RODO: już są dotkliwe kary dla firm za niedbalstwo, brak wiedzy

Firma / Prawo i regulacje

RODO
Fot. stock.adobe.com/shake_pl

Niedopełnienie obowiązków informacyjnych związanych z przetwarzaniem danych osobowych prywatnych przedsiębiorców kosztować będzie jedną ze spółek 943 tysiące złotych. Warto podkreślić, iż postępowanie prowadzone przez Urząd Ochrony Danych Osobowych dotyczyło przetwarzania danych pobranych z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG), a więc informacji dostępnych publicznie.

#PiotrDrobek: Obowiązki informacyjne mają znaczenie kluczowe również wówczas, kiedy dane osobowe są zbierane z innych źródeł, również powszechnie dostępnych #UODO #RODO

Dane osobowe z ogólnie dostępnych źródeł są także chronione

Istotą działalności inkryminowanego podmiotu było właśnie wykorzystanie danych pobieranych z CEiDG w celach marketingowych. Piotr Drobek, dyrektor Zespołu Analiz i Strategii w UODO przypomina, iż od 25 maja ubiegłego roku informacje na temat indywidualnych przedsiębiorców podlegają analogicznej ochronie jak dane konsumentów.

W świetle RODO pod pojęciem osoby, której dane dotyczą należy rozumieć każdą osobę fizyczną bez wyjątku, niezależnie od tego czy prowadzi działalność gospodarczą, czy nie – przestrzegł przedstawiciel Urzędu.

Przypomniał on również, że około 3 mln rekordów przetwarzanych przez spółkę dotyczyło osób, które nie prowadzą już działalności gospodarczej, a więc mających obecnie status konsumenta. – Obowiązki informacyjne mają znaczenie kluczowe również wówczas, kiedy dane osobowe są zbierane z innych źródeł, również powszechnie dostępnych – dodał Piotr Drobek.

Pozorna, kosztowna oszczędność

W opisywanym przypadku administrator danych zdawał sobie doskonale sprawę z konieczności poinformowania osób, których dane dotyczą o przetwarzaniu informacji na ich temat, jednak spełnił ów obowiązek jedynie względem 90 tysięcy spośród 6 mln byłych i obecnych przedsiębiorców.

Spółka wysłała stosowne informacje jedynie do tych podmiotów, do których dysponowała adresem mailowym. W pozostałych przypadkach przedstawiciele firmy argumentowali, iż wysyłka tak dużej liczby listów poleconych byłaby nieuzasadniona ekonomicznie – przypomniał przedstawiciel UODO.

Argument ten jest z gruntu fałszywy, przepisy nie nakładają bowiem na administratorów danych żadnej konkretnej formy spełnienia obowiązku informacyjnego.

Jakie czynniki zadecydowały o wysokości sankcji?

Reprezentant UODO wskazał na szereg kryteriów, mogących decydować o zwiększeniu czy zmniejszeniu odpowiedzialności przedsiębiorcy. – W szczególności bierze się pod uwagę charakter przetwarzania danych, liczbę zgromadzonych rekordów, świadomość administratora danych odnośnie bezprawności podejmowanych działań,  czy też zakres współpracy z organem ochrony danych osobowych w celu zmniejszenia takiego naruszenia. W konkretnym przypadku zakres przetwarzanych danych był olbrzymi, dodatkowo ukarana spółka zdawała sobie sprawę z ciążących na niej obowiązkach –  zaznaczył Piotr Drobek.

Źródło: aleBank.pl
Udostępnij artykuł: