Pierwsza kara za naruszenie RODO — 943 tys. złotych za brak wykonania obowiązku informacyjnego (art. 14 RODO)

A więc już jest: dokładnie 10 miesięcy i 1 dzień po Dniu-R polski UODO nałożył pierwszą karę na polskiego przedsiębiorcę za naruszenie przepisów europejskiego RODO („Prezes UODO nałożyła pierwszą karę pieniężną”). Treść decyzji została udostępniona tutaj: ZSPR.421.3.2018 wprawdzie jeszcze nie znamy (powinna znaleźć się gdzieś tutaj) — imponuje natomiast kwota 943 tysięcy złotych — ale już dziś można pokusić się o kilka łatwo przyswajalnych zdań:


pierwsza kara naruszenie rodo
Pierwsza kara za naruszenie RODO mogła być także nałożona za niewłaściwie oznaczony monitoring — także w takim przypadku należy zadbać o prawidłową informację, zaś monitoring w toaletach to sprawa więcej niż śliska… (fot. Olgierd Rudak, CC-BY-SA 3.0)

  • pierwsza kara za naruszenie RODO nałożona została na przedsiębiorcę, który przetwarza dane osobowe „pozyskane ze źródeł publicznie dostępnych” (m.in. CEIDG), w tym przedsiębiorców (ale też ex-przedsiębiorców) — bo pamiętajcie, że po licznych woltach legislacyjnych dane osobowe osób prowadzących działalność gospodarczą znów są danymi osobowymi i stosuje się do nich postanowienia RODO (por. „Dane osobowe przedsiębiorców wpisanych w CEIDG”);
motyw (14) rozporządzenia 2016/679 
Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.
  • fakt, że dane osobowe pochodzą z publicznych rejestrów nie skutkuje wyłączeniem stosowania RODO — ludzie pamiętają, że coś-tam, coś-tam było w ustawie o ochronie danych osobowych (a było tylko to, że rejestr zawierający dane osobowe „powszechnie dostępne” nie podlegał rejestracji, art. 43 ust. 1 pkt 9 ustawy), natomiast prawda jest taka, że także tworząc prywatne bazy przedsiębiorców należy przestrzegać RODO;
  • nie oznacza to, że każdy chętny musiałby się sam zapisać do takiej bazy — nadal zgoda (art. 6 ust. 1 lit. a RODO) nie jest jedyną przesłanką przetwarzania danych osobowych, wystarczy „prawnie uzasadniony interes” realizowany przez administratora (art. 6 ust. 1 lit. f RODO);
art. 14 ust. 1 RODO
1. Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
d) kategorie odnośnych danych osobowych;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie — informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
  • pozyskując dane osobowe „w sposób inny niż od osoby, której dane dotyczą” należy jednak pamiętać o obowiązku informacyjnym — zainteresowany musi być wprost poinformowany m.in. o osobie administratora, celach i podstawie prawnej przetwarzania danych osobowych (a jeśli ma to być prawnie uzasadniony interes — trzeba go dokładnie sprecyzować), kategoriach danych osobowych, odbiorcach danych osobowych, okresie przechowywania danych, prawie dostępu do danych, a także ich sprostowania i usunięcia, etc. etc. (art. 14 RODO);
  • obowiązek informacyjny ma na celu oczywiście zapewnić zainteresowanemu możliwość pokierowania swoim losem — generalnie nie można raz-na-zawsze zastrzec zakazu handlu danymi osobowymi (do tego chyba niezbędne byłoby powołanie centralnego repozytorium takich danych — które już samo z siebie musiałoby zawierać takie dane osobowe…), ale otrzymanie takiej informacji ma dać możliwość powiedzieć „proszę mnie wykreślić!”;
art. 14 ust. 2 RODO
Poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) — prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
c) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) — informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
e) informacje o prawie wniesienia skargi do organu nadzorczego;
f) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie — czy pochodzą one ze źródeł publicznie dostępnych;
g) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz — przynajmniej w tych przypadkach — istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
  • dla jasności: brak wypełnienia obowiązku informacyjnego jest takim samym naruszeniem RODO jak każde inne (mam na myśli sankcje), natomiast osobiście uważam je za do pewnego stopnia nad-naruszenie: bo jeśli nie dowiem się, że moje dane są przetwarzane, nie będę mógł przeciwdziałać skutkom tego przetwarzania (choćby skorzystać z prawa do sprzeciwu, art. 21 RODO);
  • i jeszcze, bo widzę, że ja od kilkunastu lat na tutejszych łamach temat wałkuję, a świadomość niektórych rekinów biznesu nadal w powijakach: (i) nawet wyrażenie zgody na przetwarzanie danych w celach marketingowych nie oznacza zgody na wysyłanie spamu lub telefonowanie z ofertami (osobiście zwykłem mawiać „przetwarzajcie mnie ile chcecie, ale nie ważcie się do mnie dzwonić”); (ii) warunkiem wysyłania informacji handlowych jest (prawie zawsze) wyraźna zgoda adresata (art. 10 uośude); (iii) warunkiem zatelefonowania w celu związanym z marketingiem bezpośrednim lub wysłania reklamowego esemesa jest zawsze wyraźna zgoda odbiorcy (art. 172 pt); (iv) tych trzech zgód nie można ze sobą łączyć, nie wolno ich „zaszyć” w regulaminie (por. „Wymuszenie zgody na otrzymywanie informacji handlowych”), nie można ich domniemywać z innych czynności (także krzyżowo).

Q.E.D.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

36 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
36
0
komentarze są tam :-)x