Pierwsza milionowa kara za naruszenie RODO

Prawie rok po rozpoczęciu stosowania RODO polski organ nadzorczy – dotąd uważany za stosunkowo pobłażliwy – wymierzył pierwszą karę administracyjną na niebagatelną kwotę niemal 950 tysięcy złotych. Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) ukarał w ten sposób warszawską spółkę tworzącą bazy danych przedsiębiorców w oparciu o ogólnodostępne źródła takie jak CEiDG, KRS czy GUS. Powód? Niespełnienie obowiązku informacyjnego w stosunku do osób prowadzących jednoosobowe działalności gospodarcze, których dane znalazły się w bazach ukaranej spółki.

px/2002990
Jaka była przyczyna naruszenia? Oficjalne stanowisko UODO

Ukarana spółka, dysponując zakresem danych przedsiębiorców w postaci również ich danych kontaktowych (takich jak adres prowadzenia działalności, rzadziej adres e-mail), wysłała treść klauzuli informacyjnej w formie elektronicznej wszystkim osobom, których adresami e-mail dysponowała, natomiast w stosunku do reszty – z uwagi na olbrzymią, paromilionową liczbę rekordów i w oparciu o art. 14 ust. 5 RODO, zgodnie z którym administrator danych ma prawo zaniechać obowiązku informacyjnego, gdy okazuje się to „niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku”, – zdecydowała się na zaniechanie wysyłki tradycyjną drogą pocztową, szacując jej potencjalne koszty takiej wysyłki na ok. 30 (!) milionów złotych. Zamiast tego treść klauzuli została opublikowana na stronie internetowej spółki.

Z decyzji UODO wynika, że powyższa sytuacja nie wiąże się w opinii organu nadzorczego z „niewspółmiernie dużym wysiłkiem” dla administratora, w związku z czym przyjęte przez niego rozwiązanie w postaci publikacji klauzuli informacyjnej na stronie należy uznać za niewystarczające. Problematyczne w tym wszystkim jest, że dalej nikt nie jest w stanie nakierować administratorów na właściwe tory i pomóc im w interpretacji tego enigmatycznego określenia. Decyzja UODO jest natomiast jasnym sygnałem, że nawet wielomilionowe koszty nie mieszczą się pod pojęciem przedmiotowego niewspółmiernie dużego wysiłku. 

Podczas konferencji prasowej w 26 marca 2019 r. Urząd zwracał uwagę, że osoby fizyczne, których dane widniały w bazie, nie miały o tym pojęcia i tym samym została im odebrana możliwość korzystania z przysługujących im na gruncie RODO praw. Na poparcie swojego stanowiska i wagi problemu przytoczone zostały dane liczbowe, zgodnie z nimi spółka dysponowała w sumie ok. 6 milionami rekordów, przy czym obowiązek informacyjny został spełniony tylko do 90 tys. osób, którzy udostępnili swój adres e-mail w publicznych rejestrach. Co więcej, w odpowiedzi na wiadomości e-mail od ukaranej spółki aż 12 tysięcy osób zgłosiło sprzeciw wobec przetwarzania ich danych w celach marketingowych. Prezes UODO podkreśliła także, że umyślny charakter działań spółki – która mimo świadomości istnienia obowiązku informacyjnego w stosunku do osób w bazie – jest okolicznością dla administratora obciążającą, tak samo jak brak działań zmierzających do usunięcia naruszenia, ani nawet deklaracja takowych.


Eksperckim okiem

Nałożona kara budzi mnóstwo kontrowersji, od opinii skrajnie krytycznych po te pełne aprobaty dla decyzji Prezesa UODO. O ile cała sprawa wydaje się absurdem, a wiele osób nie ma złudzeń, że spółka podjęła rozsądne i proporcjonalne do swoich możliwości działania mające zapewnić spełnienie obowiązku z art. 14 RODO, a przygotowanie tak niebotycznej liczby przesyłek i ich wysyłka do adresatów wygenerowałaby koszty nieproporcjonalne w stosunku do potencjalnych zysków, o tyle prawdą jest, że osoby, których dane znalazły się bazie, zostały pozbawione możliwości korzystania z przysługujących im na gruncie RODO praw. Sprawa byłaby oczywista, gdyby spółka nie podjęła żadnych działań zmierzających do spełnienia obowiązku informacyjnego, natomiast fakt publikacji klauzuli na stronie i wysyłka mailowo jasno wskazują, że administrator podjął pewne, choć zdaniem Urzędu niewystarczające, kroki w kierunku zgodności z RODO. Ciekawym jest także, że Urząd „dla przykładu” postanowił ukarać organizację przetwarzającą dane przedsiębiorców, w stosunku do których jeszcze niedawno część przepisów związanych z ochroną danych osobowych, w tym tych dotyczących spełniania obowiązku informacyjnego, w ogóle nie miała zastosowania.

UODO nie ujawnił tożsamości ukaranego administratora, nieznane są również szczegóły sprawy, w tym przede wszystkim wszystkie cele, w których dane były przetwarzane. Należy jednak zadać sobie pytanie, czy w omawianej sytuacji doszło do znaczącego naruszenia praw osób fizycznych, których dane znalazły się w bazie – przecież dane te są jawne, widnieją w publicznych, dostępnych przez internet rejestrach, a dostęp może mieć do nich każdy.

Pewnym jest to, że Urząd przywiązuje dużą wagę do spełniania obowiązku informacyjnego, a nałożenie tak surowej kary należy czytać jako przestrogę dla organizacji, które często z wygody czy nadmiernych oszczędności część wynikających z RODO obowiązków traktują „po macoszemu”. Czujność przedsiębiorców została uśpiona przez stosunkowo niewielką aktywność Urzędu po 25 maja 2018 r., który mimo zapowiedzi o rozpoczętych kontrolach aż do stycznia br. wstrzymywał się z nakładaniem kar, teraz jednak tak zdecydowane działania z pewnością przyczynią się do wzmożonej „ostrożności” administratorów. Takie podejście rekomendowane jest także przez naszą firmę, ponieważ w kuluarach mówi się o zbliżających się dwóch kolejnych karach, a to i tak może być tylko początkiem ofensywy Urzędu Ochrony Danych Osobowych.

ODO 24 sp. z o. o. oferuje kompleksowe rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Dzięki doświadczonemu zespołowi ekspertów z zakresu m.in. prawa, informatyki, zarządzania kryzysowego oraz ciągłości działania dostarcza organizacjom praktyczne rozwiązania, pozwalające skutecznie zabezpieczyć posiadane zasoby informacyjne.
 

REKLAMA

Kalendarz Wydarzeń / Koncertów / Imprez w Toruniu

kiedy
2019-07-19 19:00
miejsce
Dwór Artusa, Toruń, Rynek...
wstęp biletowany
kiedy
2019-07-20 18:00
miejsce
Dwór Artusa, Toruń, Rynek...
wstęp biletowany
kiedy
2019-07-24 21:00
miejsce
Muzeum Etnograficzne, Toruń, ul....
wstęp biletowany
kiedy
2019-08-01 19:00
miejsce
Dwór Artusa, Toruń, Rynek...
wstęp biletowany




Szanowny Czytelniku!

Przypominamy podstawowe informacje z zakresu przetwarzania danych dostarczanych przez Ciebie podczas korzystania z naszych serwisów.
Zamykając ten komunikat (kliknięcie w przycisk "Przejdź Dalej" lub "X"), zgadzasz się na wskazane poniżej działania.


Stosowanie plików cookies i innych technologii

Wraz z naszymi partnerami stosujemy pliki cookies (ciasteczka) i inne pokrewne technologie, które mają na celu:
- Zapewnienie bezpieczeństwa podczas korzystania z naszych stron
- Ulepszenie świadczonych przez nas usług poprzez wykorzystanie danych w celach analitycznych i statystycznych
- Poznanie Twoich preferencji na podstawie sposobu korzystania z naszych serwisów
- Wyświetlanie spersonalizowanych reklam, które odpowiadają Twoim zainteresowaniom

Zakres wykorzystywania plików cookies możesz określić w ustawieniach Twojej przeglądarki. Bez wprowadzenia zmian ustawień, informacje w plikach cookies mogą być zapisywane w pamięci Twojego urządzenia.


Administratorzy danych

Administratorem tych danych jesteśmy my, czyli Twoje-Miasto Sp. z o.o., ul. Legionów 57A 86-300 Grudziądz jak również nasi Zaufani Partnerzy z którymi współpracujemy. Najczęściej ta współpraca ma na celu dostosowywanie reklam, które widzisz na naszych stronach do Twoich potrzeb i zainteresowań oraz wykonywanie różnych badań mających na celu polepszanie usług internetowych i dostosowywanie ich do potrzeb użytkowników. Szczegółowe informacje dotyczące administratorów znajdują się w Polityce Prywatności.


Jak wykorzystujemy Twoje dane

W ramach świadczonych przez nas usług staramy się wyświetlać reklamy odpowiadające Twoim zainteresowaniom, które dotyczą naszych produktów oraz produktów klientów korzystających z naszych usług reklamowych (marketing bezpośredni). W tym celu wykorzystujemy informacje zapisywane w plikach cookies, które otrzymujemy podczas korzystania z naszych stron. Nasze działania podejmowane są zgodnie z obowiązującym prawem w ramach tzw. uzasadnionego interesu administratora danych, ponieważ chcemy, by wszystkie nasze usługi, w tym wyświetlane reklamy, były najlepiej dopasowane do potrzeb użytkownika.


Wykorzystywanie Twoich danych przez naszych partnerów

Podobne działania w celach marketingowych podejmują nasi Zaufani Partnerzy, którym udostępniamy powierzchnię reklamową na naszych stronach. Wśród Zaufanych Partnerów znajdują się dostawcy technologii reklamowej, sieci reklamowe, domy mediowe, agencje interaktywne oraz reklamodawcy.
Nasi partnerzy gromadzą i wykorzystują informacje określające Twój sposób korzystania z naszych serwisów. Dzięki temu wyświetlają reklamy najbardziej dopasowane do uzyskanych informacji oraz udostępniają je innym podmiotom wyświetlającym lub zlecającym reklamę w Internecie.
W związku z reformą prawa ochrony danych osobowych nasi partnerzy potrzebują Twojej zgody na działania, których dokonują na naszych stronach. W przypadku jej udzielenia nasi partnerzy będą mogli, w ramach uzasadnionego interesu, wykorzystać Twoje informacje także dla celów analitycznych służących ocenie skuteczności podejmowanych działań marketingowych.
Pamiętaj, że ewentualna zgoda jest Twoją dobrowolną decyzją, natomiast brak jej udzielenia może wpłynąć na Twój komfort korzystania z naszych serwisów. Reklamy nieodpowiadające zainteresowaniom użytkownika są nie tylko nieatrakcyjne, ale i drażniące dla odbiorcy.

Zgodę możesz udzielić poprzez zamknięcie tego komunikatu (kliknięcie w przycisk "Przejdź do serwisu" lub "X"). Udzieloną zgodę możesz w każdej chwili wycofać, co jednak nie będzie równoznaczne z tym, że korzystanie z tych informacji do czasu wycofania zgody było niezgodne z prawem.


Jakie masz prawa?

Masz pełne prawo do zgłoszenia podmiotowi wykorzystującemu Twoje dane osobowe żądania dostępu do tych informacji, ich poprawiania, usunięcia lub ograniczenia przetwarzania. Pamiętaj jednak, że nie w każdym przypadku możliwe jest zrealizowanie Twoich praw w odniesieniu do informacji zapisanych w plikach cookies.

Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

email:
hasło:
 
bezpieczne logowanie SSL
zapomniałem hasła | zarejestruj się