Pierwsza kara za naruszenie RODO – prawie milion złotych
Karę w wys. ponad 943 tys. zł. nałożył na spółkę Urząd Ochrony Danych Osobowych za niespełnienie obowiązku informacyjnego dot. przetwarzania danych – poinformowała we wtorek prezes UODO Edyta Bielak-Jomaa. To pierwsza kara UODO po wejściu w życie RODO.
Nazwa ukaranej firmy nie została podana; jest to spółka pozyskująca dane ze źródeł publicznie dostępnych m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG). Firmie przysługuje odwołanie od decyzji UODO do sądu.
„Kara w wysokości ponad 943 tys. zł została nałożona za niespełnienie obowiązku informacyjnego wynikającego z rozporządzenia o ochronie danych. (…) Brak spełnienia tego obowiązku spowodował, że osoby, których dane były przetwarzane, nie mogły zrealizować praw wynikających z przepisów RODO, choćby żądania usunięcia danych czy też sprostowania danych osobowych” – powiedziała prezes UODO Edyta Bielak-Jomaa, przedstawiając uzasadnienie tej decyzji. Jak mówiła, z postępowania wynika, że firma miała świadomość konieczności poinformowania osób, których dane przetwarzała, o tym fakcie; miała też możliwość spełnienia tego obowiązku.
„W przypadku spółki, o której dzisiaj mówimy, sprawa dotyczy ponad 6 mln rekordów, a obowiązek informacyjny został spełniony wobec ok. 90 tys. osób, do których spółka wysłała korespondencję drogą elektroniczną” – podkreślił Piotr Drobek z UODO. Według UODO firma nie kontaktowała się bezpośrednio z osobami, których adresu mailowego nie miała, zamieściła tylko informację na swojej stronie internetowej, co zdaniem Urzędu jest niewystarczające. „W odniesieniu do 90 tys. osób, które zostały poinformowane, ponad 12 tys. osób w reakcji na przesłaną informację złożyło sprzeciw wobec przetwarzania danych w celach marketingowych. To pokazuje, jak ważne jest spełnienie obowiązku informacyjnego” – podkreślił Drobek.
Ustawa o ochronie danych osobowych, dostosowująca polskie prawo do przyjętego w maju 2016 r. przez UE ogólnego rozporządzenia o ochronie danych osobowych (RODO), weszła w życie 25 maja 2018 r. RODO przewiduje kary za naruszenie prawa do ochrony danych – do 20 mln euro lub 4 proc. całego obrotu firmy.
źródło: PAP za bankier.pl