RODO
Monitoring GPS w pojazdach służbowych
Czytaj więcej...
Realizacja obowiązków AML w dealerstwie - wdrożenie procedury przeciwdziałania praniu brudnych pieniędzy
RODO
Małgorzata Miller / 10.05.2019
Decyzją z dnia 15 marca 2019 r. Prezes Urzędu Ochrony Danych Osobowych, po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez spółkę z ograniczoną odpowiedzialnością, stwierdziła naruszenie przepisów art. 14 ust. 1-3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej jako RODO.
Zdaniem organu nadzorczego naruszenie polegało na niepodaniu informacji zawartych w art. 14 ust. 1 i 2 ww. rozporządzenia wszystkim osobom fizycznym, których dane osobowe spółka przetwarza, prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalności. Za złamanie przepisów RODO Prezes Urzędu Ochrony Danych Osobowych nałożyła administracyjną karę pieniężną w wysokości 943 470,00 zł.
Kontrolą objęto przetwarzanie przez spółkę danych osobowych pozyskiwanych ze źródeł publicznie dostępnych, w tym z rejestrów publicznych, m.in. Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, Centralnej Ewidencji i Informacji o Działalności Gospodarczej, Bazy REGON Głównego Urzędu Statystycznego. Z tych danych spółka tworzyła bazy danych pozwalające na weryfikację wiarygodności podmiotów. Przedsiębiorcy, którzy podali w rejestrach swoje adresy mailowe otrzymali obowiązek informacyjny w drodze korespondencji elektronicznej (ok. 680 000 osób). Pozostałym przedsiębiorcom spółka nie wysyłała listów na papierze, gdyż jej zdaniem wymagałoby to niewspółmiernie dużego wysiłku (tzn. konieczność oddelegowania pracowników i zasobów rzeczowych – komputerów, urządzeń biurowych – do realizacji wyłącznie tego zadania), a koszty operacji (druku, przygotowania do wysyłki i nadania, papieru, toneru, kopert, znaczków pocztowych, obsługi zwrotów korespondencji) wyniosłyby ponad 33 749 175,00 zł.
Obowiązek informacyjny dla pozostałych spółka opublikowała na swojej stronie internetowej. Ponadto, spółka wskazywała, że stosuje wysokiej klasy zabezpieczenia techniczne oraz organizacyjne, w tym wdrożone procedury i instrukcje dla pracowników zapewniające bezpieczeństwo przetwarzania danych. Dodatkowo, spółka powołała się na decyzję Generalnego Inspektora Ochrony Danych Osobowych który w analogicznej sprawie stwierdził, że obowiązek informacyjny istnieje, a odpowiednim środkiem służącym jego realizacji było zamieszczenie wymaganych informacji na stronie internetowej spółki będącej administratorem danych.
To pierwszy milion złotych kary za naruszenie przepisów RODO. Tym samym Prezes Urzędu Ochrony Danych Osobowych wyraźnie zaznaczyła, że nie ma zgody na takie traktowanie osób prowadzących działalność gospodarczą. Spółka została zobowiązana do wysłania listów do osób, które nie zostały wówczas poinformowane o fakcie, że ich dane są przetwarzane i to w terminie trzech miesięcy od dnia wydania decyzji. Istnieje jednak duże prawdopodobieństwo, że spółka odwołała się już od przedmiotowej decyzji do sądu administracyjnego. Wszczęcie procesu wstrzyma wykonanie decyzji aż do czasu wydania prawomocnego wyroku przez sąd.
W uzasadnieniu decyzji Prezes Urzędu Ochrony Danych Osobowych podkreśliła, że stwierdzone naruszenie ma charakter poważny, bowiem dotyczy podstawowych praw i wolności osób, których dane spółka przetwarza, narusza również podstawową w odniesieniu do przetwarzania danych osobowych zasadę rzetelności i przejrzystości. Brak spełnienia obowiązku wynikającego z art. 13 i 14 RODO spowodował, że osoby, których dane były przetwarzane, nie mogły zrealizować praw wynikających z przepisów RODO, choćby żądania usunięcia danych czy też ich sprostowania. Fakt, że opublikowanie informacji na stronie internetowej nie było wystarczające, potwierdza reakcja aż 12 tysięcy osób, które złożyło sprzeciw wobec przetwarzania danych w celach marketingowych (na 90 tysięcy osób).
Nałożona na spółkę administracyjna kara pieniężna okazała się kontrowersyjna, podzieliła środowisko ekspertów i niewątpliwie ma precedensowy charakter. Prezes Urzędu Ochrony Danych Osobowych wielokrotnie w uzasadnieniu decyzji podkreśliła, że działania spółki były świadome, motywowane chęcią uniknięcia dodatkowych nakładów finansowych. Z uwagi na fakt, iż stwierdzone naruszenie nie miało związku z wdrożeniem i jakością stosowanych przez spółkę środków organizacyjnych i technicznych, Prezes odstąpiła od ustalenia stopnia odpowiedzialności administratora (spółki).
Na koniec warto zaznaczyć, że artykuł 13 RODO reguluje obowiązek informacyjny spełniany w przypadku pierwotnego pozyskiwania danych od osoby, której dane dotyczą, natomiast artykuł 14 RODO odnosi się do obowiązku informacyjnego realizowanego w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą. Adresatem obowiązku informacyjnego jest administrator, który powinien się wykazać należytą starannością w zakresie przekazywania osobie, której dane dotyczą informacji o zasadach przetwarzania jej danych. Zatem, działa aktywnie, bez wniosku lub jakiegokolwiek innego żądania czy inicjatywy osoby, której dane dotyczą, pamiętając, że przekazanie informacji powinno nastąpić w czasie pozyskiwania danych, podczas tej czynności, nie następczo, kiedy dane zostaną już zebrane.