fbTrack
REKLAMA
REKLAMA

Firma

Pierwsza kara za RODO: firma przetwarzała dane 6 mln klientów, powiadomili o tym tylko 90 tysięcy

Adobe Stock
Pierwsza firma ukarana za złamanie zasad RODO przetwarzała dane 6 milionów podmiotów, a poinformowała o tym jedynie 90 tysięcy z nich. Dlatego musi zapłacić prawie milion złotych i powiadomić pozostałych.

We wtorek dowiedzieliśmy się więcej o karze 943 tys. zł nałożonej na firmę przetwarzającą ogólnodostępne w Internecie dane - o czym Rzeczpospolita jako pierwsza napisała w poniedziałek.

Czytaj: Pierwsza kara za RODO. Spółka zapłaci milion złotych

Szefowa Urzędu Ochrony Danych Osobowych Edyta Bielak Jomaa podała na wtorkowej konferencji prasowej więcej szczegółów decyzji UODO z 15 marca, choć nazwy ukaranej firmy nie podała. Wiadomo, że chodzi o warszawską spółkę gromadzącą ogólnodostępne w Internecie dane osób prowadzących działalność podane przez nich w CEiDG KRS, GUS, CEPiK, Monitorze Sądowym i Gospodarczym tworzyła z tego bazy danych pozwalające na weryfikację wiarygodności tych podmiotów.

Firma ma zapłacić 943 tys. zł oraz wykonać obowiązek poinformowania wszystkich figurujących w bazie danych o ich posiadaniu i przetwarzaniu – tak by można było się na to zgodzić lub sprzeciwić. Ukarany podmiot ma prawo złożyć skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, ale nie wiemy jeszcze, czy z tego skorzysta. – Czemu właśnie ta firma jest pierwszym ukaranym? Czy to był najbardziej ewidentny przykład? – pytali dziennikarze. – Są bardziej ewidentne, gdybyśmy mieli sobie wybierać z prowadzonych postępowań – odpowiedziała prezes UODO.

Spółka miała dane 6 milionów podmiotów i w związku z wejściem w życie z końcem maja zeszłego roku europejskiego rozporządzenia o ochronie danych osobowych (RODO) powinna dopełnić obowiązku informacyjnego i powiadomić zainteresowanych, że zgromadziła i przetwarza ich dane. Wysłała więc maile do 90 tysięcy firm. Co z pozostałymi 5,9 miliona rekordów? Zamieszczono tylko informację na własnej stronie internetowej. – Firma działa od 25 lat i nigdy skutecznie nie wykonała obowiązku informacyjnego wobec właścicieli wszystkich danych, więc firmy figurujące w rejestrze o tym nie wiedziały, nie mogły się więc temu sprzeciwić – mówiła Edyta Bielak-Jomaa.

Prezes UODO wyjaśniała, że miarkowaniem nakładanej kary zajmował się powołany w jej urzędzie specjalny komitet biorąc pod uwagę 11 przesłanek odnoszących się do skali . Na jej wysokość wpływ miała także postawa firmy gromadzącej dane w czasie postępowania. Jak wyjaśnił jej przedstawiciel, obowiązku informacyjnego wobec 5,9 miliona podmiotów nie wypełniono z uwagi na koszty takiej operacji.

Jak firma powinna wykonać obowiązek informacyjny? – Nie muszą to być listy polecone. Może reklama w telewizji? – dopytywali dziennikarze. – Nie możemy z urzędu udzielać takich wskazówek. Trzeba ocenić skuteczność takiej operacji, zasięg terytorialny reklamy i przede wszystkim gdzie funkcjonują firmy, dane których mamy – mówił dyrektor Piotr Drobek z UODO.

KOMENTARZ

Magdalena Patryas – partner w KSP Legal & Tax Advice

Obowiązek informacyjny jest jednym z podstawowych obowiązków administratora danych osobowych. Unijny prawodawca sporą wagę przykłada do tego, aby osoby fizyczne miały pełnię informacji o tym co i w jakim celu dzieje się z ich danymi osobowymi. Brak takiej informacji uniemożliwia osobie fizycznej skorzystanie z jej praw zagwarantowanych przez RODO. Jednak RODO dopuszcza pewne wyjątki umożliwiające zaniechanie poinformowania osób fizycznych o przetwarzaniu ich danych.

To właśnie na jednym z takich wyjątków – dotyczącym niewspółmiernie dużego wysiłku – oparła swoją praktykę ukarana spółka. Spółka zrealizowała obowiązek informacyjny jedynie wobec osób, które w rejestrze CEIDG miały wpisany adres mailowy – w odniesieniu do pozostałych osób uznano, że wysyłanie wydrukowanej klauzuli informacyjnej stanowi niewspółmiernie duży wysiłek.

Prezes UODO uznała jednak, że w działalności ukaranej spółki ten wyjątek nie znajdzie zastosowania. Prezes UODO nie podzieliła argumentacji spółki, że poinformowanie wszystkich osób, których dane dotyczą wymagałoby udzielenia informacji listami poleconymi, co wiązałoby się z dużymi kosztami. Ze strony Prezesa UODO padła nawet sugestia, aby obowiązek informacyjny w tej sytuacji spełnić za pośrednictwem listów zwykłych.

W konsekwencji Prezes UODO wymierzyła karę w wysokości niemal jednego miliona złotych. Co prawda górna granica kary pieniężnej wymierzanej na podstawie przepisów RODO jest zdecydowanie wyższa, jednak wydaje się, że za tego typu naruszenie wysokość kwoty jest znaczna. W naszej ocenie podyktowana była ona jednak po pierwsze skalą działalności administratora, a po drugie – względami prewencji ogólnej. Kary w myśl RODO mają być bowiem nie tylko proporcjonalne, ale także skuteczne i odstraszające.

Pamiętać także należy, że decyzja o nałożeniu kary pieniężnej podlega zaskarżeniu. Nie można wykluczyć, że przedmiotowa decyzja zostanie zaskarżona, a sąd oceni, czy i w jakiej wysokości należało spółce wymierzyć karę.

Nałożenie pierwszej kary pieniężnej przez Prezes UODO może być sygnałem, że okres „ochronny” się skończył i kolejne postępowania prowadzone przez Prezesa UODO mogą zakończyć się karami,

Źródło: rp.pl
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA