RODO, dyrektywa, której celem jest lepsza ochrona danych osobowych, zaczęła obowiązywać w maju zeszłego roku. Od początku budziła wiele obaw wśród przedsiębiorców. Nowe przepisy wprowadzały bowiem drakońskie kary.
Urząd Ochrony Danych Osobowych nałożył pierwszą karę za niedopełnienie obowiązku informacyjnego. Doniesienia oficjalnie potwierdziła Edyta Bielak-Jomaa, prezes UODO, na wtorkowej konferencji prasowej.
Chodzi o firmę, która wykorzystując ogólnodostępne dane stworzyła rejestr przedsiębiorców. Zgodnie z przepisami RODO podmioty, których dane przetwarzano, zostały poinformowane o tym fakcie drogą elektroniczną. Ale tylko te, które same podały adres e-mail.
Czytaj też: 11 największych problemów z interpretacją RODO. Prowadzą do absurdalnych sytuacji
Twórca rejestru firm uznał, że do pozostałych podmiotów nie musi wysyłać zawiadomienia o przetwarzaniu danych. Powołał się na wyjątek w przepisach o RODO. Art. 14 pkt 5 mówi bowiem, że obowiązek informowania o przetwarzaniu danych nie istnieje, jeżeli wymagałoby to niewspółmiernie dużego wysiłku. Takim działaniem miałaby być wysyłka tradycyjnych listów - wyjaśnia "Rzeczpospolita".
Firma miała w bazie dane ponad 6 milionów osób. Z tego jedynie 80 tysięcy zostało poinformowanych pocztą elektroniczną. Z tego 13 tysięcy poprosiło o wykreślenie ich danych z bazy.
UODO z taką interpretacją przepisów się jednak nie zgodził i nałożył karę.
Bardzo wiele osób, których dane przetwarzała ukarana spółka, nie miało o tym pojęcia. Administrator danych ich o tym nie powiadomił. Tym samym odebrał im możliwość skorzystania z praw, jakie im przysługują na gruncie RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych. Nic mogły więc one np. sprzeciwić się dalszemu przetwarzaniu ich danych, żądać ich sprostowania czy usunięcia.
- informuje Urząd w oficjalnym komunikacie.
Prezes UODO uznała, że stwierdzone naruszenie ma poważny charakter, gdyż dotyczy podstawowych praw i wolności osób, których dane przetwarza spółka, jak również dotyczy jednej z podstawowych kwestii jaką jest informacja o tym, że dane są przetwarzane. Nałożenie kary pieniężnej jest niezbędne gdyż administrator nie przestrzega przepisów prawa.
- czytamy dalej.
UODO wyjaśnia też, że weryfikował niedopełnienie obowiązku informacyjnego wobec osób fizycznych prowadzących działalność gospodarczą, przedsiębiorców, którzy aktualnie ją prowadzą tę działalność zawiesili, jak i o tych, którzy prowadzili ją w przeszłości.
Zdaniem UODO ukarana spółka, wbrew wysuwanym argumentom, nie musiała wysyłać powiadomień do zainteresowanych firm listem poleconym.
Ukarana firma ma prawo wejść na drogę sądową. Do tego czasu nie musi uiszczać kary. Zgodnie z przepisami w zależności od artykułu RODO, który zostanie naruszony, kara finansowa może sięgnąć 20 mln euro lub od 2 do 4 proc. całkowitego rocznego obrotu z poprzedniego roku.