Nasz strona wykorzystuje pliki cookies w celu personalizacji oferty wysyłanej do klientów oraz analizy zachowania użytkowników, tak aby dostarczać usługi na najwyższym poziomie. Korzystając ze strony wyrażają Państwo zgodę na przetwarzanie danych. Dalsze informacje można znaleźć w polityce prywatności.



Pierwsza kara za nieprzestrzeganie RODO

PrintMailRate-it
Jarosław Kamiński, Michał Liszka
15 kwietnia 2019 r. 

Po niemal 10 miesiącach od wejścia w życie przepisów Rozporządzenia o Ochronie Danych Osobowych (RODO), Prezes Urzędu Ochrony Danych Osobowych (PUODO) zdecydowała po raz pierwszy nałożyć karę finansową za niezgodne z prawem przetwarzanie danych. Ukaranym podmiotem jest spółka przetwarzająca dane publicznie dostępne, np. z Centralnej Ewidencji i Informacji Działalności Gospodarczej. Na podstawie takich danych przeprowadza analizy z wykorzystaniem modeli scoringowych.

 

Nierealizowany obowiązek informacyjny


W argumentacji PUODO kara w wysokości ponad 943 000 PLN została nałożona na spółkę za niedopełnienie ciążącego na niej obowiązku informacyjnego w stosunku do ponad 6 mln osób. Osoby te nie zostały poinformowane o przetwarzaniu ich danych osobowych, a co za tym idzie zostały pozbawione przysługującej im na gruncie RODO możliwości skorzystania z praw, takich jak np. prawo do sprostowania danych czy bycia zapomnianym. Obowiązek informacyjny został zrealizowany wyłącznie w stosunku do podmiotów, do których spółka posiadała adresy e-mail


(ok. 90 tys., z czego ok. 12 tys. zgłosiło sprzeciw wobec takiego przetwarzania), natomiast o przetwarzaniu nie zostały poinformowane osoby, których danymi kontaktowymi podmiot przetwarzający również dysponował. i (numerem telefonu, czy adresem korespondencyjnym). W opinii spółki – koszty operacyjne takiego przedsięwzięcia byłyby zbyt wysokie.

 

Znaczący wpływ na wysokość wymierzonej kary miało przyjęte  przez PUODO założenie, że działanie to miało charakter umyślny, gdyż spółka będąc świadomą ciężącego na niej obowiązku, nie podjęła żadnych kroków prowadzących do usunięcia powstałego naruszenia.

 

Zasadność decyzji a koszty spełnienia obowiązku


Ukarany podmiot w opublikowanym oświadczeniu zakwestionował zasadność nałożonej kary oraz samą interpretację PUODO. Najwięcej kontrowersji budzi kwestia art. 14 ust. 5 lit b. RODO, który stanowi, że możliwe jest zwolnienie z obowiązku informacyjnego wtedy, gdy jest on niemożliwy do spełnienia lub zakładałby niewspółmiernie duży wysiłek, na co powoływała się spółka twierdząc, że koszty spełnienia obowiązku informacyjnego wypełniają wspomnianą wyżej przesłankę. Wykładnia tego przepisu przynosi jednak duże trudności, dlatego w opinii wielu prawników kluczowe może być wystosowanie przez sąd rozpatrujący odwołanie spółki pytań prejudycjalnych do Trybunału Sprawiedliwości Unii Europejskiej, który mógłby wyjaśnić wątpliwości. Sprawa ta z pewnością będzie wciąż szeroko komentowana i obserwowana, gdyż niekorzystna decyzja sądu może pociągnąć za sobą szereg kolejnych kar dla innych podmiotów.

 

Niezależnie od wyniku postępowania, decyzja PUODO stanowi jasny sygnał, że po niemal rocznym okresie obowiązywania unijnego Rozporządzenia, czas na odpowiednie wdrożenie jego przepisów w firmach dobiegł końca. Zapowiedziane w przekazach medialnych przeprowadzanie kolejnych kontroli przez PUODO może zaowocować kolejnymi sankcjami (w tym finansowymi). Istotne zatem jest przeprowadzanie w firmach audytu procesów przetwarzania danych osobowych, w celu sprawdzenia, czy prowadzona działalność jest zgodna z obowiązującymi regulacjami, a przechowywane przez nas informacje bezpieczne.

 


W przypadku zainteresowania audytem RODO, zapraszamy do kontaktu z ekspertami Rödl & Partner w Gdańsku, Gliwicach, Krakowie, Poznaniu, Warszawie i Wrocławiu.

Kontakt

Contact Person Picture

Jarosław Kamiński

adwokat

Associate Partner

+48 694 207 482

Wyślij zapytanie

Profil


Deutschland Weltweit Search Menu