Pierwsza kara za naruszenie RODO — 943 tys. złotych za brak wykonania obowiązku informacyjnego (art. 14 RODO)

A więc już jest: dokładnie 10 miesięcy i 1 dzień po Dniu-R polski UODO nałożył pierwszą karę na polskiego przedsiębiorcę za naruszenie przepisów europejskiego RODO („Prezes UODO nałożyła pierwszą karę pieniężną”). Treść decyzji została udostępniona tutaj: ZSPR.421.3.2018 wprawdzie jeszcze nie znamy (powinna znaleźć się gdzieś tutaj) — imponuje natomiast kwota 943 tysięcy złotych — ale już dziś można pokusić się o kilka łatwo przyswajalnych zdań:


pierwsza kara naruszenie rodo

Pierwsza kara za naruszenie RODO mogła być także nałożona za niewłaściwie oznaczony monitoring — także w takim przypadku należy zadbać o prawidłową informację, zaś monitoring w toaletach to sprawa więcej niż śliska… (fot. Olgierd Rudak, CC-BY-SA 3.0)


  • pierwsza kara za naruszenie RODO nałożona została na przedsiębiorcę, który przetwarza dane osobowe „pozyskane ze źródeł publicznie dostępnych” (m.in. CEIDG), w tym przedsiębiorców (ale też ex-przedsiębiorców) — bo pamiętajcie, że po licznych woltach legislacyjnych dane osobowe osób prowadzących działalność gospodarczą znów są danymi osobowymi i stosuje się do nich postanowienia RODO (por. „Dane osobowe przedsiębiorców wpisanych w CEIDG”);
motyw (14) rozporządzenia 2016/679 
Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.
  • fakt, że dane osobowe pochodzą z publicznych rejestrów nie skutkuje wyłączeniem stosowania RODO — ludzie pamiętają, że coś-tam, coś-tam było w ustawie o ochronie danych osobowych (a było tylko to, że rejestr zawierający dane osobowe „powszechnie dostępne” nie podlegał rejestracji, art. 43 ust. 1 pkt 9 ustawy), natomiast prawda jest taka, że także tworząc prywatne bazy przedsiębiorców należy przestrzegać RODO;
  • nie oznacza to, że każdy chętny musiałby się sam zapisać do takiej bazy — nadal zgoda (art. 6 ust. 1 lit. a RODO) nie jest jedyną przesłanką przetwarzania danych osobowych, wystarczy „prawnie uzasadniony interes” realizowany przez administratora (art. 6 ust. 1 lit. f RODO);
art. 14 ust. 1 RODO
1. Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
d) kategorie odnośnych danych osobowych;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie — informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
  • pozyskując dane osobowe „w sposób inny niż od osoby, której dane dotyczą” należy jednak pamiętać o obowiązku informacyjnym — zainteresowany musi być wprost poinformowany m.in. o osobie administratora, celach i podstawie prawnej przetwarzania danych osobowych (a jeśli ma to być prawnie uzasadniony interes — trzeba go dokładnie sprecyzować), kategoriach danych osobowych, odbiorcach danych osobowych, okresie przechowywania danych, prawie dostępu do danych, a także ich sprostowania i usunięcia, etc. etc. (art. 14 RODO);
  • obowiązek informacyjny ma na celu oczywiście zapewnić zainteresowanemu możliwość pokierowania swoim losem — generalnie nie można raz-na-zawsze zastrzec zakazu handlu danymi osobowymi (do tego chyba niezbędne byłoby powołanie centralnego repozytorium takich danych — które już samo z siebie musiałoby zawierać takie dane osobowe…), ale otrzymanie takiej informacji ma dać możliwość powiedzieć „proszę mnie wykreślić!”;
art. 14 ust. 2 RODO
Poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) — prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
c) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) — informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
e) informacje o prawie wniesienia skargi do organu nadzorczego;
f) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie — czy pochodzą one ze źródeł publicznie dostępnych;
g) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz — przynajmniej w tych przypadkach — istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
  • dla jasności: brak wypełnienia obowiązku informacyjnego jest takim samym naruszeniem RODO jak każde inne (mam na myśli sankcje), natomiast osobiście uważam je za do pewnego stopnia nad-naruszenie: bo jeśli nie dowiem się, że moje dane są przetwarzane, nie będę mógł przeciwdziałać skutkom tego przetwarzania (choćby skorzystać z prawa do sprzeciwu, art. 21 RODO);
  • i jeszcze, bo widzę, że ja od kilkunastu lat na tutejszych łamach temat wałkuję, a świadomość niektórych rekinów biznesu nadal w powijakach: (i) nawet wyrażenie zgody na przetwarzanie danych w celach marketingowych nie oznacza zgody na wysyłanie spamu lub telefonowanie z ofertami (osobiście zwykłem mawiać „przetwarzajcie mnie ile chcecie, ale nie ważcie się do mnie dzwonić”); (ii) warunkiem wysyłania informacji handlowych jest (prawie zawsze) wyraźna zgoda adresata (art. 10 uośude); (iii) warunkiem zatelefonowania w celu związanym z marketingiem bezpośrednim lub wysłania reklamowego esemesa jest zawsze wyraźna zgoda odbiorcy (art. 172 pt); (iv) tych trzech zgód nie można ze sobą łączyć, nie wolno ich „zaszyć” w regulaminie (por. „Wymuszenie zgody na otrzymywanie informacji handlowych”), nie można ich domniemywać z innych czynności (także krzyżowo).

Q.E.D.

35
Dodaj komentarz

avatar
8 Comment threads
27 Thread replies
4 Followers
 
Most reacted comment
Hottest comment thread

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
najnowszy najstarszy
Powiadom o
sjs
Gość
sjs
Imię
Gość
Imię

„To jest kropla w morzu potrzeb” – ale dobre i to.

Adam
Gość
Adam

Tu jest decyzja: https://uodo.gov.pl/pl/129 1. Ciekawe, że jest to pierwsza (upubliczniona?) decyzja UODO. 2. Działania UODO podjął z własnej inicjatywy. 3. Argumentem bisnode (?) za tym, żeby nie informować jest to, że kosztowałoby to 30 milionów złotych i byłby to niewspółmierny wysiłek. UODO twierdzi, że to nie jest niewspółmierny wysiłek. 4. Znajomość prawa skutkowała wysoką karą – bo podobno świadomie było ono łamane. To, że nikt nie wiedział co znaczy „niewspółmierny wysiłek” widać nie miało znaczenia. 5. Kara jest wysoka również dlatego, bo to ma być przykład dla innych. Moim zdaniem kara jest niewspółmierna do naruszenia. A skoro ma być… Czytaj więcej »

sjs
Gość
sjs

Jak wpisuję swój NIP i REGON w Googla to pojawia się ileś stron zawierających moje dane. Żadna z nich mnie nie poinformowała o ich przetwarzaniu. I właściwie wcale mi to nie przeszkadza. Chociaż czuje się trochę wykluczony bo nie dostałem żadnego papierowego spamu. ;)

JMR
Gość
JMR

@sjs „Jak wpisuję swój NIP i REGON w Googla to pojawia się ileś stron zawierających moje dane”
Albo po wpisaniu nazwy firmy, strona firmowa pojawia się na 7 miejscu, co się zdarza :( Ale gratuluję dobrego samopoczucia, ja dostałem wrzodów od tego.

RYBY
Gość
RYBY

Niewspółmierny wysiłek – to nie jest to samo, co niewspółmierny koszt. To po pierwsze.
Dane mogą być gdziekolwiek (w CEiDG, w KRS, w teczce na ławce w parku), ale jeżeli ktoś zabiera się za ich przetwarzanie, to musi wypełnić obowiązki, w tym informacyjny. To po drugie.
Zgodnie z RODO kara ma być skuteczna, proporcjonalna i ODSTRASZAJĄCA. To po trzecie.

Adam
Gość
Adam

Niewspółmiernym wysiłkiem byłoby zarobienie 30 milionów, które trzeba mieć żeby dopełnić obowiązku.

RYBY
Gość
RYBY

To może najpierw trzeba się zastanowić, po co zbiera się dane.

trackback

[…] ciekawe, niektóre osoby związane ze środowiskami prawnymi uważają brak wypełnienia obowiązku informacyjnego jako […]

Wojcio
Gość
Wojcio

Jak robią biznes z pomocą czyichś danych, to niech się podzielą zyskami z niego czerpanymi. Trochę to przypomina sprawę ACTA2. Tak po trosze, to o zwykłą sprawiedliwość chodzi.

sjs
Gość
sjs

Weź i powiadom kilka milionów osób za pomocą tradycyjnej poczty. Cały biznes może w tym momencie zrobić się nieopłacalny.

RYBY
Gość
RYBY

Czy każdy biznes musi być opłacalny? Zostają tylko ci, którzy potrafią zarobić.
Wysyłka listem zwykłym to niecałe 3 złote. A rekord z danymi osobowymi można sprzedać wielokrotnie różnym firmom, więc zarobek pewny, tylko trzeba na początku włożyć kapitał.

Jacek
Gość
Jacek

A ja to całe RODO postrzegam inaczej. Prawo które miało być batem Komisji Europejskiej na GOOGLE i FACEBOOKA, a być może nawet kreować przewagę komparatywną czy chronić miejsca pracy zagrożone przez UBER. W praktyce jest ością w gardle i dodatkową niepłatną buchalterią dla przedsiębiorców skali małej i mikro, której przeciętny konsument nie czyta i przeklikuje, oraz o zgrozo komedią na korytarzach przychodni i szpitali. W praktyce Facebook i Google już dawno posiadają te dane i to w znacznie szerszej formie, a ich transfer poza jurysdykcję Europy jest szybszy niż światło. Nasi rodzimi jak nie dbali o ich bezpieczeństwo tak nie… Czytaj więcej »

Kaaa
Gość
Kaaa

Świetny wpis. Szkoda tylko, że tak niewiele osób zdaje sobie z tego sprawę.

Mateusz
Gość
Mateusz

Cóż, myślę, że kara jednak nie jest tak imponująca jak to się mogłoby wydawać przeciętnemu zjadaczowi chleba. Otóż mało kto wspomina o drugiej części tej decyzji, czyli spełnienie obowiązku informacyjnego w stosunku do wszystkich wcześniej pominiętych osób fizycznych. Spółka szacuje koszty takiego działania na około 33 mln zł! Oczywiście przesadza, ale myślę, ze nie o całe 33 ;)
Tym samym spółkę nie zaboli kara, którą przeżywamy, tylko przywrócenie stanu zgodnego z prawem…
To sugeruje że kara nie jest wysoko, raczej proporcjonalna.