Pierwsza kara za naruszenie RODO. I od razu prawie milion złotych

Ponad 943 tys. zł kary za niespełnienie obowiązku informacyjnego dotyczącego przetwarzania danych nałożył na spółkę Urząd Ochrony Danych Osobowych. To pierwsza kara UODO po wejściu w życie RODO.

Ukarana spółka dane pozyskuje ze źródeł publicznie dostępnych m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG). UODO uznał, że nie dopełniła ona obowiązku informacyjnego. Co to oznacza w praktyce? - Osoby, których dane były przetwarzane, nie mogły zrealizować praw wynikających z przepisów RODO, choćby żądania usunięcia danych czy też sprostowania danych osobowych - powiedziała prezes UODO Edyta Bielak-Jomaa. Jak mówiła, z postępowania wynika, że firma miała świadomość konieczności poinformowania o fakcie przetwarzania danych.

- W przypadku spółki, o której dzisiaj mówimy, sprawa dotyczy ponad 6 mln rekordów, a obowiązek informacyjny został spełniony wobec ok. 90 tys. osób, do których spółka wysłała korespondencję drogą elektroniczną - podkreślił Piotr Drobek z UODO. Urząd tłumaczy, że spółka z tymi, których maili nie miała, w ogóle się nie kontaktowała. Zamieściła tylko informację na swojej stronie internetowej, co zdaniem Urzędu jest niewystarczające. Spółka broniła się, że koszt listów poleconych, jakie musiałaby wysłać do pozostałych osób, byłby bardzo wysoki. Jednak zdaniem Prezes UODO przepisy nie nakładają na administratora obowiązku wysyłania listów poleconych.

Co ciekawe, spośród 90 tys. osób, które spółka poinformowała o przetwarzaniu ich danych, ponad 12 tys. zgłosiło sprzeciw wobec dalszego ich przetwarzania w celach marketingowych. Jak dodał Piotr Drobek, RODO nie dopuszcza wyłączeń odnośnie ochrony danych osobowych dotyczących osób fizycznych prowadzących działalność gospodarczą. - W tej konkretnej sprawie ok. 3 mln rekordów dotyczyło osób, które nie prowadzą już działalności gospodarczej, czyli osób, które już nie są aktywnymi przedsiębiorcami - powiedział.

Prezes UODO, podejmując decyzję o nałożeniu kary i ustalając jej wysokość, musi wziąć pod uwagę 11 czynników. Znaczenie ma więc m.in. liczba poszkodowanych osób, rozmiar poniesionej przez nie szkody, cel i zakres przetwarzania danych, których dotyczyło naruszenie, nieumyślny lub umyślny jego charakter, działania naprawcze, współpraca z Urzędem, a także czy ochrona danych jest brana pod uwagę już na etapie projektowania produktu czy usługi oraz czy dane były chronione zarówno od strony technicznej, jak proceduralnej.

Ustawa o ochronie danych osobowych, dostosowująca polskie prawo do przyjętego w maju 2016 r. przez UE ogólnego rozporządzenia o ochronie danych osobowych (RODO), weszła w życie 25 maja 2018 r. RODO przewiduje kary za naruszenie prawa do ochrony danych - do 20 mln euro lub 4 proc. całego obrotu firmy. Europejscy odpowiednicy UODO nałożyli już wysokie kary na firmy naruszające dane osobowe: np. w styczniu tego roku francuski organ ochrony danych osobowych CNIL nałożył na Google grzywnę w wysokości 50 mln euro za naruszanie przepisów RODO przy pozyskiwaniu zgody użytkowników na profilowanie marketingowe w oparciu o ich dane.

DOSTĘP PREMIUM