Przewiń niżej

Pierwsza kara za naruszenie RODO

Agata Majewska

Padł pierwszy milion - a dokładnie 943 tysiące złotych. Tyle właśnie wyniosła pierwsza administracyjna kara pieniężna nałożona przez krajowy organ nadzorczy za naruszenie unijnego rozporządzenia o ochronie danych osobowych (RODO).

Kwota dla wielu wydaje się bajońska. Stąd rodzi się pytanie - jakie uchybienie spowodowało taką reakcję Prezesa Urzędu Ochrony Danych Osobowych (UODO)?

Jak wskazuje decyzja Prezesa UODO, kara zastosowana została wobec warszawskiej spółki gromadzącej ogólnodostępne w Internecie dane osób prowadzących działalność, umieszczane w KRS, CEiDG, GUS, CEPiK, Monitorze Sądowym i Gospodarczym. Spółka tworzyła w oparciu o nie bazy danych, które miały na celu weryfikację wiarygodności przedsiębiorców.

 

Brak obowiązku informacyjnego podstawą kary

Co ważne - nie została zakwestionowana prawidłowość opisanej działalności spółki, którą już jakiś czas temu Prezes Urzędu uznała za zgodną z przepisami. Przyczyną ukarania stało się zaniedbanie przez administratora danych realizacji obowiązku informacyjnego wobec wszystkich podmiotów, których dane gromadził. Świadomie bowiem ograniczył go wyłącznie do osób, których adresy mailowe posiadał, uznając jednocześnie, że informowanie pozostałych zainteresowanych za pomocą innych środków - w tym poczty tradycyjnej, spowoduje po jej stronie zbyt duży koszt.

 

Brak klauzuli informacyjnej powodem braku świadomości naszych praw

Jak okazało się, wiele osób, których dane były przetwarzane przez ukarany podmiot, nie miało tego świadomości. To zaś, jak uznał Prezes UODO, uniemożliwiło im skorzystanie z praw przysługujących na gruncie RODO.

Wydaną decyzją organ wskazał więc, jak istotne jest informowanie przez administratorów danych o prawach przysługujących osobom, których te dane są przetwarzane. Należą do nich przede wszystkim:

  1. Prawo do uzyskania dostępu do własnych danych, a więc potwierdzenia, czy nasze dane osobowe przetwarzane są przez konkretny podmiot;
  2. Prawo do sprostowania własnych danych - czyli do żądania niezwłocznego sprostowania danych, które są nieprawidłowe oraz uzupełnienia danych niekompletnych;
  3. Prawo do usunięcia własnych danych – w szczególności, gdy nie są one już potrzebne w celu ich przetwarzania, bądź były przetwarzane niezgodnie z prawem;
  4. Prawo do żądania ograniczenia przetwarzania danych – m.in., gdy kwestionowana jest prawidłowość ich przetwarzania, bądź jeśli wniesiono sprzeciw wobec przetwarzania danych - do czasu stwierdzenia, czy administrator posiada czy prawnie uzasadnione podstawy do przetwarzania - nadrzędne wobec podstaw sprzeciwu;
  5. Prawo do przeniesienia swoich danych w ustrukturyzowanym, powszechnie używanym formacie lub żądania, by zostały one przesłane bezpośrednio innemu administratorowi - o ile przetwarzanie odbywa się na podstawie udzielonej zgody lub zawartej umowy;
  6. Prawo do skargi do organu nadzorczego - w razie podejrzenia, że przetwarzanie danych następuje z naruszeniem przepisów.

 

Inne uchybienia karane przez RODO

Obowiązek informowania o przetwarzaniu danych jest jednym z podstawowych zadań każdego administratora. Oprócz niego kontroli organu nadzoru podlegają również takie działania, jak uwzględnianie ochrony danych w fazie projektowania sposobów przetwarzania, prawidłowa kooperacja współadministratorów, odpowiedni dobór i współpraca z podmiotami przetwarzającymi, respektowanie zasad przetwarzania, w tym warunków udzielanej zgody, przetwarzanie danych wyłącznie w celach, w jakich zostały zebrane, przestrzeganie zasad minimalizacji i proporcjonalności w procesie przetwarzania danych. Tym samym, również ich naruszenie może pociągnąć za sobą konsekwencje finansowe po stronie administratora danych lub podmiotu przetwarzającego dane w jego imieniu.

 

Co decyduje o wysokości kary?

Zarówno unijne jak i krajowe przepisy nie zawierają „taryfikatora” kar pieniężnych. Polska ustawa o ochronie danych wskazuje jedynie górną granicę 100 tysięcy złotych kary dla jednostek sektora finansów publicznych, instytutów badawczych oraz Narodowego Banku Polskiego.

Rozporządzenie określa natomiast, jakimi kryteriami oceny powinien kierować się organ nakładając karę, której założeniem ma być przede wszystkim skuteczność, proporcjonalność i odstraszanie. Są to w szczególności:

  • charakter, waga i czas trwania naruszenia
  • liczba poszkodowanych
  • umyślny (jak miało to miejsce w przypadku ukaranej spółki) lub nieumyślny charakter naruszenia
  • działania jakie podjął administrator w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą
  • wcześniejsze naruszenia administratora
  • stopień współpracy z organem w celu usunięcia naruszenia i złagodzenia jego ewentualnych szkodliwych skutków;
  • kategorie danych, których dotyczyło naruszenie
  • wszelkie inne obciążające lub łagodzące czynniki - zwłaszcza bezpośrednie lub pośrednie korzyści finansowe lub uniknięte straty związane z naruszeniem.

Powyższe czynniki stanowić mają podstawę oceny organu nadzoru, który w oparciu o nie może nałożyć na administratora karę do wysokości równowartości 20 milionów euro, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa.

Kogo obejmą następne kontrole?

Urząd Ochrony Danych opiera swoją działalność nadzorczą na rocznych planach kontroli. Zgodnie z informacjami przekazanymi przez organ, w 2019 r. planuje on przyjrzeć się przede wszystkim takim sektorom, jak: telemarketing; brokerzy danych w zakresie podstaw przetwarzania przez nich danych osobowych; sektor bankowy i ubezpieczeniowy - w zakresie prowadzonego przez nich profilowania klientów; spółdzielnie mieszkaniowe - pod kątem sposobu prowadzenia i zabezpieczenia przez nie rejestru członków. Kontrole nie mają ominąć również sektora publicznego, w tym w szczególności Policji, Straży Granicznej, szkół i placówek oświatowych oraz podmiotów udzielających świadczeń zdrowotnych. Nie oznacza to jednak, iż pozostałe podmioty pozostają poza zakresem nadzoru Prezesa Urzędu. Może on podjąć stosowne działania wobec każdego administratora danych lub podmiotu przetwarzającego, w szczególności, jeśli uzyska informację na temat podejrzenia ich uchybień w stosowaniu przepisów unijnego rozporządzenia.

 

Kategoria: Ochrona danych osobowych

Szukaj
w Strefie Wiedzy

IP Blog Spółki z Górnej Półki Procesowy.pl

 

W celu poprawienia jakości świadczonych usług na naszej stronie wykorzystujemy pliki cookies. To całkowicie bezpieczne dla Ciebie i Twoich danych. Jeśli nie wyrażasz na to zgody, prosimy, zmień ustawienia swojej przeglądarki.

Zamknij