Warto wiedzieć

ponad rok temu  17.05.2019, ~ Administrator - ,   Czas czytania 4 minuty

Pierwsza kara za naruszenie RODO

Jak prawidłowo wypełnić obowiązek informacyjny?

Prezes Urzędu Ochrony Danych Osobowych nałożyła pierwszą karę w wysokości ponad 943 tys. zł za niedopełnienie obowiązku informacyjnego. Decyzję tę uzasadnia się faktem, iż administrator – w tym stanie faktycznym spółka – miał świadomość ciążącego na nim obowiązku informacyjnego, ale nie powiadomił o tym 6 mln osób. Odebrano im tym samym możliwość skorzystania z praw, jakie przysługują im na gruncie RODO.

Osoby te nie mogły sprzeciwić się dalszemu przetwarzaniu ich danych, żądać ich sprostowania czy usunięcia. Prezes UODO wyjaśniła, że są to podstawowe prawa i wolności osób, których dane przetwarza spółka, stąd nałożenie kary pieniężnej było konieczne. W przedmiotowej sprawie na ponad 90 tys. poinformowanych osób aż 12 tys. wniosło sprzeciw wobec przetwarzania ich danych, co potwierdziło, że prawidłowe spełnienie obowiązków informacyjnych dla realizacji uprawnień przysługujących zgodnie z RODO jest niezwykle ważne. Spółka z Warszawy gromadziła dane osób prowadzących działalność gospodarczą na podstawie informacji pozyskanych w internecie z ogólnodostępnych danych, tj. rejestru KRS, bazy CEiDG czy GUS. Na tej podstawie tworzyła bazy danych pozwalające na weryfikację wiarygodności podmiotów. Przedsiębiorcy, którzy podali w rejestrach swoje adresy mailowe, otrzymali obowiązek informacyjny w drodze korespondencji elektronicznej. Pozostałym przedsiębiorcom spółka nie wysyłała papierowych listów, gdyż jej zdaniem wymagałoby to niewspółmiernie dużego wysiłku. Obowiązek informacyjny dla pozostałych spółka opublikowała na swojej stronie internetowej. Zdaniem prezes UODO takie działanie miało charakter umyślny, dlatego wymierzając karę pieniężną, organ wziął pod uwagę fakt, iż administrator nie podjął żadnych działań zmierzających do usunięcia naruszenia ani nie zadeklarował takiego zamiaru. Prawdopodobnie spółka odwoła się od decyzji o nałożonej karze pieniężnej do sądu administracyjnego. Wszczęcie procesu wstrzyma wykonanie decyzji aż do czasu wydania prawomocnego wyroku przez sąd.
Rozdział III Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) reguluje prawa osoby, której dane dotyczą. Już w sekcji I rozdziału III można znaleźć wytyczne, w jaki sposób ma zostać wykonany obowiązek informacyjny administratora. Wszelka komunikacja skierowana do osoby, której dane dotyczą, powinna być jasna, przejrzysta, zrozumiała, napisana prostym językiem. Rok temu, w maju, kiedy rozporządzenie RODO zaczęło obowiązywać we wszystkich państwach członkowskich Unii Europejskiej, można było zauważyć masowo wysyłane e-maile z klauzulą informacyjną dotyczącą przetwarzania danych przez danego administratora. Wypełnianie obowiązku informacyjnego wynikającego z art. 13 i 14 RODO w dalszym ciągu jest aktualne i konieczne.
Art. 13 RODO reguluje obowiązek informacyjny spełniany w przypadku pierwotnego pozyskiwania danych od osoby, której one dotyczą, natomiast art. 14 odnosi się do obowiązku informacyjnego realizowanego w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której one dotyczą. Warsztat jako administrator przetwarzający dane osobowe klientów będzie adresatem obowiązku informacyjnego. Właściciel warsztatu/osoba prawna będzie więc zobowiązana do spełnienia tego obowiązku w czasie pozyskiwania danych, podczas tej czynności, nie następczo, kiedy dane zostaną już zebrane.
Biorąc pod uwagę stanowisko prezes Urzędu Ochrony Danych Osobowych wyrażone w ostatnio wydanej decyzji administracyjnej, to administrator powinien wykazać należytą staranność w zakresie przekazywania osobie, której dane dotyczą, informacji o zasadach przetwarzania jej danych. Jeżeli są one pozyskiwane drogą elektroniczną, nic nie stoi na przeszkodzie, aby pod formularzem podać podstawowe informacje wraz z linkiem do pełnego obowiązku informacyjnego. W przypadku pozyskiwania danych osobowych na piśmie wskazane jest przekazanie wszystkich informacji w momencie pozyskiwania danych tą samą drogą, ponieważ wchodzenie na podany link wymagałoby od osoby, której dane dotyczą, niewspółmiernego wysiłku. 
Zamieszczenie na stronie internetowej warsztatu treści klauzuli informacyjnej nie jest wystarczające. Brak będzie bowiem potwierdzenia, że warsztat spełnił wobec Kowalskiego ten obowiązek, a udowodnienie tego faktu byłoby konieczne w przypadku kontroli organu nadzorczego.
Warsztat powinien wydrukować, zalaminować i udostępnić klauzulę w miejscu ogólnodostępnym, najlepiej przy stanowisku, do którego podchodzi klient, by zlecić naprawę swojego pojazdu i gdzie może się z nią zapoznać. Warto wspomnieć, że obowiązek informacyjny istnieje także w przypadku zmiany celu przetwarzania danych lub wskutek dodania nowego celu.

Małgorzata Miller, radca prawny
członek Stowarzyszenia Prawników Rynku Motoryzacyjnego

GALERIA ZDJĘĆ

Pierwsza kara za naruszenie RODO

Komentarze (0)

dodaj komentarz
    Nie ma jeszcze komentarzy...
do góry strony