W mijającym tygodniu, 26 marca 2019 r., Prezes Urzędu Ochrony Danych Osobowych nałożyła pierwszą administracyjną karę pieniężną za niedopełnienie obowiązku informacyjnego, który musi spełnić administrator danych osobowych pozyskując dane osobowe z innych źródeł niż od podmiotu danych na podstawie art. 14 ust. 1 i 2 ogólnego rozporządzenia o ochronie danych osobowych (RODO).
Spółka, będąca administratorem danych osobowych, pozyskiwała dane ze źródeł publicznie dostępnych m. in. z Centralnej Ewidencji Informacji Działalności Gospodarczej (CEiDG) czy Bazy REGON Głównego Urzędu Statystycznego w celach komercyjnych. Należy pamiętać, że dane osób prowadzących jednoosobową działalność gospodarczą także podlegają ochronie wynikającej z przepisów RODO. Jawność oraz powszechna dostępność tych danych nie oznacza, że przepisy RODO nie mają zastosowania. Dlatego spółka pobierając dane osobowe przedsiębiorców z takich rejestrów i później je przetwarzając dla własnych celów, powinna spełnić obowiązek informacyjny wynikający z art. 14 ust. 1 i 2 RODO oraz mieć możliwość wykazania jego spełnienia (zgodnie z zasadą rozliczalności).
Bez realizacji obowiązku informacyjnego podmiot danych zostaje pozbawiony podstawowych praw i wolności. Nie wiedząc kto jest administratorem jego danych nie ma możliwości skorzystania z praw wynikających z art. 15-21 RODO (m. in. prawa do sprostowania nieprawidłowych danych).
Możemy jednakże znaleźć wyjątki od obowiązku podania informacji, o których mowa w art. 14 ust. 1 i 2 RODO. Mianowicie zgodnie z art. 14 ust. 5 RODO nie trzeba spełniać obowiązku informacyjnego w przypadku otrzymania danych osobowych z innych źródeł niż bezpośrednio od podmiotu danych, w szczególności gdy:
- osoba, której dane dotyczą, dysponuje już tymi informacjami,
- udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku,
- pozyskiwanie lub ujawniane danych jest wyraźnie uregulowane przepisami prawa,
- dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianej w przepisach prawa.
Z wyjaśnień Spółki można dowiedzieć się, że obowiązek informacyjny został zamieszczony na jej stronie internetowej. Jednak nie został wykonany indywidualnie właśnie ze względu na jeden z powyższych wyjątków, ponieważ twierdzi ona, że odrębny kontakt z każdą osobą, której dane przetwarzają, powodowałby po stronie Spółki „niewspółmierny wysiłek”, o którym mowa w art. 14 ust. 5 lit. b) RODO oraz duże obciążenie finansowe ze względu na konieczność wysłania korespondencji listownej do wszystkich przedsiębiorców, których dane przetwarza.
Prezes UODO nie zgodziła się jednak z tym poglądem zaznaczając, że zamieszczenie obowiązku informacyjnego z art. 14 RODO na stronie internetowej Spółki jest niewystarczające, w sytuacji posiadania przez nią danych adresowych (czasami także numerów telefonów) przedsiębiorców, co umożliwia kontakt z nimi i wysłanie takiej korespondencji. Dlatego Prezes UODO nakazała Spółce dopełnić obowiązku podania informacji określonych w art. 14 ust. 1 i 2 RODO podmiotom danych prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalności. Dodatkowo na Spółkę została nałożona administracyjna kara pieniężna w wysokości 943.470,00 zł.
Spółka działa od ponad 25 lat w Polsce i wydała oświadczenie w sprawie nałożonej kary: https://www.bisnode.pl/wiedza/newsy-artykuly/decyzja-urzedu-ochrony-danych-osobowych-w-sprawie-bisnode/
Decyzja Prezesa Urzędu Ochrony Danych Osobowych: https://uodo.gov.pl/decyzje/ZSPR.421.3.2018
Jeżeli juz odwiedziłeś naszą stronę - zapraszamy do przejrzenia cennika usług!
- Kara finansowa dla szkoły - 5 marca 2020
- Walentynki a ochrona danych - 14 lutego 2020
- Dzień Bezpiecznego Internetu – 11 lutego - 12 lutego 2020