Mówiąc bez eufemizmów, Roksa to polski portal publikujący ogłoszenia prostytutek, ze zdjęciami, opisami i cenami. Serwis rozesłał do swoich użytkowników ostrzeżenie, w którym pisze, że ktoś powiadomił witrynę, iż ma jej bazę danych. Portal uszczegóławia, że zestawienie zawiera: loginy, hasła, adresy mailowe, adresy IP, listy ogłoszeń, wiadomości wysyłane do administratora serwisu oraz szczegółowe dane przelewów bezpośrednio na konto Roksy.

O kogo chodzi w przypadku tych danych? Zapewne jako użytkowników należy rozumieć zarówno klientów, jak i osoby oraz firmy, które w witrynie umieszczają ogłoszenia seksualne. Ale co ważne, portal zaznaczył, że nie wie, czy faktycznie doszło do włamania. I tu pada kluczowe zdanie: „Jednakże zgodnie z obowiązującymi przepisami informujemy Państwa o zaistniałym incydencie, wskutek którego Państwa dane mogły dostać się w niepowołane ręce”.

Oczywiście chodzi o RODO. Interesujące w sprawie jest to, że gdyby nie było unijnego rozporządzenia obwarowanego wysokimi karami finansowymi, Roksa zapewne nie miałaby powodu ostrzegać internautów o wycieku, który może był, a może go nie było. Ale Urząd Ochrony Danych Osobowych, jeśli baza faktycznie zostałaby upubliczniona, rozliczy właścicieli portalu z tego, jak zabezpieczyli informacje użytkowników oraz czy dołożyli starań, żeby ograniczyć negatywne skutki naruszenia bezpieczeństwa. Stąd trochę osobliwy komunikat, który trafił do skrzynek osób korzystających z usług Roksy.

Ostrożność firm gromadzących dane jest większa niż dotąd, bo europejscy urzędnicy pokazali w ciągu minionego roku, że nowe prawo naprawdę działa. Pierwszą karę zanotowaliśmy także w Polsce. Przy czym jeden szczegół operacji lokalnego UODO wydał mi się osobliwy. Prezes państwowej instytucji Edyta Bielak-Jomaa, ogłaszając karę dla firmy przetwarzającej informacje o przedsiębiorcach, nie podała nazwy spółki ukaranej kwotą blisko miliona złotych. Wcześniej w wielu krajach zapadały analogiczne decyzje i doskonale wiedzieliśmy, że we Francji 50 mln euro zapłaci Google, w Portugalii 400 tys. euro – szpital Barreiro Montijo, a w Wielkiej Brytanii 120 tys. funtów – lotnisko Heathrow. Dlaczego w Polsce UODO ogłosił karę, ale nie powiedział, na kogo ją nałożył? Mogę się tylko domyślać, że prezes urzędu nie chciała piętnować publicznie firmy, a skupić się na problemie. Może.

Jest to jednak odrobinę niezrozumiałe. Swoją drogą ustalenie, kim jest „pierwsza polska ofiara RODO”, nie było zbyt trudne. Chodzi o szwedzką spółkę Bisnode, działającą w Warszawie. Bisnode, nazywane w branży „wywiadownią gospodarczą”, gromadzi dane o przedsiębiorcach, pobierane z publicznych rejestrów takich jak CEIDG. Z ich użyciem tworzy rekordy i opracowania dotyczące ryzyka handlowego. Aż 943 tys. zł stanowi karę za to, że Bisnode nie powiadomił wszystkich, z grona 6 mln przedsiębiorców, których dane przetwarzał. Tymczasem spółka miała wywiązać się z obowiązku informacyjnego tylko wobec 90 tys. osób z kilkumilionowej rzeszy. Przy czym prezes polskiego oddziału szwedzkiej firmy Andrzej Osiński zapewnił w „Gazecie Prawnej”, że e-maile trafiły do blisko miliona osób. Pozostałych nie powiadomiono, bo w publicznym rejestrze nie było adresów elektronicznych, a wysyłka listów okazała się zbyt droga (koszty sięgnęłyby 22–30 mln zł). Osiński dodaje, że Bisnode był kontrolowany pod kątem RODO w dwóch innych krajach i tamtejsi regulatorzy nie stwierdzili naruszenia przepisów.

Z obydwu opisanych przypadków wynika, że firmy muszą bardzo serio i skrupulatnie podchodzić do zarządzania danymi osobowymi. Rzecz jest tym trudniejsza, że przypadek Bisnode pokazuje, iż można próbować wywiązać się z obowiązków, a i tak dostać wysoką karę. Do tego łatwo sobie wyobrazić, że nie każdy istotny niuans jest jasny. Jak dowodziła firma, koszt powiadomienia wszystkich zainteresowanych byłby abstrakcyjnie wysoki (bardziej opłacało się zapłacić karę). A na pytanie dziennikarzy o właściwy sposób przesłania informacji UODO odpowiada: „nie możemy z urzędu udzielać podobnych wskazówek”. Druga strona medalu jest taka, że dotąd w kwestii obrotu prywatnymi danymi panowała wolnoamerykanka, a firmy telemarketingowe pozwalały sobie na niemało bezczelności. Teraz może nie jest idealnie, ale na pewno zmienił się układ sił.