Pierwsza kara za naruszenie RODO nieuzasadniona? Ekspert: Mnie urząd nie przekonał

W świadomości publicznej jest więcej bardziej oczywistych naruszeń, jak wycieki danych ze spółek czy sklepów internetowych - tak pierwszy przypadek kary za RODO ocenił w TOK FM dr Paweł Litwiński, specjalista w dziedzinie ochrony danych osobowych.
Zobacz wideo

Ponad 943 tys. zł kary za niespełnienie obowiązku informacyjnego dotyczącego przetwarzania danych nałożył na jedną ze spółek Urząd Ochrony Danych Osobowych. To pierwsza kara UODO po wejściu w życie RODO. Ukarana spółka dane pozyskuje ze źródeł publicznie dostępnych, m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG). UODO uznał, że nie dopełniła ona obowiązku informacyjnego. Co to oznacza w praktyce? - Osoby, których dane były przetwarzane, nie mogły zrealizować praw wynikających z przepisów RODO, choćby żądania usunięcia danych czy też sprostowania danych osobowych - powiedziała prezes UODO Edyta Bielak-Jomaa. Jak mówiła, z postępowania wynika, że firma miała świadomość konieczności poinformowania o fakcie przetwarzania danych.

Dr Paweł Litwiński, adwokat, specjalista w dziedzinie ochrony danych osobowych, wyjaśniał w Analizach TOK FM, że ta świadomość, że ktoś przetwarza nasze dane, to podstawa efektywnej ich ochrony. - Bo, gdy o tym nie wiemy, nie możemy się temu skutecznie sprzeciwić - wyjaśniał przedstawiciel Instytutu Allerhanda w Krakowie

Prowadząca program Agata Kowalska przypomniała, że ukarana spółka nie zgadza się z decyzją urzędu. - Broniła się, że kosztowałoby ją niewspółmiernie dużo wysiłku, gdyby musiała te osoby poinformować. Bo nie miała ich maili, więc musiałaby wysłać im papierowe listy – powiedziała Kowalska.

Dr Litwiński ocenił, że tego rodzaju klauzula generalna, o niewspółmiernie dużym wysiłku, to "piękno i przekleństwo RODO". - Temu rozporządzeniu bliżej jest do brytyjskiego systemu prawnego, gdzie trzeba wyważyć interesy obu stron. RODO mówi, że nie ma obowiązku informowania, jeżeli jego koszty i wysiłek byłyby nie współmierne do tego rezultatu, który byłby osiągnięty wskutek doinformowania. Co te firmy by otrzymały? Informacje, że jakaś spółka ma ich dane, które są jawne w internecie. Przedsiębiorca to co innego niż konsument – tłumaczył ekspert.

Jak przyznawał, UODO mógł "zrobić to inaczej". - W świadomości publicznej jest więcej bardziej oczywistych naruszeń, jak wycieki danych ze spółek czy sklepów internetowych. Można było wybrać mniej kontrowersyjną sprawę i nawet nałożyć większą karę. Można była znaleźć bardziej oczywisty przypadek i nie narazić się na taką dyskusję. To zrobiłoby więcej dobrego dla ochrony prywatności - ocenił dr Paweł Litwiński.

- Czy w tej decyzji UODO jest uzasadnienie, które jakoś odnosi się do przepisu o niewspółmiernym wysiłku, które tłumaczyłoby, dlaczego urząd nie zastosował w tym przypadku tego wyjątku? - dopytywała eksperta Agata Kowalska. 

Dr Litwiński odpowiedział, że jest tam tylko zdanie oznajmujące, że "zdaniem urzędu taki przypadek nie zachodzi". - To niedobrze, bo urząd ma obowiązek prawny "przekonywania", mnie urząd nie przekonał - podsumował ekspert. 

Jak podkreślił, karę trzeba będzie zapłacić dopiero, jeśli się uprawomocni. Spółka może odwołać się od niej do sądu.

Chcesz wiedzieć więcej? Posłuchaj podcastu!

DOSTĘP PREMIUM