W dniu dzisiejszym (26.03.2019) Prezes UODO ogłosiła na oficjalnej stronie internetowej urzędu informację o pierwszej karze nałożonej na polską firmę, w związku z nieprzestrzeganiem przepisów o ochronie danych osobowych.
Jak wysoka jest kara? Karę nałożono w wysokości ponad 943 tysięcy złotych.
Główną przyczyną nałożenia tak wysokiej kary było brak spełnienia obowiązku informacyjnego przez Administratora Danych Osobowych (dalej ADO). Jak wyjaśnia UODO – spółka nie dopełniła obowiązku informacyjnego w stosunku do ponad 6 mln osób. Czym zajmuje się ukarana spółka? Dlaczego nie spełniła wymagań RODO? Organizacja, na którą nałożono karę finansową przetwarzała w celach zarobkowych dane osobowe pochodzące z publicznie dostępnych źródeł m.in. CEiDG. W tym miejscu przypominamy, że na gruncie RODO osoby fizyczne prowadzące działalność gospodarczą mają takie sama jak osoby fizyczne tej działalności nieprowadzące. Przedsiębiorcom przysługuje więc ochrona ich danych.
Ukarana spółka dopełniła obowiązku informacyjnego tylko w stosunku do osób, do których miała adres mailowy. W pozostałych przypadkach nie podjęła próby poinformowania o ADO i przysługujących osobom fizycznym prawach. W toku kontroli okazało się, że ADO dysponował innymi danymi jak np. numer telefonu, które mogły być wykorzystane w celu spełnienia obowiązku informacyjnego.
ADO powoływał się na niewspółmierny wysiłek i koszt informowania pozostałych osób o ich prawach i obowiązkach. Dodatkowo argumentowali, że pozyskali dane z powszechnie dostępnych źródeł. Kontrolerzy z UODO uznali jednak, że ADO działał świadomie, nie przekazując osobom fizycznym niezbędnych informacji, co więcej naruszający przepisy nie podjął żadnych działań mających na celu usunięcie naruszenia, ani nawet nie zadeklarował chęci podjęcia działań w tym kierunku.
Oczywiście ukarana spółka może odwołać się do Wojewódzkiego Sadu Administracyjnego. Będziemy obserwować sprawę i śledzić jej rozwój.
Na dzień dzisiejszy wiemy jednak jedno – polski UODO w swoich czynnościach kontrolnych szczególną uwagę będzie przywiązywał do tych obowiązków, które nakłada na nas RODO, które bezpośrednio odnoszą się do osób fizycznych – tj. dopełnienie obowiązku informacyjnego, odpowiedzi na żądania osób, których dane dotyczą, zgłaszanie naruszeń do UODO.
Już dziś warto przyjrzeć się działaniom naszych organizacji – czy w świetle unijnych i krajowych przepisów prawa dopełniamy wszystkich nałożonych na nas obowiązków? Jeżeli masz wątpliwości w zakresie wdrożonych rozwiązań albo do dnia dzisiejszego RODO było Ci obojętne – skontaktuj się z nami. Nasi eksperci pomogą Ci wdrożyć niezbędne procedury i rozwiązania a Ty będziesz mógł spać spokojnie.