Kategorie

Milion złotych za niedopełnienie obowiązku informacyjnego - pierwsza kara RODO

Magda Judejko
Prawnik, Inspektor ds. Ochrony Danych Osobowych, Menadżer
Milion złotych za niedopełnienie obowiązku informacyjnego - pierwsza kara RODO/fot. Shutterstock
ShutterStock
Ukarano pierwszego przedsiębiorcę BISNODE karą w wysokości blisko MILIONA złotych, ponieważ według UODO niedopełniony został obowiązek informacyjny wobec ponad 6 mln osób przy przetwarzaniu danych osobowych, pochodzących z baz CEIDG oraz KRS. Decyzja nie jest prawomocna. BISNODE zastanawia się nad odwołaniem się do sądu.

Definicje użyte w tekście:

Organ nadzorczy – Urząd Ochrony Danych Osobowych (UODO);

Administrator danych osobowych - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele, zakres i sposoby przetwarzania danych osobowych;

RODO - Ogólne rozporządzenie o ochronie danych („RODO" / „Rozporządzenie");

Kara pieniężna – środek naprawczy według RODO, który powinien być skuteczny, proporcjonalny i odstraszający;

Dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);.

Przetwarzanie danych osobowych - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany.

Polecamy: Wiosenne rabaty do – 50%
Bestsellery – podatki, rachunkowość, prawo pracy
Dowiedz się więcej>>

Każdy z nas - co jakiś czas - zdziwiony odbiera telefony o prezentacjach garnków, pościeli i innych produktach i usługach i pewnie większość zastanawia się, skąd oni mieli mój numer telefonu. Otóż od lat powszechną praktyką jest tworzenie baz na podstawie ujawnionych danych osobowych, m.in. w rejestrach ogólnodostępnych w sieci. Na podstawie tych danych są tworzone kolejne bazy, zarówno biznesowe, pozwalające choćby na sprawdzanie wiarygodności kontrahentów, jak i niekomercyjne, służące jawności życia publicznego. Ponadto w marketingu bezpośrednim bazy danych to podstawa biznesu. Pomagają dotrzeć z ofertą sprzedaży do potencjalnych klientów. Najcenniejsze na rynku są bazy danych zawierające wyselekcjonowane kontakty, zwłaszcza tzw. leady. 25 maja 2018 r. weszło w życie Rozporządzenie RODO, a w tym tygodniu ukarano pierwszego przedsiębiorcę BISNODE karą w wysokości blisko MILIONA złotych, ponieważ według UODO niedopełniony został obowiązek informacyjny wobec ponad 6 mln osób przy przetwarzaniu danych osobowych, pochodzących z baz CEIDG oraz KRS. Decyzja nie jest prawomocna. BISNODE zastanawia się nad odwołaniem się do sądu.

Za co milion złotych kary?

Reklama

Jak wyjaśniał Piotr Drobek, Dyrektor Zespołu Analiz i Strategii w UODO – Spółka nie dopełniała obowiązku informacyjnego w stosunku do ponad 6 mln osób. Spośród około 90 tys. Osób, których spółka poinformowała o przetwarzaniu danych, ponad 12 tys. wniosło sprzeciw wobec przetwarzania ich danych. Pokazuje to, jak ważne jest prawidłowe spełnienie obowiązków informacyjnych, dla realizacji uprawnień przysługujących nam zgodnie z RODO.

Administrator wysyłał maile do przedsiębiorców z bazy, ale nie poinformował o przetwarzaniu danych osobowych przedsiębiorców, którzy nie podali w bazie CEIDG/KRS swojego adres email, wskazując na to, że przesłanie klauzuli informacyjnej pocztą wymagałoby niewspółmiernie dużego wysiłku (art. 14 pkt 5 lit b) i ta praktyka została przez Prezes UODO ukarana, ponieważ UODO stwierdził, że Spółka nie musiała ponosić kosztów przesyłek poleconych. Prezes UODO wskazuje, że działanie Administratora było umyślne „…spółka miała świadomość istnienia obowiązku podania stosownych informacji, jak i konieczności bezpośredniego informowania osób…”

Polecamy serwis: Ochrona danych osobowych

Dr Maciej Kawecki we wpisie na swoim Facebooku, podkreśla: „Bez informacji o tym, że nasze dane są przetwarzane nie możemy skorzystać z żadnego z naszych praw przewidzianych w #RODO. Bez informacji o tym, że nasze dane są przetwarzane, nie mamy nawet szansy wiedzieć, że podlegają bezprawnemu, wtórnemu obiegowi. Do realizacji obowiązku informacyjnego należy podchodzić bardzo racjonalnie, warstwowo, ale nie wolno nam mówić, że to coś mniejszej wagi. To jeden z najważniejszych obowiązków wynikających z #RODO. I mówię to ja, osoba, która prezentuje chyba najbardziej zdroworozsądkowe z możliwych ujęć ochrony danych osobowych

BISNODE na swojej stronie internetowej:

„…Naszym zdaniem, udzielanie informacji poprzez kanały cyfrowe, pocztą elektroniczną lub umieszczanie ogłoszeń w ogólnopolskich portalach informacyjnych jest bardziej pożądane zarówno przez odbiorców, jak i wysyłających….”

Decyzja nie jest prawomocna, może w celu dogłębnej analizy i interpretacji RODO, powinien zająć stanowisko Sąd.

Spełnienie obowiązku informacyjnego to podstawa ochrony danych osobowych

Administrator powinien spełnić wobec osób których dane dotyczą obowiązek informacyjny, poinformować, m.in. o:

  • swoich danych;

  • skąd ma dane tych osób;
  • w jakim celu;
  • jak długo zamierza je przetwarzać;
  • przysługujących osobom prawach na gruncie RODO (m.in. prawo do usunięcia, zmiany danych, prawo do sprzeciwu wobec przetwarzania, prawo złożenia skargi do UODO).

Kiedy należy spełnić obowiązek informacyjny?

RODO wskazuje, że spełnianie obowiązku informacyjnego powinno nastąpić w dwóch sytuacjach:

  • gdy dane zbierane są bezpośrednio od osoby, której one dotyczą,
  • w przypadku gromadzenia danych ze źródeł pośrednich, tj. nie od osoby, której one dotyczą.

Dane nie pochodzą od osoby, której dotyczą? Kiedy poinformować o przetwarzaniu danych?

Jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła należy poinformować ją o tym w rozsądnym terminie, jednak nie później niż w ciągu miesiąca. (art. 14 ust. 3 lit. a oraz motywem 61 Preambuły RODO t).

Dane osobowe wykorzystywane do komunikacji - obowiązek informacyjny powinniśmy spełnić najpóźniej przy pierwszej takiej komunikacji.

Administrator planuje ujawnić dane osobowe innemu odbiorcy - informacja powinna dotrzeć do osoby, której dane dotyczą, już w momencie pierwszego ujawnienia tych danych odbiorcy (art. 14 ust. 3 lit. c RODO).

Podsumowanie

Dla przedsiębiorców, szczególnie związanych marketingiem, generowanie i sprzedaż baz danych to podstawa biznesu, a dzieje się to od lat na ogromną skalę. Wprowadzenie obowiązku informacyjnego w RODO to podstawowy i najważniejszy obowiązek Administratorów danych osobowych. 25 maja 2018 r. wokół nowych przepisów RODO wybuchła powszechna panika przed grożącymi karami. Po prawie roku kampanii informacyjnej, osoby których dane dotyczą, mają większą świadomość i składają skargi na Administratorów danych co zapoczątkowało, kontrole i weryfikacje przestrzegania RODO, a co za tym idzie – co jest naturalna konsekwencją – doszło do pierwszego ukarania. I widzimy, że UODO zamierza bezwzględnie egzekwować wobec Administratorów danych spełnianie obowiązków wynikających z RODO. Mówimy tutaj o niebagatelnej i działającej na wyobraźnię kwocie sięgającej blisko MILIONA złotych. Miejmy nadzieję, że skończą się wreszcie często spotykane wypowiedzi wielu Administratorów danych typu: „mnie RODO nie dotyczy” albo „mamy już RODO od roku a nic się z tym nie dzieje”. Decyzja nie jest prawomocna, Administrator może odwołać się do Sądu.

Warto pamiętać:

  1. Administrator mimo że częściowo starał się działać zgodnie z RODO, dostał MILION złotych kary.
  2. Nie można zbierać tzw. leadow  i wysyłać treści bez informacji m.in. kim jesteśmy, w jakim celu się komunikujemy i jakie uprawnienia przysługują odbiorcy.
  3. Prawie rok od RODO, w obliczu kontroli i nakładanych kar, każdy Administrator powinien zweryfikować swoje operacje na danych osobowych oraz przeanalizować m.in.:
  • jakie dane przetwarza?
  • jaki jest cel przetwarzania danych?
  • z jakich źródeł pochodzą dane które przetwarza?
  • skąd ma uprawnienie do przetwarzania danych?
  • czy i komu udostępnia przetwarzane prze siebie dane?
  • jakie środki techniczne i prawne stosuje w celu zabezpieczenia przetwarzanych przez siebie danych?
  • czy przesyła dane moich klientów do państw trzecich?
  • czy korzysta i w jakim zakresie z profilowania klientów?
  • czy korzysta z geolokalizacji?
  • czy przetwarza dane wrażliwe?
  • czy pracownicy zostali poinformowani jak legalnie przetwarzać dane?

Magda Judejko, www.pharos.pl

Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Prawo
    1 sty 2000
    21 cze 2021
    Zakres dat:
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail

    Uznanie ojcostwa w 2021 r. – jak i kiedy?

    Zasady dotyczące uznania ojcostwa w 2021 r. nie zmieniły się. Na czym polega uznanie ojcostwa i jak tego dokonać?

    Kto ponosi odpowiedzialność za wypadek na basenie?

    Czy i od kogo można żądać odszkodowania za wypadek na basenie? Kwestię odpowiedzialności należy wywodzić z Kodeksu cywilnego.

    26.07.2021 wojewodowie ogłoszą termin kwalifikacji wojskowej

    26.07.2021 ogłoszony zostanie termin drugiej w tym roku kwalifikacji wojskowej. Kwalifikacja potrwa do 19.11.2021 i przeprowadzona zostanie przez powiatowe komisje lekarskie. Za powołanie tych komisji odpowiedzialni są wojewodowie.

    Upadłość konsumencka - koszty

    Upadłość konsumencka wiąże się z kilkoma kosztami, które dłużnik zobowiązany jest pokryć. Jak przygotować się do złożenia wniosku?

    RDOŚ powoła nowe strefy ochronne

    Nowe strefy ochronne dla rzadkich gatunków ptaków. Leśnicy z Nadleśnictwa Połczyn (RDLP w Szczecinku) znaleźli aż trzy nowe stanowiska ptaków chronionych, które wymagają ustalenia stref ochrony. Dwa gniazda są zajęte przez bociana czarnego (Ciconia nigra), a jedno przez orlika krzykliwego (Clanga pomarina).

    Delegowanie funkcjonariuszy SW do ośrodka w Gostyninie

    20.06.2021 weszła w życie ustawa mająca zapewnić środki na stworzenie tymczasowej placówki dla pacjentów ośrodka w Gostyninie, w którym przebywają najgroźniejsi przestępcy już po odbyciu kary. Przepisy pozwolą też na czasowe delegowanie tam funkcjonariuszy Służby Więziennej.

    Loty przeciwpożarowe i gaśnicze 2021 r.

    W 2021 r. zmieniły się przepisy ustawy – Prawo lotnicze. Umożliwiono Prezesowi Urzędu Lotnictwa Cywilnego wydanie – na wniosek zainteresowanego podmiotu – zezwolenia na wykonywanie zarobkowych operacji specjalistycznych wysokiego ryzyka statkami powietrznymi pozostającymi pod nadzorem krajowym, a także na wykonywanie zarobkowych operacji polegających na wykonywaniu lotów przeciwpożarowych i gaśniczych.

    500 plus – czerwiec 2021 r.

    Dla świadczeń „500 plus” czerwiec 2021 r. jest ważnym miesiącem. O jakim terminie warto pamiętać?

    Zmiany w zawiadamianiu wojskowych komendantów uzupełnień o osobach podlegających obowiązkowi czynnej służby wojskowej od 29.06.2021

    Od 29.06.2021 obowiązywać będą nowe wzory zawiadomień wojskowych komendantów uzupełnień o osobach podlegających obowiązkowi czynnej służby wojskowej oraz wydawania przez pracodawców, szkoły i inne jednostki organizacyjne zaświadczeń w sprawach powszechnego obowiązku obrony.

    Nowy formularz skierowania do komisji lekarskiej w Służbie Więziennej od 29.06.2021

    29.06.2021 r. w Służbie Więziennej obowiązywać będzie nowy formularz skierowania do komisji lekarskiej. Skierowane dotyczy kandydata, funkcjonariusza, funkcjonariusza zwolnionego, emeryta oraz rencisty.

    Czy Policja nie będzie musiała już badać stanu trzeźwości pracownika?

    Ministerstwo Rozwoju, Pracy i Technologii przygotowało przepisy, które umożliwią pracodawcom - pod pewnymi warunkami - wprowadzenie prewencyjnego badania pracowników na obecność alkoholu lub podobnie działających środków, a także zasady jego przeprowadzania.

    30.06.2021 r. upływa termin na dokonanie zgłoszenia rejestracyjnego do Centralnego Rejestru Podmiotów Akcyzowych

    Od 1 lipca 2021 r. podmioty, które nie zostały zarejestrowane w CRPA nie będą mogły prowadzić działalności gospodarczej w zakresie wyrobów akcyzowych. Z kolei podmioty zużywające wyroby akcyzowe nieprowadzące działalności gospodarczej i niebędące osobami fizycznymi (takie jak jednostki samorządu terytorialnego, wojsko, policja, straż graniczna) nie będą mogły nabywać zwolnionych od akcyzy - ze względu na ich przeznaczenie - paliw lotniczych, paliw żeglugowych i gazu LPG.

    NIK o resocjalizacji więźniów poprzez aktywizację zawodową

    Nastąpił wzrost aktywności pracowniczej i społecznej więźniów oraz zwiększenie ich zdolności do zatrudnienia. Przyczynił się do tego specjalny program szkoleń, które w ramach resocjalizacji prowadziła Służba Więzienna. Choć praca osadzonych po zakończonych szkoleniach była istotą projektu, to jednak jego założenia nie gwarantowały utrwalania zdobytych umiejętności. W konsekwencji większość uczestników projektu wykonywało nieodpłatne prace porządkowe i pomocnicze na rzecz zakładów karnych. W wielu przypadkach prace te pozostawały bez związku z tematem ukończonego szkolenia a wykonywane były przez krótkie okresy. Ograniczało to skuteczność wejścia na rynek pracy po opuszczeniu jednostki penitencjarnej.

    Podsumowanie operacji Labour Exploitation Empact Action Days 2021

    Od 31 maja do 6 czerwca 2021r. polska Policja uczestniczyła w międzynarodowej operacji Labour Exploitation Empact Action Days 2021 mającej na celu zwalczanie handlu ludźmi wykorzystywanymi do pracy przymusowej. Wydział dw. z Handlem Ludźmi Biura Kryminalnego Komendy Głównej Policji, jako krajowy koordynator platformy EMPACT THB, koordynował działania podjęte przez wszystkie Komendy Wojewódzkie Policji i Komendę Stołeczną Policji. W operacji wzięli udział również funkcjonariusze Straży Granicznej, pracownicy Okręgowych Inspekcji Pracy oraz Sanepidu. Całość działań koordynowana była przez Europol.

    Trwają prace nad projektem nowelizacji przepisów i zasad regulujących obszar przeprowadzania czynności kontrolno-rozpoznawczych oraz prowadzenia postępowań pokontrolnych

    18.06.2021 odbyło się spotkanie zespołu roboczego Komendanta Głównego PSP do spraw opracowania projektu nowelizacji przepisów i zasad regulujących obszar przeprowadzania czynności kontrolno-rozpoznawczych oraz prowadzenia postępowań pokontrolnych.

    Pobieranie torrentów - wyrok TSUE

    Trybunał Sprawiedliwości Unii Europejskiej orzekł, iż dostawca internetu może systematycznie rejestrować adresy IP użytkowników oraz udostępniać ich nazwy i adresy pocztowe podmiotowi praw własności intelektualnej lub osobie trzeciej, zajmującej się windykacją tych praw.

    TSUE o dochodzeniu sprawiedliwości przed polskim sądem za zwrot "polskie obozy"

    Były więzień Auschwitz nie może dochodzić sprawiedliwości przed polskim sądem za zwrot "polskie obozy". Tak uznał Trybunał Sprawiedliwości Unii Europejskiej.

    Pokazy dla seniorów – propozycje zmian

    Pokazy, często kierowane do seniorów, mogą być źródłem nieuczciwych praktyk przedsiębiorców. UOKiK przygotował propozycje zmian w przepisach.

    Zniesławienie – jak można dochodzić odpowiedzialności sprawcy?

    Zniesławienie to przestępstwo, a jego ofiara może dochodzić odpowiedzialności sprawcy w postępowaniu karnym. W jaki sposób?

    SN o kwalifikacji danego związku chemicznego w sprawie o narkotyki

    Zdaniem Sądu Najwyższego o tym jak kwalifikować dany związek chemiczny w sprawie o narkotyki decyduje sąd orzekający.

    Wakacje 2021 - prawa pasażerów

    W wakacje 2021 r. ruch pasażerski będzie zależał od sytuacji epidemiologicznej. O jakich prawach powinni pamiętać pasażerowie?

    Dobry start 2021 – wniosek

    Wniosek o świadczenie dobry start w 2021 r. rodzice złożą według zmienionych zasad. Od kiedy będą przyjmowane wnioski?

    PESEL w spisie powszechnym - UODO wystąpił do GUS

    Prezes UODO wystąpił do GUS w sprawie wątpliwości dotyczących procesu pozyskiwania numeru PESEL od osób dokonujących tzw. samospisu internetowego.

    Termin wdrożenia e-doręczeń przesunięty?

    Przesunięcie terminu wdrożenia e-doręczeń zakłada nowelizacja uchwalona przez Sejm. Kiedy mają wejść w życie nowe przepisy?

    Emerytura dla zwierząt służących w służbach mundurowych

    Rząd przyjął projekt ustawy regulującej status zwierząt w służbach mundurowych. Projekt zmienia w tym zakresie m.in. ustawę o Policji oraz szereg innych aktów prawnych.