W ostatnich dniach znowu zrobiło się głośno na temat RODO i wynikających z przedmiotowego rozporządzenia obowiązków oraz – w zasadzie co dla większości najważniejsze – kar grożących za ich nie wykonanie. Prezes Urzędu Ochrony Danych Osobowych (UODO) dnia 25 marca poinformował, iż na pewną firmę została nałożona kara pieniężna w wysokości 220 tysięcy euro, tj. 943.500,00 złotych. Ukarana firma zajmowała się dostarczaniem informacji o kontrahentach pozyskanych ze źródeł publicznych (Centralnej Ewidencji i Informacji  Działalności Gospodarczej). Kara została nałożona przez Prezes UODO ze względu, iż nie wszystkie osoby, których dane osobowe firma pozyskała zostały poinformowane o fakcie przetwarzania tych danych. Firma spełniła obowiązek informacyjny jedynie do osób, których adresu email posiadała. Do pozostałych zaś osób z uwagi na zbyt wysokie koszty (wysyłki listów poleconych) obowiązek ten nie został spełniony.

Podkreślić należy, iż obowiązek ten nie został spełniony do blisko sześciu milionów osób. Faktem jest, że spełnienie obowiązku informacyjnego w stosunku do tak znacznej liczby osób mogłoby wiązać się ze sporymi kosztami po stronie spółki, a pamiętać musimy, iż zgodnie z treścią artykułu 14 ust. 5b obowiązek informacyjny nie musi zostać spełniony w przypadku, gdy wymagałoby to niewspółmiernie dużego wysiłku. Taka właśnie linię obrony przyjęła ukarana spółka. Co więcej, warto przypomnieć, że istnieją też poglądy według, których obowiązek informacyjny w przypadku danych pozyskanych z publicznych baz nie obowiązuje. 

W sprawie tej przede wszystkim Prezes UODO wskazał, iż nie ma wymogu, aby obowiązek informacyjny został spełniony poprzez wysłanie listu poleconego. Równie dobrze może być on spełniony za pomocą listu zwykłego czy nawet SMS. Ponadto Prezes wskazał również, że obowiązek taki może zostać spełniony poprzez emisję takiej informacji w telewizji czy publikację w prasie. Biorąc pod uwagę zaproponowane przez Prezesa UODO rozwiązania można zastanowić się nad tym czy w przypadku ich zastosowania będzie możliwe wykazanie, iż wymóg informacyjny został spełniony. Zaznaczyć trzeba, że nie ma wówczas żadnej pewności, że wiadomość ta trafiła do osoby, której dane są przetwarzane.

Co prawda RODO pozwala takie „ustępstwa” jak wynikają z wspomnianego wcześniej artykułu 14 ust. 5b jednak, aby móc stwierdzić czy taki przypadek zachodzi w danej sytuacji lub czy zastosowane przez naszą firmę sposoby są odpowiednie uprzednio powinna zostać przeprowadzona analiza ryzyka. W trakcie jej przeprowadzania w szczególności należy wziąć pod uwagę czy zastosowanie określonych środków nie spowoduje powstania ryzyka naruszenia praw lub wolności wynikających z rozporządzenia. W tym kontekście istotny jest pogląd Prezesa UODO, w którym podkreślił, iż nie spełnienie obowiązku informacyjnego może stanowić źródło ryzyka – osoba nie poinformowana traci możliwość dochodzenia swoich praw.  Sporządzona prawidłowo analiza ryzyka może więc pomóc odpowiedzieć na pytanie czy zastosowane środki są wystarczające.

Pamiętać jednak należy, iż same przepisy rozporządzenia czy też stanowisko UODO nie dadzą jednoznacznej odpowiedzi w jaki sposób w konkretnej sytuacji spełnić obowiązek informacyjny. Jego spełnienie w dużej mierze zależne jest od konkretnej sytuacji. Oczywiście spełnienie tego obowiązku może być problematyczne wtedy, gdy jesteśmy już w posiadaniu danych osobowych. Problem taki raczej nie występuje natomiast co do zasady w momencie, gdy dopiero pozyskujemy dane i to bezpośrednio od osób, których te dane dotyczą.