Reklama

UODO: Blisko 1 mln zł kary za niedopełnienie obowiązku informacyjnego
środa, 27 marca 2019 10:27

Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożyła pierwszą sankcję za niedopełnienie obowiązku informacyjnego. Ukarany podmiot będzie musiał zapłacić ponad 943 tys. zł.

- Administrator miał świadomość o ciążącym na nim obowiązku informacyjnym. Stąd decyzja o nałożeniu na ten podmiot kary w tej wysokości - podkreśliła prezes UODO dr Edyta Bielak-Jomaa. Wiele osób, których dane przetwarzała ukarana spółka, nie zostało o tym powiadomionych przez administratora, wskutek czego, zdaniem Urzędu, odebrano im możliwość skorzystania z praw przysługujących na gruncie RODO. Osoby te nie mogły zatem np. sprzeciwić się dalszemu przetwarzaniu ich danych, żądać ich sprostowania czy usunięcia.

Prezes UODO uznała, że stwierdzone naruszenie ma poważny charakter, gdyż dotyczy podstawowych praw i wolności osób, których dane przetwarza spółka, oraz jednej z podstawowych kwestii, jaką jest informacja o tym, że dane są przetwarzane. Według Urzędu, nałożenie kary pieniężnej było niezbędne, gdyż administrator nie przestrzega przepisów prawa.

Spółka nie dopełniała obowiązku informacyjnego w stosunku do ponad 6 mln osób. Spośród około 90 tys. osób, które spółka poinformowała o przetwarzaniu danych, ponad 12 tys. wniosło sprzeciw wobec przetwarzania ich danych. Pokazuje to, jak ważne jest prawidłowe spełnienie obowiązków informacyjnych dla realizacji uprawnień przysługujących nam zgodnie z RODO. – wyjaśnił Piotr Drobek, dyrektor Zespołu Analiz i Strategii UODO.

Decyzja prezes Urzędu dotyczyła postępowania związanego z działalnością spółki, która przetwarzała dane osób pozyskane ze źródeł publicznie dostępnych, m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG), i przetwarzała je w celach zarobkowych. Organ weryfikował niedopełnienie obowiązku informacyjnego wobec osób fizycznych prowadzących działalność gospodarczą – przedsiębiorców, którzy aktualnie ją prowadzą bądź tę działalność zawiesili, jak i o tych, którzy prowadzili ją w przeszłości. Administrator spełnił obowiązek informacyjny, podając informacje wymagane przepisami art. 14 ust. 1-3 RODO jedynie wobec tych osób, do których miał adresy e-mail. W przypadku pozostałych osób tego nie zrobił – jak sam to wyjaśniał w toku postępowania – z uwagi na wysokie koszty takiej operacji. Dlatego jedynie na swojej stronie internetowej zamieścił klauzulę informacyjną.

W ocenie UODO, takie działanie było niewystarczające – mając dane kontaktowe do poszczególnych osób, powinien spełnić wobec nich obowiązek informacyjny, poinformować m.in. o swoich danych, skąd ma dane tych osób, w jakim celu i jak długo zamierza je przetwarzać oraz o przysługujących osobom prawach na gruncie RODO. Zdaniem prezes Urzędu, przepisy nie nakładają na administratora obowiązku wysłania takiej korespondencji listem poleconym, co argumentowała spółka jako usprawiedliwienie niewykonania kosztownego obowiązku. W niniejszej sprawie podmiot dysponował adresami korespondencyjnymi i numerami telefonów, a zatem mógł spełnić obowiązek informacyjny wobec osób, których dane przetwarza. Dlatego sprawę tę należy odróżniać od innej, rozstrzyganej przez GIODO kilka lat temu, kiedy inna spółka takimi adresami nie dysponowała.

Prezes UODO uznała, że naruszenie administratora miało charakter umyślny, ponieważ – jak ustalono w toku postępowania – spółka miała świadomość istnienia obowiązku podania stosownych informacji, jak i konieczności bezpośredniego informowania osób. Wymierzając karę, organ wziął pod uwagę również fakt, że administrator nie podjął żadnych działań zmierzających do usunięcia naruszenia ani nie zadeklarował takiego zamiaru.

- Niestety decyzja UODO kontynuuje obrany przed 20 laty kierunek ochrony danych osobowych w Polsce – skomentował w rozmowie z MarketNews24 Maciej Mackiewicz, adwokat, szef Praktyki Nowych Technologii, w kancelarii Kochański i Partnerzy. – Formalne spełnienie części obowiązków jest bardzo ważne, jednak z praktycznego punktu widzenia nie zwiększa ono poziomu bezpieczeństwa przetwarzania danych osobowych w Polsce. Niefortunnie Urząd z całej problematyki wybrał na pierwszą dość symboliczną karę sprawę nie dotyczącą najistotniejszych problemów w tym obszarze, jak na przykład handel „lewymi” bazami danych – dodał.
(AM, źródło: UODO, MarketNews24)

 

Rynek ubezpieczeń: Wiener TU zamiast Gothaer TU

Po prawie siedmiu latach z polskiego rynku ubezpieczeń znika marka Gothaer. Za kilka tygodni przejęte przez Vienna Insurance Group towarzystwo...


czytaj dalej

Aviva TUnŻ: Mariusz Grendowicz przewodniczącym rady nadzorczej

Mariusz Grendowicz został powołany na przewodniczącego rady nadzorczej Aviva TUnŻ. To pierwszy niezależny członek RN firmy w Polsce, który objął...


czytaj dalej

Lloyd’s: Plan przechodzenia na platformę elektroniczną

Ubezpieczyciele z rynku Lloyd’s of London przenieśli już 45% swojego biznesu na platformę elektroniczną, wyprzedzając plan.

Branża...


czytaj dalej

Insurance Europe: Frédéric de Courtois wiceprezesem nowej kadencji

Frédéric de Courtois, dyrektor generalny Grupy Generali, został wybrany 22 maja na trzyletnią kadencję na stanowisku wiceprezesa Insurance Europe....


czytaj dalej

Warta odstępuje od oferowania PPK

Na nieco ponad miesiąc przed startem Pracowniczych Planów Kapitałowych z uczestnictwa w programie wycofała się jedna z firm zarejestrowanych już w...


czytaj dalej

Rynek ubezpieczeń: Powódź zalewa południową Polskę

Kilka dni intensywnych opadów deszczu sprawiło, że Polska, zwłaszcza południowa, zaczęła zmagać się z nadmiarem wody. Doszło już do kilkuset...


czytaj dalej

 

Adres redakcji

ul. Bracka 3 lok. 4
00-501 Warszawa

email redakcja@gu.com.pl

Gazeta

Prenumerata
E-wydanie

Firma

Redakcja
Reklama

Ogłoszenia

Podcast

Zamów newsletter
Facebook