Znajdź nas:

Zadzwoń teraz! + 48 58 880 88 80

Pierwsza kara RODO – milion złotych

Prezes Urzędu Ochrony Danych Osobowych nałożyła pierwszą karę pieniężną- 943 tys. złotych.

 

Co było powodem tak drastycznej w skutkach decyzji? Sprawa wydaje się banalna – firma nie dopełniła obowiązku informacyjnego względem osób fizycznych prowadzących działalność gospodarczą, których dane przetwarzała. Czy na pewno banalna?

rodo pierwsza kara milion złotych

 

Jak wyjaśniał Piotr Drobek, Dyrektor Zespołu Analiz i Strategii w UODO – „Spółka nie dopełniała obowiązku informacyjnego w stosunku do ponad 6 mln osób.  Spośród około 90 tys. osób których spółka poinformowała o przetwarzaniu danych ponad 12 tys. wniosło sprzeciw wobec przetwarzania ich danych. Pokazuje to jak ważne jest prawidłowe spełnienie obowiązków informacyjnych dla realizacji uprawnień przysługujących nam zgodnie z RODO.”

 

Przy takiej skali przetwarzania danych osobowych – nawet tych dostępnych w publicznych rejestrach – oraz jednoczesnym posiadaniu świadomości istnienia obowiązku informacyjnego, administrator danych osobowych w opinii UODO zasłużył na taki właśnie wymiar kary. Należy zrozumieć też, iż ADO prowadził działalność zarobkową z wykorzystaniem tych danych, dlatego też kluczowe było w tym przypadku powiadomienie osób, których dane dotyczą, że ich dane są przetwarzane w takim właśnie celu.

 

Dlaczego administrator danych nie dopełnił obowiązku informacyjnego, pomimo że o tym wiedział?

 

Z informacji udostępnionych przez UODO wynika, iż administrator nie dopełnił obowiązku informacyjnego ze względu na wysokie koszty takiej operacji (powołując się na niewspółmiernie duży wysiłek, wynikający z Art. 14, pkt. 5, lit. b) RODO). Nie można nie przyznać mu racji – koszt takiej operacji mógł wynieść nawet kilka milionów złotych, jednakże 12 tysięcy sprzeciwów na 90 tysięcy wysłanych klauzul informacyjnych RODO, daje wartość ponad 13%! Jeżeli podobny efekt dałoby wysłanie klauzul w formie listownej do 6 milionów obywateli, otrzymalibyśmy astronomiczną liczbę 800 tysięcy skarg tej formy przetwarzania.

 

 

W ocenie Prezes UODO „takie działanie było niewystarczające – mając dane kontaktowe do poszczególnych osób powinien spełnić wobec nich obowiązek informacyjny, poinformować m.in. o: swoich danych, skąd ma dane tych osób, w jakim celu i jak długo zamierza je przetwarzać oraz o przysługujących osobom prawach na gruncie RODO. Wymierzając karę, organ wziął pod uwagę również fakt, że administrator nie podjął żadnych działań zmierzających do usunięcia naruszenia ani nie zadeklarował takiego zamiaru.”

 

Jak brzmi Artykuł 14 RODO, w którym istnieje zapis o niewspółmiernie dużym wysiłku?

1. Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:

a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

c) cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;

d) kategorie odnośnych danych osobowych;

e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

2. Poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:

a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

c) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

e) informacje o prawie wniesienia skargi do organu nadzorczego;

f) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;

g) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

3. Informacje, o których mowa w ust. 1 i 2, administrator podaje:

a) w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;

b) jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub

c) jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

4. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

5. Ust. 1– 4 nie mają zastosowania, gdy – i w zakresie, w jakim:

a) osoba, której dane dotyczą, dysponuje już tymi informacjami;

b) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

c) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub

d) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

 

W dzisiejszych czasach każda firma przetwarza jakieś dane osobowe, np. kontrahentów, klientów, pracowników. Prowadząc biznes w Europie, trzeba liczyć się z RODO (z ang. GDPR), gdyż bagatelizowanie tych przepisów może wiązać się z surowymi karami (do 20 milionów Euro lub 4% rocznego obrotu światowego). Dlatego ważne jest zarówno porządne wdrożenie RODO, jak i dalsza obsługa przyjętych procedur w przedsiębiorstwie.

Top