Milionowa kara za RODO

opublikowano: 26-03-2019, 22:00

Prezes UODO nie ujawnia nazwy spółki, na którą nałożyła sankcję. Według organu, firma przetwarzała dane z CEIDG, świadomie naruszając obowiązek informacyjny

Ponad 943 tys. zł — tyle wynosi pierwsza kara pieniężna nałożona przez prezes Urzędu Ochrony Danych Osobowych (UODO), dr Edytę Bielak-Jomaę, ogłoszona wczoraj oficjalnie. Powodem było niedopełnienie obowiązku informacyjnego wynikającego z unijnego rozporządzenia o ochronie danych osobowych (RODO), stosowanego w krajach UE, w tym w Polsce, od 25 maja ubiegłego roku. Szefowa urzędu nie podała jednak ani nazwy ukaranego podmiotu, ani czym dokładnie się on zajmuje. — Według naszych informacji jest to jedna ze spółek, która agreguje i sprzedaje przedsiębiorstwom dane z państwowych rejestrów, m.in. KRS i CEIDG — twierdzi nasze źródło.

UODO w swojej decyzji nie wskazał ukaranej spółce, w jaki sposób powinna dotrzeć do zainteresowanych z informacjami o przetwarzaniu ich danych. — Trudno, aby organ z urzędu decydował za administratora o tym, w jakiej formie ma on spełnić obowiązek informacyjny. To on wie, jakie dane przetwarza i których podmiotów. Wybór sposobu należy do niego. To wynika m.in. z zasady rozliczalności określonej w RODO — wyjaśnia dr Edyta Bielak-Jomaa, prezes UODO
Zobacz więcej

WYBÓR ADMINISTRATORA:

UODO w swojej decyzji nie wskazał ukaranej spółce, w jaki sposób powinna dotrzeć do zainteresowanych z informacjami o przetwarzaniu ich danych. — Trudno, aby organ z urzędu decydował za administratora o tym, w jakiej formie ma on spełnić obowiązek informacyjny. To on wie, jakie dane przetwarza i których podmiotów. Wybór sposobu należy do niego. To wynika m.in. z zasady rozliczalności określonej w RODO — wyjaśnia dr Edyta Bielak-Jomaa, prezes UODO Fot. WM

Na tapecie 6 mln rekordów

W oficjalnym przekazie prezes UODO potwierdziła, że decyzję o ukaraniu podjęła wobec firmy, która przetwarzała, w celach zarobkowych, dane pozyskane ze źródeł dostępnych publicznie, m.in. z CEIDG, czyli Centralnej Ewidencji i Informacji o Działalności Gospodarczej, do której są wpisywani przedsiębiorcy będący osobami fizycznymi.

— Z naszej perspektywy nie jest istotne ujawnianie nazwy firmy, ale publiczny przekaz o niezbędności spełniania obowiązku informacyjnego wobec osób, których dane są wykorzystywane. To jest dla nich kluczowe. Także dla tych, które są przedsiębiorcami. Poza tym ta akurat sprawa dotyczy informacji ze zbiorów publicznie dostępnych. Zwracamy więc uwagę, że takie dane oczywiście można przetwarzać, ale na określonych zasadach i z dopełnieniem obowiązku informacyjnego — powiedziała dr Edyta Bielak-Jomaa w rozmowie z „Pulsem Biznesu”.

Organ przypomina, że zainteresowani muszą wiedzieć m.in., w jakim celu i jak długo będą przetwarzane ich dane i komu są one udostępniane. Brak takiej wiedzy pozbawia ich możliwości korzystania z prawa do żądania usunięcia danych przez administratora czy ich sprostowania. W ocenie UODO ukarana spółka miała i świadomość takiego obowiązku — co przyznała w postępowaniu prowadzonym przez organ — i możliwość jego spełnienia. Zrobiła to jednak tylko wobec 90 tys. osób, podczas gdy przetwarzaniem objęła 6 mln rekordów z CEIDG, z czego 3 mln dotyczą osób, które już nie prowadzą działalności gospodarczej. Poinformowani zostali ci, których adresy e-mail widnieją w ewidencji. Pozostali nie otrzymali żadnej informacji, chociaż spółka dysponowała ich adresami korespondencyjnymi czy numerami telefonów.

— Tłumaczyła to dużymi kosztami listów poleconych — poinformowała dr Edyta Bielak-Jomaa.

Dodała, że przepisy nie wymagają takiej formy sprostania wymaganiom RODO. W ocenie organu wymagań nie spełnia ogólna informacja podana na stronie internetowej, którą spółka umieściła.

— To nie wystarcza. Zainteresowani musieliby przecież o tym wiedzieć — uzasadniał Piotr Drobek, dyrektor Zespołu Analiz i Strategii w UODO.

Poinformował też, że ponad 12 tys. osób w reakcji na przesłaną informację od spółki złożyło sprzeciw wobec przetwarzania danych w celach marketingowych.

— To pokazuje, jak ważne jest spełnienie obowiązku informacyjnego — dodał.

Podstawy do zaskarżenia

Jak wyjaśniał, na decyzję o ukaraniu i wysokości sankcji wpływa m.in. charakter naruszenia, jego skala (liczba poszkodowanych), zawinienie, czyli świadome działanie niezgodnie z prawem. Prezes UODO uznała, że w tej sprawie było ono umyślne. Wymierzając karę, wzięła też pod uwagę, że spółka nie podjęła żadnych kroków, aby usunąć nieprawidłowości i nie zadeklarowała takiego zamiaru.

— Nałożenie wysokiej kary za to, że spółka, agregująca treści z publicznych baz, nie dotarła z informacją o przetwarzaniu danych do wszystkich osób, jest pewną niespodzianką. W bazie CEIDG część przedsiębiorców podała adresy e-mail, a część tego nie zrobiła. O ile dotarcie do tych pierwszych jest proste, o tyle dotarcie do tych drugich przy pomocy tradycyjnej poczty nie jest ani proste, ani tanie — wymaga olbrzymich nakładów na przesyłki. Mogłoby się więc wydawać, że taka sytuacja wpisuje się w zawarte w rozporządzeniu wyłączenie, zgodnie z którym naruszenia RODO nie są karane, jeśli spełnienie obowiązku informacyjnego jest „niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku”. Prezes UODO zdecydował inaczej, ale bez wątpienia ukarana spółka może znaleźć podstawy do zaskarżenia decyzji do sądu administracyjnego — ocenia Izabela Kowalczuk-Pakuła, partner odpowiedzialna za praktykę ochrony danych osobowych i prywatności w kancelarii Bird & Bird.

Postępowanie przed UODO jest jednoinstancyjne. Ukarana firma ma 14 dni na odwołanie się do sądu. Decyzję o sankcji wydano 15 marca. RODO weszło w życie w 2016 r., a przedsiębiorcy mieli czas na dostosowanie się do zapisów rozporządzenia do maja 2018 r. Niespełna 1 mln zł nałożonej już kary to i tak nie najwyższy możliwy wymiar. UODO może być jeszcze sroższy.

— Maksymalna sankcja za naruszenie przepisów rozporządzenia to 10 mln zł lub 10 proc. globalnych obrotów. Tak wysokiej kary za takie naruszenie jednak jeszcze w Polsce nie było — mówi Izabela Kowalczuk-Pakuła.

Jak poinformowano, obecnie organ prowadzi postępowania w kilku innych sprawach.

Spotkaj się z przedstawicielem UODO podczas konferencji „RODO rok po wdrożeniu” już 15-16 kwietnia 2019 w Warszawie >>>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Marcel Zatoński, Iwona Jackowska

Polecane

Inspiracje Pulsu Biznesu