spis treści
zamknij
BHPEX Logo

Blog bezpieczeństwa w pracy

Pierwsza w Polsce kara za naruszenie przepisów RODO

26 marca 2019 24

Urząd Ochrony Danych Osobowych nałożył pierwszą karę wynikającą z łamania przepisów RODO. Nie podano nazwy firmy, wiadomo jednak, że jest to warszawska spółka, która przetwarzała ogólnodostępne dane w Internecie. Kara za naruszenie przepisów RODO w tym przypadku będzie wynosiła blisko milion złotych, a ściślej – ponad 943 tys. zł.

Za co ten MILION?

Urząd Ochrony Danych Osobowych nałożył grzywnę za niedopełnienie obowiązku informacyjnego – mówiła Edyta Bielak-Jomaa, prezes UODO, na wtorkowej (26 marca 2019 r.) konferencji prasowej.

Warszawska firma budowała bazy danych pozwalające na weryfikację autentyczności podmiotów – słowem, tworzyła rejestr przedsiębiorców. Dane pochodziły ze źródeł publicznych, takich jak: Główny Urząd Statystyczny, Centralna Ewidencja i Informacja o Działalności Gospodarczej, Monitor Sądowy i Gospodarczy, itp.

Profesjonalnie poprowadzimy dla Ciebie sprawy związane z ochroną danych osobowych, zachęcamy do skorzystania z naszych usług. Tel. 68 411 40 00

Jednak o fakcie przetwarzania danych zostali poinformowani tylko ci przedsiębiorcy, którzy wpisali w oficjalnych rejestrach swój adres email. Wysyłkę listów z informacją o przetwarzaniu danych osobowych do pozostałych osób firma uznała za zbyt drogą i dysproporcjonalną wobec zysków, jakie miałaby osiągnąć. Tak interpretowała Art. 14 ust. 5 lit. b Rozporządzenia RODO. Spółka opublikowała jedynie informację o przetwarzaniu danych osobowych na swojej stronie internetowej.

Kara za naruszenie przepisów RODO

Czym właściwie jest obowiązek informacyjny?

Obowiązkiem każdego Administratora Danych Osobowych jest podjęcie odpowiednich środków, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji dotyczących przetwarzania danych osobowych oraz prowadzić z nią wszelką komunikację związaną z wykonywaniem praw osoby, której dane dotyczą w związku z przetwarzaniem. ADO obowiązany jest udzielić informacji pisemnie lub w inny sposób, aby osoba, której dane dotyczą mogła się z nią zapoznać. Obowiązek ten wynika z art. 12 RODO.

RODO wskazuje jakie elementy powinna zawierać klauzula informacyjna, by obowiązek informacyjny został spełniony zgodnie z obowiązującym prawem w zależności od tego czy dane pochodzą bezpośrednio od osoby, której dane dotyczą czy z innych źródeł.

RODO przewiduje wyjątki od spełniania obowiązku informacyjnego w sposób bezpośredni. Wśród nich znajduję się zapis, na który powołała się warszawska firma, podejmując się jego błędnej interpretacji. Przedmiotowy zapis mówi o tym, że nie ma wymogu spełnienia obowiązku informacyjnego przez Administratora Danych Osobowych, w sytuacji gdy udzielenie takich informacji okazałoby się niemożliwe lub angażowałoby niewspółmiernie dużo wysiłku.

W bazie było 6 milionów rekordów

Brak spełnienia obowiązku informacyjnego sprawił, że osoby, których dane były przetwarzane, nie mogły zrealizować praw wynikających z RODO. Są to między innymi żądania usunięcia czy sprostowania danych osobowych, ograniczenia przetwarzania czy też prawo dostępu do danych. Innymi słowy, wiele osób nie miało żadnego pojęcia o tym, że ich dane są przetwarzane. Nie mogło zatem skorzystać z praw, które im przysługują.

UODO nie zgodził się z takim postępowaniem, wskazując, że zamieszczenie klauzuli informacyjnej jedynie na stronie internetowej warszawskiej firmy było niewystarczające, a Administrator Danych Osobowych mając dane kontaktowe do poszczególnych osób winien był spełnić wobec nich obowiązek informacyjny, umożliwiając im powzięcie informacji o przetwarzaniu ich danych oraz o przysługujących im w związku z przetwarzaniem prawach. Oprócz administracyjnej kary pieniężnej w wysokości blisko 1 mln zł, UODO nakazał również wysyłkę listów tradycyjnych do wszystkich, którzy nie podali adresu e-mail. Tu należy dodać, że tylko do ok. 90 tysięcy osób zostały dostarczone informacje w formie elektronicznej, z czego ok. 12 tysięcy osób od razu skorzystało z prawa do usunięcia danych – „prawo do bycia zapomnianym”.

UODO wymierzając administracyjną karę pieniężną wziął pod uwagę fakt, iż działanie warszawskiego przedsiębiorstwa miało charakter umyślny, a nadto, że Administrator Danych Osobowych nie podjął żadnych działań mających na celu usunięcie naruszenia, ani też do podjęcia takich działań się nie zobowiązał.

OUTSOURCING RODO
Profesjonalnie prowadzimy sprawy związane z ochroną danych osobowych

Zadzwoń teraz +48 68 411 40 00 www.bhpex.pl/rodo/

Kara za naruszenie przepisów RODO

Administracyjna kara za naruszenie przepisów RODO może być bardzo wysoka. Górna granica jaką może nałożyć organ nadzorczy w zależności od naruszenia sięga do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego bądź do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie zawsze ma kwota wyższa.

W przedmiotowym stanie faktycznym zastosowanie znajdzie wyższa z wymienionych kar – do 20 000 000 EUR; w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Warszawskiej firmie przysługuje prawo wniesienia odwołania od decyzji UODO, z którego zapewne skorzysta.

Należy również podkreślić, iż oprócz administracyjnej kary pieniężnej nałożonej przez UODO, Administrator Danych Osobowych może również ponieść konsekwencje wynikające z art. 82 RODO. Zgodnie z przywołanym przepisem, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO, ma prawo uzyskać od Administratora Danych Osobowych odszkodowania za poniesioną szkodę.

Kara za naruszenie przepisów RODO

Co zrobić, by zmniejszyć ryzyko wystąpienia naruszenia, a tym samym uniknąć kary?

Ważne jest, by każdy podmiot przetwarzający dane osobowe, zarówno ten który ma obowiązek wyznaczenia Inspektora Ochrony Danych, jak również ten, który takiego obowiązku nie ma, korzystał z pomocy specjalisty w zakresie ochrony danych osobowych. Na marginesie pragniemy dodać, iż nasza firma zajmuje się profesjonalną obsługą w zakresie RODO. Nawiązanie z nami współpracy pozwoli Ci uniknąć podobnych sytuacji niekorzystnych dla Twojej firmy. Oferujemy m.in. wzorcową dokumentację ochrony danych osobowych.

RODO w Polsce i Europie

RODO to unijne rozporządzenie, którego celem jest lepsza ochrona danych osobowych. Weszło w życie 25 maja 2018 roku i obowiązuje na terenie całej Unii Europejskiej. Od początku budziło wiele kontrowersji i obaw wśród przedsiębiorców, a także wśród osób fizycznych. Nowe przepisy wprowadziły bowiem bardzo wysokie administracyjne kary pieniężne, o których była mowa powyżej. Pierwsza kara za naruszenie przepisów RODO w Europie została nałożona na francuski sklep internetowy i wynosiła 250 000 EUR. Firma nie dochowała bezpieczeństwa danych klientów. Dotkliwa kara za naruszenie przepisów RODO miała również na celu uświadomić innym przedsiębiorcom, że kwestii bezpieczeństwa informacji nie należy lekceważyć. Dziś przekonała się o tym także warszawska firma…

Nie chcesz aby podobna sytuacja przydarzyła się Twojej firmie?

Nasza firma oferuje kompleksowe usługi z zakresu ochrony danych osobowych. Zapraszamy do kontaktu tel. +48 68 411 40 00.

Komentarze (24)

Treść komentarza

Dość kontrowersyjna kara, tym bardziej, że nie chodzi o wyciek, czy kradzież danych, ale o obowiązek informacyjny..

Treść komentarza

Czy kara jest dość kontrowersyjna? Za naruszenia praw osób, których dane dotyczą (w tym obowiązku informacyjnego) Administrator Danych Osobowych podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (art. 83 ust. 5 lit. b RODO ). W tym przypadku osoby, których dane były przetwarzane nie miały o tym żadnego pojęcia. Zawsze mogli otrzymać wyższą karę 🙂

Treść komentarza

Warto zaznaczyć, że kara nie została nałożona „ot tak”. W uzasadnieniu decyzji PUODO wskazał, że warszawska spółka nie podjęła żadnych działań zmierzających do usunięcia naruszenia ani nie zadeklarowała takiego zamiaru, stąd tak wysoka kara. Myślę, że gdyby Administrator Danych Osobowych nie wykazał się tak bierną postawą, kara byłaby znacznie mniejsza.

Treść komentarza

Hmmm… niewspółmierny koszt…. spółka powoływała się na to, że wysłanie klauzul informacyjnych listem poleconym było niewspółmiernym kosztem, jednakże spełnienie obowiązku informacyjnego listem zwykłym nie generowałoby tak wysokich kosztów… z drugiej jednak strony, jak spółka miałaby udowodnić fakt, iż swój obowiązek spełniła za pośrednictwem listów zwykłych…. wszyscy wiemy jak działa poczta polska…

Treść komentarza

Informowanie tych osób (czy też firm) byłoby zaśmieceniem ich skrzynek. Nie chcę być informowana… każdy już wie o RODO.

Treść komentarza

Obowiązek informacyjny musi zostać spełniony, ponieważ tak wynika z regulacji prawnych. Czy się państwo z nim zapoznają to już indywidualna kwestia 🙂

Treść komentarza

Nie podano nazwy firmy, ale w innych publikacjach pojawił się już nawet wywiad z prezesem tej spółki 🙂

Treść komentarza

RODO istnieje już rok – jedni zapłacili kary, drudzy wydali majątek na całą biurokrację 😉 😉

Dodaj komentarz