UODO nakłada pierwszą karę na gruncie RODO

Prezes UODO ogłosiła nałożenie pierwszej kary na gruncie RODO: kara w wysokości ok. 950 tys. zł (220 tys. euro) została nałożona na firmę, która nie spełniła obowiązku informacyjnego wobec osób prowadzących działalność gospodarczą.

Ukarana firma pozyskiwała dane osobowe z publicznie dostępnych rejestrów państwowych, m.in. CEIDG, i tworzyła z nich bazy danych pozwalające sprawdzić wiarygodność kontrahentów. Przedsiębiorcom, którzy udostępnili w rejestrze swój adres e-mail, firma wysłała wiadomość z informacją o tym, że przetwarza ich dane. Jednak w przypadku osób, które podały wyłącznie adres lub numer telefonu, firma ograniczyła się do zamieszczenia informacji na swojej stronie internetowej. Powołała się przy tym na art. 14 ust. 5 RODO, który zwalnia administratorów z obowiązku informacyjnego, jeśli jego spełnienie jest niemożliwe lub wymaga niewspółmiernie dużego wysiłku. W tym przypadku nie ulega wątpliwości, że poinformowanie było możliwe (firma dysponowała danymi kontaktowymi), a więc wszystko rozbija się o to, czy wysłanie listów do pozostałych przedsiębiorców stanowiło „niewspółmiernie duży wysiłek”. Zdaniem UODO – nie.

Informowanie o tym, kto i w jakim celu przetwarza dane, to punkt wyjścia dla skutecznej ochrony danych – nie wiedząc, kto i po co przetwarza nasze dane, nie mamy szans realizować swoich praw, np. poprosić o ich usunięcie. Prawa wynikające z RODO przysługują również jednoosobowym przedsiębiorcom. Zwracaliśmy na to uwagę, krytykując w cyklu „RODO na tacy” złą praktykę firm polegającą na zawłaszczaniu danych osób prowadzących działalność gospodarczą. Podkreślenie wagi obowiązku informacyjnego przez Prezesa UODO to ważny sygnał zarówno dla administratorów, jak i dla osób, które często czują się bezsilne wobec firm wykorzystujących ich dane w niewiadomych celach i bez ich zgody.

Prawie milion złotych to niemała kwota. Jednak ocena, czy kara jest zbyt wysoka, czy zbyt niska, wymaga znajomości konkretnych okoliczności sprawy – zgodnie z RODO kara ma być skuteczna, proporcjonalna i odstraszająca w indywidualnym przypadku. W wypowiedzi dla mediów Prezes UODO powiedziała, że wysokość kary powinna być na tyle duża, by administrator nie wkalkulował jej w koszty swojej działalności. W pełni się z tym zgadzamy i liczymy na to, że praktyka urzędu sprawi, że firmy zyskają kolejny argument – finansowy, aby wpisać silną ochronę danych w swoje codzienne działania.

Karolina Iwańska

Polecamy:

Panoptykon: Zawłaszczenie danych osób prowadzących działalność gospodarczą

Wesprzyj nas w walce o wolność i prywatność. Przekaż swój 1% podatku Fundacji Panoptykon! Nasz nr KRS: 0000327613.