UODO nakłada pierwszą karę na gruncie RODO

W skrócie
RODO_grafika

Prezes UODO ogłosiła nałożenie pierwszej kary na gruncie RODO: kara w wysokości ok. 950 tys. zł (220 tys. euro) została nałożona na firmę, która nie spełniła obowiązku informacyjnego wobec osób prowadzących działalność gospodarczą.

Ukarana firma pozyskiwała dane osobowe z publicznie dostępnych rejestrów państwowych, m.in. CEIDG, i tworzyła z nich bazy danych pozwalające sprawdzić wiarygodność kontrahentów. Przedsiębiorcom, którzy udostępnili w rejestrze swój adres e-mail, firma wysłała wiadomość z informacją o tym, że przetwarza ich dane. Jednak w przypadku osób, które podały wyłącznie adres lub numer telefonu, firma ograniczyła się do zamieszczenia informacji na swojej stronie internetowej. Powołała się przy tym na art. 14 ust. 5 RODO, który zwalnia administratorów z obowiązku informacyjnego, jeśli jego spełnienie jest niemożliwe lub wymaga niewspółmiernie dużego wysiłku. W tym przypadku nie ulega wątpliwości, że poinformowanie było możliwe (firma dysponowała danymi kontaktowymi), a więc wszystko rozbija się o to, czy wysłanie listów do pozostałych przedsiębiorców stanowiło „niewspółmiernie duży wysiłek”. Zdaniem UODO – nie.

Informowanie o tym, kto i w jakim celu przetwarza dane, to punkt wyjścia dla skutecznej ochrony danych – nie wiedząc, kto i po co przetwarza nasze dane, nie mamy szans realizować swoich praw, np. poprosić o ich usunięcie. Prawa wynikające z RODO przysługują również jednoosobowym przedsiębiorcom. Zwracaliśmy na to uwagę, krytykując w cyklu „RODO na tacy” złą praktykę firm polegającą na zawłaszczaniu danych osób prowadzących działalność gospodarczą. Podkreślenie wagi obowiązku informacyjnego przez Prezesa UODO to ważny sygnał zarówno dla administratorów, jak i dla osób, które często czują się bezsilne wobec firm wykorzystujących ich dane w niewiadomych celach i bez ich zgody.

Prawie milion złotych to niemała kwota. Jednak ocena, czy kara jest zbyt wysoka, czy zbyt niska, wymaga znajomości konkretnych okoliczności sprawy – zgodnie z RODO kara ma być skuteczna, proporcjonalna i odstraszająca w indywidualnym przypadku. W wypowiedzi dla mediów Prezes UODO powiedziała, że wysokość kary powinna być na tyle duża, by administrator nie wkalkulował jej w koszty swojej działalności. W pełni się z tym zgadzamy i liczymy na to, że praktyka urzędu sprawi, że firmy zyskają kolejny argument – finansowy, aby wpisać silną ochronę danych w swoje codzienne działania.

Karolina Iwańska

Polecamy:

Panoptykon: Zawłaszczenie danych osób prowadzących działalność gospodarczą

Wesprzyj nas w walce o wolność i prywatność. Przekaż swój 1% podatku Fundacji Panoptykon! Nasz nr KRS: 0000327613.

Komentarze

Ale to jednak jest kontrowersyjne, że firma została mocno ukarana za sam fakt przechowywania danych, a nie za ich niecne wykorzystywanie.

@Paweł
A skąd wiadomo, że ukarana firma tylko przechowywała dane? Czy należy w takim razie rozumieć, że przedsiębiorca ten poniósł koszty pobrania rekordów i zbudowania bazy danych tylko po to, żeby te informacje przechowywać dla samego przechowywania? I nie zrobił tego po to, by następnie bazę skomercjalizować? Zaiste dziwne cele biznesowe wyznaczają sobie różne podmioty...
Po wtóre Pawle, firma nie została ukarana "za sam fakt przechowywania danych", tylko za niewypełnienie obowiązku informacyjnego wobec niemal wszystkich osób, których dane zgromadziła (z komunikatu UODO wynika, że na 6 mln rekordów w bazie, obowiązek spełniła wobec 90 tys. osób - ta proporcja to jakaś masakra). Z działania UODO płynie taki wniosek: jeśli stać cię na biznes, w ramach którego masowo przetwarzasz dane, to musi cię być stać na to, by spełniać obowiązki wobec podmiotów danych (na których zapewne zarabiasz).
Z mojej perspektywy mało ważne jest też to, czy jestem etatowcem czy osobą prowadzącą jednoosobową działalność gospodarczą. W każdym przypadku zależy mi na tym, by wiedzieć kto, po co i jak długo wykorzystuje informacje o mnie, bym mógł świadomie korzystać ze swoich praw wobec takiego podmiotu - i właśnie za pozbawienie ludzi takich możliwości, Urząd nałożył karę.

Osobiście uważam decyzję za słuszną i mam nadzieję, że sąd jej nie podważy. Firma przetwarzająca dane wszystkich firm w Polsce musi zdawać sobie sprawę z kosztów, które poniesie podczas przetwarzania tych danych, nie może najpierw pozyskać dane, a później twierdzić, że obowiązek informacyjny jest niewykonalny, bo w ten sposób każdy mógłby omijać prawo.
Moim zdaniem podmiot przetwarzający dane CEIDG powinien informować również każde przekazanie danych podmiotowi trzeciemu.
Spółki podobne do tej, na którą nałożono karę przekazują te dane np. katalogom firmowym, których jedyną rolą jest generowanie ruchu internetowego do ich strony i np. pozyskiwanie wpływów z reklam. Nie widzę prawnego i społecznego zysku z tego typu katalogów, bo informacje te i tak są dostępne, więc tworzenie ich kopii nie jest uzasadnione. Katalogi są szkodliwe dla samych firm, bo mogą utrudniać odnalezienie strony firmowej w wyszukiwarce po wpisaniu nazwy firmy.
Moim zdaniem prawo polskie nie dopuszcza możliwości udostępniania kopii katalogu CEIDG w całości bez zgody ministerstwa, a podmioty przetwarzające te dane ignorują ten wymóg i do tej pory nie spotykały się z żadnymi konsekwencjami. Art. 47 ustawy o CEIDG reguluje kwestię udostępniania danych CEIDG w całości. Moim zdaniem, sposób, w jaki do tej pory dane te były przetwarzane jest niezgodny z prawem polskim i RODO.

Brawo Pani Prezes. Czekam na następne kary dla tzw. wizytówek firm (min. aleo.com) przetwarzających dane osób fizycznych z CEIDG, nie tylko nie informują o tym fakcie, ale również odmawiają usunięcia tych danych na żądanie osób zainteresowanych. To że dane są ogólnodostępne nie oznacza, że każdy może je publikowac w internecie, a do sprawdzania "wiarygodności kontrahentów" służy właśnie CEIDG.

Firma ta nie przechowuje danych tylko przetwarza dane osób fizycznych w celach marketingowych bez spełnienia obowiązku informacyjnego. Dlatego również popieram UODO.

Pani Karolino czekamy na artykuł "Zawłaszczenie danych osób prowadzących działalnośc gospodarczą".

Dodaj komentarz