Karę w wysokości ponad 943 tys. zł. nałożył na spółkę Urząd Ochrony Danych Osobowych za niespełnienie obowiązku informacyjnego dot. przetwarzania danych – poinformowała we wtorek prezes UODO Edyta Bielak-Jomaa. To pierwsza kara UODO po wejściu w życie RODO.
Nazwa ukaranej firmy nie została podana. Jest to spółka pozyskująca dane ze źródeł publicznie dostępnych m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG). Firmie przysługuje odwołanie od decyzji UODO do sądu.
– Kara w wysokości ponad 943 tys. zł została nałożona za niespełnienie obowiązku informacyjnego wynikającego z rozporządzenia o ochronie danych. (...) Brak spełnienia tego obowiązku spowodował, że osoby, których dane były przetwarzane, nie mogły zrealizować praw wynikających z przepisów RODO, choćby żądania usunięcia danych czy też sprostowania danych osobowych – powiedziała prezes UODO Edyta Bielak-Jomaa, przedstawiając uzasadnienie tej decyzji. Jak mówiła, z postępowania wynika, że firma miała świadomość konieczności poinformowania osób, których dane przetwarzała, o tym fakcie. Miała też możliwość spełnienia tego obowiązku.
Prezes Urzędu Ochrony Danych Osobowych Edyta Bielak-Jomaa oraz dyrektor Zespołu Analiz i Strategii w Urzędzie Ochrony Danych Osobowych Piotr Drobek podczas briefingu poświęconego nałożeniu pierwszej administracyjnej kary pieniężnej za naruszenie przepisów o ochronie danych osobowych
Fot. PAP/Marcin Obara
– W przypadku spółki, o której dzisiaj mówimy, sprawa dotyczy ponad 6 mln rekordów, a obowiązek informacyjny został spełniony wobec ok. 90 tys. osób, do których spółka wysłała korespondencję drogą elektroniczną – podkreślił Piotr Drobek z UODO. Według UODO firma nie kontaktowała się bezpośrednio z osobami, których adresu mailowego nie miała, zamieściła tylko informację na swojej stronie internetowej, co zdaniem Urzędu jest niewystarczające.
– W odniesieniu do 90 tys. osób, które zostały poinformowane, ponad 12 tys. osób w reakcji na przesłaną informację złożyło sprzeciw wobec przetwarzania danych w celach marketingowych. To pokazuje, jak ważne jest spełnienie obowiązku informacyjnego – podkreślił Drobek.
Jak mówili przedstawiciele Urzędu, Prezes UODO, podejmując decyzję o nałożeniu kary i ustalając jej wysokość, musi wziąć pod uwagę 11 czynników. Znaczenie ma więc m.in. liczba poszkodowanych osób, rozmiar poniesionej przez nie szkody, cel i zakres przetwarzania danych, których dotyczyło naruszenie, nieumyślny lub umyślny jego charakter, działania naprawcze, współpraca z Urzędem, a także czy ochrona danych jest brana pod uwagę już na etapie projektowania produktu czy usługi oraz czy dane były chronione zarówno od strony technicznej, jak proceduralnej.
* * *
Ustawa o ochronie danych osobowych, dostosowująca polskie prawo do przyjętego w maju 2016 r. przez UE ogólnego rozporządzenia o ochronie danych osobowych (RODO), weszła w życie 25 maja 2018 r. RODO przewiduje kary za naruszenie prawa do ochrony danych – do 20 mln euro lub 4 proc. całego obrotu firmy. Europejscy odpowiednicy UODO nałożyli już wysokie kary na firmy naruszające dane osobowe: np. w styczniu tego roku francuski organ ochrony danych osobowych CNIL nałożył na Google grzywnę w wysokości 50 mln euro za naruszanie przepisów RODO przy pozyskiwaniu zgody użytkowników na profilowanie marketingowe w oparciu o ich dane.
(pap)
Fot. archwium
