940 tys. zł wyniosła pierwsza kara nałożona przez prezesa UODO po wejściu w życie przepisów RODO. Naruszenie, które "wyceniono" na niemal milion złotych miało polegać na niedopełnieniu obowiązku poinformowania osób, których dane były przetwarzane. Spółki nie uratowało nawet to, że dane pochodziły ze źródeł ogólnodostępnych, m.in. z CEIDiG.
- Brak informacji doprowadził do sytuacji, w której szereg osób nie zostało poinformowanych i nie mogły przez to skorzystać z prawa do usunięcia lub sprostowania danych. Spółka miała absolutny obowiązek poinformowania oraz możliwość i świadomość konieczności zrobienia tego zrobienia – podkreśliła Edyta Bielak-Jomaa.
Dyrektor zespołu analiz i strategii UODO Piotr Drobek przyznał, że firma posiadała rekordy dotyczące około 6 mln osób, ale o fakcie przetwarzania poinformowała jedynie 90 tys. osób. – 12 tys. spośród tych 90 tys. w reakcji na przesłaną informację złożyło sprzeciw wobec przetwarzania ich danych w celach marketingowych – dodał i zaznaczył, że około 3 mln rekordów w bazie ukaranej spółki dotyczyło osób, które nie prowadziły już działalności gospodarczej.
- Spółka spełniła obowiązek jedynie wobec tych, których adresami e-mail dysponowała. Z tego wynika, że administrator wiedział o konieczności informowania, ale nie spełnił tego obowiązku wobec tych, których adresy inne niż e-mail posiadali. Stąd decyzja o nałożeniu kary w takiej wysokości – stwierdziła prezes UODO. Jak przyznała, spółka w trakcie postępowania broniła się nadmiernym kosztem procesu informowaniu, gdyby zostało to zrobione listami poleconymi.
Urząd odrzucił tę argumentację i tym samym linię obrony dopuszczalną przez przepisy o ochronie danych osobowych. "Prezes UODO uznała, ze stwierdzone naruszenie ma poważny charakter, gdyż dotyczy podstawowych praw i wolności osób, których dane przetwarzała spółka" – podkreślił w komunikacie urząd. Edyta Bielak-Jomaa zapewniła, że ukarana spółka nie była w żaden sposób "wybierana". – To wynik kolejności spraw prowadzonych przez urząd – powiedziała i dodała, że w urzędzie prowadzonych jest kilka postępowań, które jej zdaniem zakończą się nałożeniem kar.
- Nawet, gdy jak w tym wypadku, dane są zbierane ze źródeł ogólnodostępnych, osoba fizyczna podlega ochronie. To oznacza, że należy spełnić wynikającej z RODO obowiązki prawne – wyjaśnił Piotr Drobek, który przyznał, że nikt spółce nie zabraniał przetwarzania danych pod warunkiem poinformowania o tym fakcie podmioty zainteresowane.
50 mln euro kary dla Google. Przez RODO
Decyzja urzędu jest ostateczna – spółka może od niej odwołać się jedynie do Wojewódzkiego Sądu Administracyjnego. UODO przypomina także, że zgodnie z przepisami, maksymalna kara może wynieść do 20 mln euro lub 4 proc. rocznego obrotu spółki.
Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl
