Pierwsza kara za naruszenie przepisów RODO! Jak uniknąć kary?

Pierwsza kara za naruszenie przepisów RODO!
Jak uniknąć kary w przypadku kontroli?

26 marca prezes Urzędu Ochrony Danych Osobowych ogłosił informację o nałożeniu pierwszej kary pieniężnej w wysokości 1 miliona złotych za nieprawidłowe przetwarzanie danych osobowych na firmę Bisnode tzw. wywiadownie gospodarczą. Spółka Bisnode przetwarzała w Internecie powszechnie dostępne dane innych przedsiębiorców prowadzących działalność gospodarczą.  

Jaka kara grozi za nieprawidłowe przetwarzanie danych osobowych?

Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/(Dz.U. 2018 poz. 1000), dalej: rozporządzenie RODO, wskazuje, że za nieprawidłowe przetwarzanie danych osobowych grozi kara pieniężna w wysokości do 10 000 000 euro. Ewentualnie w wysokości 2 % całkowitego, rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Bisnode przetwarzało w Internecie powszechnie dostępne dane podmiotów prowadzących działalność  gospodarczą, dane były pobierane z takich rejestrów jak: CEiDG KRS, GUS, CEPiK. We wskazanych rejestrach jest adres konkretnej osoby. Czasem także numer telefonu i adres mailowy. Prezes UODO przyjął, że kontakt z tymi osobami jest możliwy na podstawie zbieranych przez Bisnode danych.

Z uzyskanych informacji wynika, że wszystkie podmioty, które podały w oficjalnych rejestrach swój adres mailowy zostały poinformowane przez Bisnode o przetwarzaniu ich danych. Jednak w przypadku pozostałych podmiotów, ukarana spółka postanowiła skorzystać z wyjątku opisanego w art. 14 pkt 5 lit b rozporządzenia RODO, który pozwala odejść od obowiązku informowania o przetwarzaniu danych jeżeli wymagałoby to niewspółmiernie dużego wysiłku. Przedsiębiorstwo przyjęło stanowisko, że koszt wysłania pisma pocztą tradycyjną byłoby niewspółmierne duże do zysków, jakie planowało osiągnąć z tego przedsięwzięcia.

Prezes Urzędu Ochrony Danych Osobowych uznał  działanie Bisnode za niezgodne z prawem i stwierdził, że doszło do naruszenia Rozporządzenia RODO i nałożył na spółkę 1 milion złotych kary oraz nakazał wysyłkę listów do podmiotów prowadzących działalność gospodarczą, które nie zostały poinformowane o fakcie, że ich dane są przetwarzane.

Prawnicy oczekiwali, że pierwsza nałożona kara będzie dotyczyła najbardziej fundamentalnych nieprawidłowości związanych z przetwarzaniem danych osobowych, taki jak brak podstaw do przetwarzania albo handel bazami danych.  Jednak błędy formalne i nadużycie prawa, jak widać też mogą dużo kosztować przedsiębiorstwa.

Dlaczego nałożono karę? O czym należy pamiętać, aby nie dostać kary?

Podstawowym błędem ukaranej spółki był brak zrealizowania obowiązku informacyjnego. Przedsiębiorca jest zobowiązany do tego, żeby informować każdą osobę której przetwarza dane osobowe o swoich podstawowych danych oraz celu przetwarzania danych osobowych.

Wybrane informacje,  które powinny się znaleźć w obowiązku informacyjnym to:

  • dane kontaktowe administratora danych (pełna nazwa firmy oraz adres lub imię, nazwisko i adres zamieszkania – jeśli administrator jest osobą fizyczną);
  • cel, w jakim dane są zbierane oraz w jakim będą przetwarzane;
  • informacje przysługujące osobie, której dane dotyczą, na temat prawa do wglądu do tych danych lub ich poprawy;
  • informacje, czy podanie danych jest dobrowolne czy obowiązkowe, wraz z podstawą prawną, z której obowiązek ten wynika.

Ukarane przedsiębiorstwo nie spełniło tego obowiązku wobec wszystkich podmiotów, których dane osobowe  przetwarzało.

Każdy podmiot, który przetwarza dane osobowe, jest zobowiązany - udostępnić obowiązek informacyjny wszystkim zainteresowanym osobom np. poprzez e-mail, w treści umowy, jako osobny załącznik czy wydruk umieszczony w widocznym miejscu itd., wybór metody informowania o obowiązku informacyjnym zależy od indywidualnego charakteru działalności. Co najważniejsze, przedsiębiorca musi przed organem kontrolującym udowodnić, że taki obowiązek spełniło.

Podsumowanie

Na koniec warto wskazać, że kara pieniężna musi odpowiadać wadze naruszenia i ma jednocześnie zmniejszać dalsze naruszenia w przyszłości. Im cięższe naruszenie Rozporządzenia RODO, tym wyższa będzie nałożona kara.

Należy wskazać, że coraz częściej przeprowadzane są kontrole. W związku z tym zalecamy coroczny audyt z prowadzonej działalności, który zapewni bezpieczeństwo prawne i uchroni przedsiębiorstwo przed nałożeniem kary.