Ochrona danych osobowych

Prezes UODO nałożyła pierwszą karę pieniężną

Za niedopełnienie obowiązku informacyjnego Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożyła pierwszą karę w wysokości ponad 943 tys. zł.

Dlaczego taka kara?

- "Administrator miał świadomość o ciążącym na nim obowiązku informacyjnym. Stąd decyzja o nałożeniu na ten podmiot kary w tej wysokości" - podkreśliła Prezes UODO dr Edyta Bielak–Jomaa.


Bardzo wiele osób, których dane przetwarzała ukarana spółka, nie miało o tym pojęcia. Administrator ich o tym nie powiadomił. Tym samym odebrał im możliwość skorzystania z praw, jakie przysługują im na gruncie RODO, czyli ogólnego rozporządzenia o ochronie danych. Nie mogły więc one np. sprzeciwić się dalszemu przetwarzaniu ich danych, żądać ich sprostowania czy usunięcia. Prezes UODO uznała, że stwierdzone naruszenie ma poważny charakter, gdyż dotyczy podstawowych praw i wolności osób, których dane przetwarza spółka, jak również dotyczy jednej z podstawowych kwestii, jaką jest informacja o tym, że dane są przetwarzane. Nałożenie kary pieniężnej jest niezbędne, gdyż administrator nie przestrzega przepisów prawa.

Jak wyjaśniał Piotr Drobek, Dyrektor Zespołu Analiz i Strategii w UODO – "Spółka nie dopełniała obowiązku informacyjnego w stosunku do ponad 6 mln osób. Spośród około 90 tys. osób których spółka poinformowała o przetwarzaniu danych ponad 12 tys. wniosło sprzeciw wobec przetwarzania ich danych. Pokazuje to, jak ważne jest prawidłowe spełnienie obowiązków informacyjnych dla realizacji uprawnień przysługujących nam zgodnie z RODO".  

Decyzja Prezes UODO dotyczyła postępowania związanego z działalnością spółki, która przetwarzała dane osób pozyskane ze źródeł publicznie dostępnych, m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG), i przetwarzała je w celach zarobkowych. Organ weryfikował niedopełnienie obowiązku informacyjnego wobec osób fizycznych prowadzących działalność gospodarczą – przedsiębiorców, którzy aktualnie ją prowadzą bądź tę działalność zawiesili, jak i o tych, którzy prowadzili ją w przeszłości. Administrator spełnił obowiązek informacyjny, podając informacje wymagane przepisami art. 14 ust. 1-3 RODO jedynie wobec tych osób, do których miał adresy e-mail. W przypadku pozostałych osób tego nie zrobił – jak sam to wyjaśniał w toku postępowania – z uwagi na wysokie koszty takiej operacji. Dlatego jedynie na swojej stronie internetowej zamieścił klauzulę informacyjną.

Brak starań

W ocenie Prezes UODO działanie administratora było niewystarczające – mając dane kontaktowe do poszczególnych osób, powinien spełnić wobec nich obowiązek informacyjny, poinformować m.in. o: swoich danych, skąd ma dane tych osób, w jakim celu i jak długo zamierza je przetwarzać oraz o przysługujących osobom prawach na gruncie RODO.

Zdaniem Prezes UODO, przepisy nie nakładają na administratora obowiązku wysłania takiej korespondencji listem poleconym, co argumentowała spółka jako usprawiedliwienie niewykonania kosztownego obowiązku.

W przedstawionej sprawie podmiot dysponował adresami korespondencyjnymi i numerami telefonów, a zatem mógł spełnić obowiązek informacyjny wobec osób, których dane przetwarza. Dlatego sprawę tę należy odróżniać od innej, rozstrzyganej przez GIODO kilka lat temu, kiedy inna spółka takimi adresami nie dysponowała.

Prezes UODO uznała, że naruszenie administratora miało charakter umyślny, ponieważ – jak ustalono w toku postepowania – spółka miała świadomość istnienia obowiązku podania stosownych informacji, jak i konieczności bezpośredniego informowania osób.

Wymierzając karę, organ wziął pod uwagę również fakt, że administrator nie podjął żadnych działań zmierzających do usunięcia naruszenia ani nie zadeklarował takiego zamiaru.

Źródło: uodo.gov.pl

Obserwuj nas na:

Potrzebujesz porady prawnej?

KOMENTARZE (0)

Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!


Dodaj komentarz

DODAJ KOMENTARZ

ZOBACZ TAKŻE:

  • 11.11.2019

    Nie wolno utrudniać wycofania zgody na przetwarzanie danych

    Prezes UODO nałożył karę pieniężną w wysokości ponad 201 tys. zł m.in. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych.

  • 21.9.2019

    Kara za RODO

    Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) nałożył na spółkę Morele.net karę w wysokości ponad 2,8 mln zł.

  • 30.10.2019

    Podmiot publiczny ukarany za naruszenie RODO

    Jednostki samorządu terytorialnego też muszą się liczyć z karą za nieprzestrzeganie RODO. Jednym z powodów nałożenia kary w wysokości 40 tys. na burmistrza miasta było to, (...)

  • 5.11.2019

    Jak Prezes UODO nakłada administracyjne kary pieniężne?

    Każda osoba fizyczna ma prawo do ochrony danych osobowych jej dotyczących. Na straży tego prawa stoi organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (Prezes (...)

  • 24.1.2019

    Kogo skontroluje Urząd Ochrony Danych Osobowych w 2019 roku?

    Zgodnie z zatwierdzonym przez Prezesa UODO rocznym planem kontroli sektorowych, w 2019 roku UODO zweryfikuje przetwarzanie danych osobowych w takich m.in. obszarach, jak: telemarketing, (...)