Pierwsza w Polsce kara za niestosowanie się do przepisów RODO, czym sobie zawinił ukarany?

Jak donoszą nagłówki prasowe, Prezes Urzędu Ochrony Danych Osobowych, Pani Edyta Bielak – Jomaa, wydała decyzję dot. kary za niestosowanie się do RODO. Decyzja dotyczy firmy, która gromadziła dane osobowe w oparciu o publicznie dostępne rejestry przedsiębiorców. Wspomniana firma, o ile nie odwoła się od decyzji do sądu, będzie zmuszona zapłacić blisko 1 000 000 złotych kary. Niezastosowanie się do przepisów RODO, skutkujące karą polegało m.in. na niespełnieniu obowiązku informacyjnego, wobec osób których dane dotyczą. Mimo, że dane pozyskiwane były z publicznie dostępnych rejestrów, Prezes UODO uznała, że osoby których dane dotyczą muszą być poinformowane, kto i w jakim zakresie dysponuje ich danymi.

Według doniesień prasowych ukarana spółka nie informowała o zbieraniu i przetwarzaniu danych osobowych przedsiębiorców, z wyjątkiem tych którzy w rejestrze podali swoje adresy mailowe. W innych przypadkach powołała się na przepis RODO według którego nie trzeba informować o przetwarzaniu danych, jeżeli wymagałoby to niewspółmiernie dużego wysiłku w porównaniu do zysków czerpanych z takiej działalności.

Co to jest spełnienie obowiązku informacyjnego?

Spełnienie obowiązku informacyjnego to część procedury wdrożenia RODO w organizacji. Przez spełnienie obowiązku informacyjnego należy rozumieć wszystkie działania jakie podejmujemy jako administrator danych osobowych, w celu poinformowania osoby której dane dotyczą, na temat tego: kto przetwarza jej dane, w jakim celu, na jaki czas, jakie prawa i obowiązki ciążą na administratorze, a także m.in. o tym jakie prawa posiada osoba której dane dotyczą itd. RODO jasno wskazuje jakie informacje powinny zostać udzielone osobie której dane dotyczą.

Obowiązek informacyjny może mieć dowolną formę ale przede wszystkim musi być dostępny w łatwy sposób i być zrozumiały dla osób których dane dotyczą. W nowych technologiach, świadczeniu usług on-line czy e-commerce, to w dużej mierze polityka prywatności, która powinna znajdować się na stronach internetowych. W przypadku pracowników obowiązek informacyjny powinien znajdować się w umowach o pracę lub innych, które łączą nas z pracownikami lub też w regulaminie pracy. Na przykładzie decyzji Prezes UODO, jeżeli pozyskujemy dane osobowe w inny sposób, powinniśmy spełnić wobec takich osób obowiązek informacyjny chociażby przez wysyłkę informacji pocztą tradycyjną.

Jakub Szajdziński
Partner Zarządzający
ENSIS Kancelaria Prawna
Cioczek & Szajdziński Sp.j.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *