Pierwsza administracyjna kara pieniężna za naruszenie RODO

28.03.2019

#

Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą administracyjną karę pieniężna za naruszenie RODO. Organ uznał, że firma pozyskująca dane z publicznie dostępnych rejestrów nie spełniła obowiązku informacyjnego wynikającego z rozporządzenia ogólnego o ochronie danych osobowych.

Prezes UODO wymierzył karę w wysokości ponad 943 tys. zł spółce z branży doradczej. Firma, wobec której zastosowano sankcję, to podmiot pozyskujący dane ze źródeł publicznie dostępnych, m.in. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEiDG). Z ustaleń organu wynika, że pozyskiwane dane przetwarzane były w celach zarobkowych.

Organ zweryfikował niedopełnienie obowiązku informacyjnego wobec osób fizycznych prowadzących działalność gospodarczą – przedsiębiorców, którzy aktualnie ją prowadzą bądź tę działalność zawiesili, jak i względem tych, którzy prowadzili ją w przeszłości. Administrator spełnił  jedynie w wąskim zakresie ciążący na nim obowiązek informacyjny, podając informacje wymagane przepisami art. 14 ust. 1-3 RODO jedynie tym osobom, do których miał adresy e-mail. W przypadku pozostałych osób tego nie zrobił – jak sam to wyjaśniał w toku postępowania – z uwagi na wysokie koszty takiej operacji (wysokie koszty korespondencji).

W ocenie organu taka argumentacja nie była uzasadniona. Zdaniem Prezesa UODO ukarana firma powinna poinformować wszystkie osoby, których dane zbiera i przetwarza m.in. o: swoich danych, skąd ma dane tych osób, w jakim celu i jak długo zamierza je przetwarzać oraz o przysługujących osobom prawach na gruncie RODO (choćby możliwości żądania usunięcia danych czy też sprostowania danych osobowych). Jak wyjaśnił Piotr Drobek – Dyrektor Zespołu Analiz i Strategii w UODO – spółka nie dopełniała obowiązku informacyjnego w stosunku do ponad 6 mln osób.  Spośród około 90 tys. osób, które spółka (za pośrednictwem wiadomości e-mial) poinformowała o przetwarzaniu zebranych danych, ponad 12 tys. wniosło sprzeciw wobec przetwarzania ich danych.

W ocenie organu naruszenie miało charakter umyślny, ponieważ spółka miała świadomość istnienia obowiązku podania stosownych informacji, jak i konieczności bezpośredniego informowania osób, których dane dotyczą. Okoliczność ta wpłynęła na wymiar kary. Ponadto na jej wysokość wpływ miał fakt, iż administrator prezentował w toku postępowania bierną postawę – nie podjął żadnych działań zmierzających do usunięcia naruszenia ani nie zadeklarował takiego zamiaru.

Z analizy uzasadnienia decyzji wynika, że organ wymierzając pieniężną karę administracyjną odwołał się zasady przejrzystości, zgodnie z którą dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą. Zdaniem Prezesa UODO zasada ta ma kluczowe znaczenie dla rzetelnego przetwarzania danych osobowych, zwłaszcza w kontekście istotnego rozbudowania, mocą przepisów rozporządzenia ogólnego o ochronie danych osobowych, obowiązków dotyczących informowania podmiotów i umożliwienia osobom, których dane dotyczą realizacji ich uprawnień.

Decyzja jest ostateczna, jednakże ukaranej spółce przysługuje prawo złożenia skargi na decyzję Prezesa UODO do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Kategorie: RODO

Zapisz się
do newslettera

    16.11.2021

    legislacja, RODO

    UODO: przedsiębiorstwa nie mogą przekazywać gminom danych o zużyciu wody

    12.05.2021

    RODO, spółki komunalne

    UODO: zawarcie umowy bez kopiowania aktów notarialnych

    19.03.2020

    RODO

    Ochrona danych osobowych w stanie zagrożenia epidemicznego

    28.02.2020

    RODO

    Obowiązek przeprowadzenia DPIA przez przedsiębiorstwa

    20.01.2020

    RODO

    Zdalne odczytywanie wodomierzy pod lupą UODO

    12.11.2019

    RODO, samorząd

    Pierwsza gmina ukarana za niestosowanie przepisów RODO