/b GDPR, a co jím ještě není.