Pierwsza administracyjna kara pieniężna na mocy RODO w Polsce.

W mijającym tygodniu, 26 marca 2019 r., Prezes Urzędu Ochrony Danych Osobowych nałożyła pierwszą administracyjną karę pieniężną za niedopełnienie obowiązku informacyjnego, który musi spełnić administrator danych osobowych pozyskując dane osobowe z innych źródeł niż od podmiotu danych na podstawie art. 14 ust. 1 i 2 ogólnego rozporządzenia o ochronie danych osobowych (RODO).

Spółka, będąca administratorem danych osobowych, pozyskiwała dane ze źródeł publicznie dostępnych m. in. z Centralnej Ewidencji Informacji Działalności Gospodarczej (CEiDG) czy Bazy REGON Głównego Urzędu Statystycznego w celach komercyjnych. Należy pamiętać, że dane osób prowadzących jednoosobową działalność gospodarczą także podlegają ochronie wynikającej z przepisów RODO. Jawność oraz powszechna dostępność tych danych nie oznacza, że przepisy RODO nie mają zastosowania. Dlatego spółka pobierając dane osobowe przedsiębiorców z takich rejestrów i później je przetwarzając dla własnych celów, powinna spełnić obowiązek informacyjny wynikający z art. 14 ust. 1 i 2 RODO oraz mieć możliwość wykazania jego spełnienia (zgodnie z zasadą rozliczalności).

Bez realizacji obowiązku informacyjnego podmiot danych zostaje pozbawiony podstawowych praw i wolności. Nie wiedząc kto jest administratorem jego danych nie ma możliwości skorzystania z praw wynikających z art. 15-21 RODO (m. in. prawa do sprostowania nieprawidłowych danych).

Możemy jednakże znaleźć wyjątki od obowiązku podania informacji, o których mowa w art. 14 ust. 1 i 2 RODO. Mianowicie zgodnie z art. 14 ust. 5 RODO nie trzeba spełniać obowiązku informacyjnego w przypadku otrzymania danych osobowych z innych źródeł niż bezpośrednio od podmiotu danych, w szczególności gdy:

  1. osoba, której dane dotyczą, dysponuje już tymi informacjami,
  2. udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku,
  3. pozyskiwanie lub ujawniane danych jest wyraźnie uregulowane przepisami prawa,
  4. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianej w przepisach prawa.

Z wyjaśnień Spółki można dowiedzieć się, że obowiązek informacyjny został zamieszczony na jej stronie internetowej. Jednak nie został wykonany indywidualnie właśnie ze względu na jeden z powyższych wyjątków, ponieważ twierdzi ona, że odrębny kontakt z każdą osobą, której dane przetwarzają, powodowałby po stronie Spółki „niewspółmierny wysiłek”, o którym mowa w art. 14 ust. 5 lit. b) RODO oraz duże obciążenie finansowe ze względu na konieczność wysłania korespondencji listownej do wszystkich przedsiębiorców, których dane przetwarza.

Prezes UODO nie zgodziła się jednak z tym poglądem zaznaczając, że zamieszczenie obowiązku informacyjnego z art. 14 RODO na stronie internetowej Spółki jest niewystarczające, w sytuacji posiadania przez nią danych adresowych (czasami także numerów telefonów) przedsiębiorców, co umożliwia kontakt z nimi i wysłanie takiej korespondencji. Dlatego Prezes UODO nakazała Spółce dopełnić obowiązku podania informacji określonych w art. 14 ust. 1 i 2 RODO podmiotom danych prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalności. Dodatkowo na Spółkę została nałożona administracyjna kara pieniężna w wysokości 943.470,00 zł.

Spółka działa od ponad 25 lat w Polsce i wydała oświadczenie w sprawie nałożonej kary: https://www.bisnode.pl/wiedza/newsy-artykuly/decyzja-urzedu-ochrony-danych-osobowych-w-sprawie-bisnode/

Decyzja Prezesa Urzędu Ochrony Danych Osobowych: https://uodo.gov.pl/decyzje/ZSPR.421.3.2018

Jeżeli juz odwiedziłeś naszą stronę - zapraszamy do przejrzenia cennika usług!

Latest posts by Przemysław Siarka (see all)

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Wypełnij to pole
Wypełnij to pole
Proszę wprowadzić prawidłowy adres email.
You need to agree with the terms to proceed

Menu