Pierwsza kara pieniężna za naruszenie RODO

On 27/03/2019 by admin in Blog

W poniedziałek 25 marca w mediach gruchnęła informacja o nałożeniu pierwszej w Polsce kary pieniężnej za naruszenie RODO. I to od razu milion złotych (plus dodatkowych kilka milionów, koniecznych dla spełnienia obowiązku informacyjnego).

Prezes Urzędu Ochrony Danych Osobowych (UODO) umiejętnie budowała napięcie już od jakiegoś czasu. Już w ubiegłym tygodniu pojawiały się, o ironio, wycieki informacji o nałożonej karze. 26 marca zwołano specjalną konferencję prasową.

Dla tych, którzy jeszcze nie przeczytali wszystkich artykułów na ten temat – poniżej zamieszczam streszczenie:

  1. Od niepamiętnych czasów istnieją firmy masowo zbierające w różnych celach (najczęściej marketingowych) dane z publicznie dostępnych rejestrów, jak KRS, CEIDG czy księgi wieczyste.
  2. Jest to wątpliwe z punktu widzenia prawa – bo nie po to Państwo tworzy i utrzymuje za pieniądze podatników takie rejestry, aby ktoś inny je sobie automatycznie przerabiał na marketingową, cyfrową biomasę i nią potem handlował. UODO tym razem poszedł jednak innym tropem.
  3. Mianowicie, od równie niepamiętnych czasów firmy takie mają oczywiste problemy praktyczne ze spełnieniem obowiązku informacyjnego względem osób, których dane osobowe pobrały z takich publicznych rejestrów do własnych, komercyjnych baz. Ukarany obecnie podmiot miał takich rekordów, bagatela, 6 milionów. Gdyby chciał do wszystkich zainteresowanych osób wysłać listy z informacjami wymaganymi RODO lub choć wyemitować spoty informacyjne w telewizji o zasięgu ogólnopolskim, zapewne doznałby finansowej zapaści.
  4. RODO przewiduje jednak wyjątkowe sytuacje, w których przetwarzając dane osobowe, nie musimy informować o tym zainteresowanych osób. Jednym z wyjątków jest właśnie ten, gdy spełnienie obowiązku informacyjnego jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. W takim wypadku administrator udostępnia informacje publicznie.
  5. Na opisanym wyjątku opierała się ukarana firma, decydując, że nie spełni obowiązków informacyjnych względem 6 milionów osób znajdujących się w jej bazie (ograniczyła się do wysłania maili do tych niewielu osób, których adresy były w KRS czy CEIDG, a co do reszty – umieściła informację na własnej stronie internetowej).
  6. UODO ma jednak inny pogląd na znaczenie tego wyjątku. Skutkiem jest nałożenie kary wysokości 943.000 PLN oraz obowiązku powiadomienia o przetwarzaniu danych wszystkich zainteresowanych osób.
  7. UODO zapowiada, że kolejne kary będą nakładane już znacznie częściej niż raz na rok. Wiele postępowań jest obecnie w toku, ale zwyczajnie jeszcze nie zdążyły się zakończyć. Urząd ogłosił nawet plan systematycznych kontroli, o którym pisaliśmy już na naszym blogu: https://jwms.pl/kontrole-rodo-uderza-polskich-przedsiebiorcow/.

Autorstwo: Tomasz Wiese