Milion złotych za RODO – czyli pierwsza w Polsce kara za naruszenie przepisów o ochronie danych osobowych

Pierwsza w Polsce kara za RODO

PIERWSZA W POLSCE KARA ZA RODO

Jak donoszą wszystkie polskie media, w ślad za komunikatem Prezesa Urzędu Ochrony Danych, stało się nieuniknione. Karę w wysokości niespełna miliona złotych nałożył na spółkę Urząd Ochrony Danych Osobowych za niespełnienie obowiązku informacyjnego dotyczącego przetwarzania danych – poinformowała wczoraj prezes Urzędu Edyta Bielak-Jomaa.

To pierwsza tego typu kara po wejściu w życie przepisów RODO w Polsce. Mimo, że nazwa ukaranej firmy nie została podana, wiemy, że chodzi o warszawską spółkę, która w oparciu o ogólnodostępne dane osób prowadzących działalność gospodarczą, tworzyła bazy danych pozwalające na weryfikację ich wiarygodności.

NIESPEŁNIENIE OBOWIĄZKU INFORMACYJNEGO

W przypadku wspomnianej spółki sprawa dotyczy ponad 6 mln rekordów, z czego obowiązek informacyjny został spełniony jedynie wobec 90 tys. osób, do których wysłano korespondencję drogą elektroniczną. Z pozostałymi, których adresu mailowego firma nie miała, nie kontaktowała się w ogóle, ograniczając się do umieszczenia informacji na swojej stronie internetowej – co jak widzimy okazało się być niewystarczające.

Niedopełnienie obowiązku o którym mowa w 14 RODO skutkowało tym, że osoby, których dane były przetwarzane, de facto, nie mogły zrealizować praw wynikających z przepisów RODO, choćby żądania usunięcia danych czy też sprostowania danych osobowych co m.in. podniesiono w uzasadnieniu decyzji.

DLACZEGO OBOWIĄZEK INFORMACYJNY JEST TAK ISTOTNY?

Nie jest dla nas żadnym zaskoczeniem, że gigantyczna kara została nałożona właśnie za uchybienie związane z niedochowaniem obowiązku informacyjnego. Obowiązek informacyjny jest często bagatelizowany i traktowany jako nieistotny, względnie – niepotrzebne utrudnienie wymyślone zza biurek eurokratów. Nic jednak bardziej mylnego. Jest on w zasadzie podstawowym elementem umożliwiającym zapewnienie należytej ochrony danych osobowych.

Jak wynika z komunikatu, spółka pozyskiwała dane osobowe z Internetu – z ogólnodostępnych rejestrów przedsiębiorców takich jak CEIDG czy KRS. Na naszych szkoleniach jak i przy okazji prowadzonych przez nas wdrożeń RODO, powtarzamy że nie ma to jednak znaczenia. RODO z zakresu swojej ochrony nie wyłącza danych pozyskanych z tego typu źródeł.

Obowiązkowi informacyjnemu poświeciliśmy kilka słów w tym artykule. Generalnie Administrator Danych Osobowych powinien wykonać obowiązek informacyjny podczas pozyskania danych osobowych. W motywie 61. RODO wskazano, że „informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych”.  Zasadą jest zatem, że Administrator powinien wykonać swój obowiązek w każdym wypadku, kiedy pozyskuje dane.

NIEWSPÓŁMIERNIE DUŻY WYSIŁEK

Obowiązek informacyjny może zostać wyłączony tylko w sytuacji kiedy jego wykonanie jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Prezes UODO zauważył, że zbierając dane kontaktowe, samo przez się, umożliwiamy sobie kontakt z osobą fizyczną, której dane przetwarzamy. Spór będzie dotyczy zatem wykładni (interpretacji) przesłanki „niewspółmiernie dużego wysiłku”. Jako pojęcie nieostre obie strony sporu (przedsiębiorca i urząd) mają wiele możliwości interpretacyjnych.

Wyrok Sądu Administracyjnego, zapadły w tej sprawie na pewno będzie zawierał istotne poglądy w tej materii, które niejako ukształtują rozstrzygnięcia w kolejnych sprawach.

 

W razie jakichkolwiek pytań pozostajemy do dyspozycji:

    Wyrażam zgodę na przetwarzanie moich danych osobowych podanych w ww. formularzu oraz w przesłanych przeze mnie dokumentach. (wymagane)

    Administratorem Państwa danych osobowych jest Fundacja ENTROPIA (ul. Kopernika 6, 43-600 Jaworzno). Dane osobowe podane w formularzu będą przetwarzane wyłącznie w celu udzielenia odpowiedzi na przesłane zapytanie (podstawą przetwarzania danych jest Państwa zgoda wyrażana poprzez wysłanie zapytania). Podanie danych jest dobrowolne, ale niezbędne w celu udzielenia odpowiedzi.

    Państwa dane osobowe będą przechowywane przez okres nie dłuższy niż to konieczne do udzielenia odpowiedzi. Mają Państwo prawo dostępu do tych danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, wniesienia sprzeciwu wobec ich przetwarzania oraz prawo wniesienia skargi do organu nadzorczego.