close
Share with your friends
Pierwsza kara za naruszenie RODO

Pierwsza kara za naruszenie RODO

Pierwsza kara za naruszenie RODO | Magdalena Wikarjak

Prezes Urzędu Ochrony Danych Osobowych wydał pierwszą decyzję w sprawie naruszenia ochrony danych osobowych i nałożył karę w wysokości prawie 1 mln zł.

PUODO nałożył karę na spółkę, która zajmuje się tworzeniem baz danych osób prowadzących działalność na podstawie ogólnodostępnych informacji zawartych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej, Krajowym Rejestrze Sądowym, Centralnej Ewidencji Pojazdów i Kierowców, Monitorze Sądowym i Gospodarczym oraz zestawieniach Głównego Urzędu Statystycznego. Dane były oferowane użytkownikom, którzy chcieli zweryfikować wiarygodność tych przedsiębiorców.

Zgodnie z art. 14 RODO, jeżeli danych nie pozyskano od osoby, której dotyczą, administrator zobowiązany jest przekazać informacje na temat przetwarzania danych osobowych takich jak: kategorie przetwarzanych danych, podstawa prawna i cel przetwarzania, informacja o tym, komu są przekazywane oraz o przysługujących prawach. Spółka nie dokonała tego obowiązku wobec dużej części osób, których dane przetwarzała, powołując się na zwolnienie z tego obowiązku przewidziane w RODO, jeżeli jego wykonanie jest niemożliwe lub gdy wiązałoby się z „niewspółmiernie dużym wysiłkiem". Spółka nie wysłała pocztą wymaganych informacji z powodu wysokich kosztów. Poinformowanie wszystkich osób mogłoby ją kosztować nawet 30 mln złotych, stąd też informację spółka zdecydowała się umieścić na swojej stronie internetowej oraz przesłać ją elektronicznie do tych osób, których miała adres mailowy.

PUODO uznał takie działanie za naruszenie RODO. PUODO wskazał, że skoro firma posiada adresy osób fizycznych, to powinna je poinformować, że przetwarza ich dane. Spółka pozyskując dane z CEIDG, ma adres prowadzenia działalności, a czasami nawet numer telefonu. Spółka mogła więc wysłać tradycyjny list czy sms. PUODO uznał, że gdyby firma musiała te dane pozyskiwać celem realizacji obowiązku, dopiero wówczas byłby to niewspółmiernie duży wysiłek, dlatego stwierdził naruszenie przepisów art. 14 ust. 1-3 RODO. Naruszenie powyższych przepisów powodowało, że osoby, których dane były przetwarzane, nie mogły zrealizować praw wynikających z przepisów RODO, choćby żądania usunięcia danych czy też sprostowania danych osobowych.

Decyzja pokazuje, jak dużą uwagę UODO zwraca na spełnianie obowiązku informacyjnego. Należy podkreślić, że niezbędne informacje muszą być przekazane tak, aby osoba, której dotyczą je zrozumiała i znała swoje prawa. Jest to dobry moment dla innych administratorów na zweryfikowanie spełnienia przez nich obowiązku informacyjnego i krytyczne podejście do posługiwania się zwolnieniem z tego obowiązku oraz umieszczaniem klauzul informacyjnych wyłącznie na stronach internetowych. Skutkiem wydanej decyzji może być powszechniejsze wykonywanie obowiązku informacyjnego w formie wiadomości skierowanej bezpośrednio do podmiotów danych jak e-mail, list tradycyjny czy sms.