Pierwsza w Polsce kara za naruszenie przepisów RODO

Urząd Ochrony Danych Osobowych nałożył pierwszą karę wynikającą z łamania przepisów RODO. Nie podano nazwy firmy, wiadomo jednak, że jest to warszawska spółka, która przetwarzała ogólnodostępne dane w Internecie. Kara za naruszenie przepisów RODO w tym przypadku będzie wynosiła blisko milion złotych, a ściślej – ponad 943 tys. zł.

Za co ten MILION?

Urząd Ochrony Danych Osobowych nałożył grzywnę za niedopełnienie obowiązku informacyjnego – mówiła Edyta Bielak-Jomaa, prezes UODO, na wtorkowej (26 marca 2019 r.) konferencji prasowej.

Warszawska firma budowała bazy danych pozwalające na weryfikację autentyczności podmiotów – słowem, tworzyła rejestr przedsiębiorców. Dane pochodziły ze źródeł publicznych, takich jak: Główny Urząd Statystyczny, Centralna Ewidencja i Informacja o Działalności Gospodarczej, Monitor Sądowy i Gospodarczy, itp.

Jednak o fakcie przetwarzania danych zostali poinformowani tylko ci przedsiębiorcy, którzy wpisali w oficjalnych rejestrach swój adres email. Wysyłkę listów z informacją o przetwarzaniu danych osobowych do pozostałych osób firma uznała za zbyt drogą i dysproporcjonalną wobec zysków, jakie miałaby osiągnąć. Tak interpretowała Art. 14 ust. 5 lit. b Rozporządzenia RODO. Spółka opublikowała jedynie informację o przetwarzaniu danych osobowych na swojej stronie internetowej.

Czym właściwie jest obowiązek informacyjny?

Obowiązkiem każdego Administratora Danych Osobowych jest podjęcie odpowiednich środków, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji dotyczących przetwarzania danych osobowych oraz prowadzić z nią wszelką komunikację związaną z wykonywaniem praw osoby, której dane dotyczą w związku z przetwarzaniem. ADO obowiązany jest udzielić informacji pisemnie lub w inny sposób, aby osoba, której dane dotyczą mogła się z nią zapoznać. Obowiązek ten wynika z art. 12 RODO.

RODO wskazuje jakie elementy powinna zawierać klauzula informacyjna, by obowiązek informacyjny został spełniony zgodnie z obowiązującym prawem w zależności od tego czy dane pochodzą bezpośrednio od osoby, której dane dotyczą czy z innych źródeł.

RODO przewiduje wyjątki od spełniania obowiązku informacyjnego w sposób bezpośredni. Wśród nich znajduję się zapis, na który powołała się warszawska firma, podejmując się jego błędnej interpretacji. Przedmiotowy zapis mówi o tym, że nie ma wymogu spełnienia obowiązku informacyjnego przez Administratora Danych Osobowych, w sytuacji gdy udzielenie takich informacji okazałoby się niemożliwe lub angażowałoby niewspółmiernie dużo wysiłku.

W bazie było 6 milionów rekordów

Brak spełnienia obowiązku informacyjnego sprawił, że osoby, których dane były przetwarzane, nie mogły zrealizować praw wynikających z RODO. Są to między innymi żądania usunięcia czy sprostowania danych osobowych, ograniczenia przetwarzania czy też prawo dostępu do danych. Innymi słowy, wiele osób nie miało żadnego pojęcia o tym, że ich dane są przetwarzane. Nie mogło zatem skorzystać z praw, które im przysługują.

UODO nie zgodził się z takim postępowaniem, wskazując, że zamieszczenie klauzuli informacyjnej jedynie na stronie internetowej warszawskiej firmy było niewystarczające, a Administrator Danych Osobowych mając dane kontaktowe do poszczególnych osób winien był spełnić wobec nich obowiązek informacyjny, umożliwiając im powzięcie informacji o przetwarzaniu ich danych oraz o przysługujących im w związku z przetwarzaniem prawach. Oprócz administracyjnej kary pieniężnej w wysokości blisko 1 mln zł, UODO nakazał również wysyłkę listów tradycyjnych do wszystkich, którzy nie podali adresu e-mail. Tu należy dodać, że tylko do ok. 90 tysięcy osób zostały dostarczone informacje w formie elektronicznej, z czego ok. 12 tysięcy osób od razu skorzystało z prawa do usunięcia danych – „prawo do bycia zapomnianym”.

UODO wymierzając administracyjną karę pieniężną wziął pod uwagę fakt, iż działanie warszawskiego przedsiębiorstwa miało charakter umyślny, a nadto, że Administrator Danych Osobowych nie podjął żadnych działań mających na celu usunięcie naruszenia, ani też do podjęcia takich działań się nie zobowiązał.

Kara za naruszenie przepisów RODO

Administracyjna kara za naruszenie przepisów RODO może być bardzo wysoka. Górna granica jaką może nałożyć organ nadzorczy w zależności od naruszenia sięga do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego bądź do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie zawsze ma kwota wyższa.

W przedmiotowym stanie faktycznym zastosowanie znajdzie wyższa z wymienionych kar – do 20 000 000 EUR; w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Warszawskiej firmie przysługuje prawo wniesienia odwołania od decyzji UODO, z którego zapewne skorzysta.

Należy również podkreślić, iż oprócz administracyjnej kary pieniężnej nałożonej przez UODO, Administrator Danych Osobowych może również ponieść konsekwencje wynikające z art. 82 RODO. Zgodnie z przywołanym przepisem, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO, ma prawo uzyskać od Administratora Danych Osobowych odszkodowania za poniesioną szkodę.

Co zrobić, by zmniejszyć ryzyko wystąpienia naruszenia, a tym samym uniknąć kary?

Ważne jest, by każdy podmiot przetwarzający dane osobowe, zarówno ten który ma obowiązek wyznaczenia Inspektora Ochrony Danych, jak również ten, który takiego obowiązku nie ma, korzystał z pomocy specjalisty w zakresie ochrony danych osobowych. Na marginesie pragniemy dodać, iż nasza firma zajmuje się profesjonalną obsługą w zakresie RODO. Nawiązanie z nami współpracy pozwoli Ci uniknąć podobnych sytuacji niekorzystnych dla Twojej firmy. Oferujemy m.in. wzorcową dokumentację ochrony danych osobowych.

RODO w Polsce i Europie

RODO to unijne rozporządzenie, którego celem jest lepsza ochrona danych osobowych. Weszło w życie 25 maja 2018 roku i obowiązuje na terenie całej Unii Europejskiej. Od początku budziło wiele kontrowersji i obaw wśród przedsiębiorców, a także wśród osób fizycznych. Nowe przepisy wprowadziły bowiem bardzo wysokie administracyjne kary pieniężne, o których była mowa powyżej. Pierwsza kara za naruszenie przepisów RODO w Europie została nałożona na francuski sklep internetowy i wynosiła 250 000 EUR. Firma nie dochowała bezpieczeństwa danych klientów. Dotkliwa kara za naruszenie przepisów RODO miała również na celu uświadomić innym przedsiębiorcom, że kwestii bezpieczeństwa informacji nie należy lekceważyć. Dziś przekonała się o tym także warszawska firma…

Nie chcesz aby podobna sytuacja przydarzyła się Twojej firmie?

Nasza firma oferuje kompleksowe usługi z zakresu ochrony danych osobowych. Zapraszamy do kontaktu tel. +48 68 411 40 00.

Zobacz usługi RODO