Długo się zastanawiałem czy w ogóle pisać na temat „zabójczej” kary za RODO, o której ostatnio bardzo głośno w mediach wszelkiego rodzaju.
Pomyślałem finalnie, że mała wzmianka nie zaszkodzi, tym bardziej, że RODO obowiązuje wszystkich. Czyli Wykonawców i Zamawiających w branży budowlanej, drogowej, instalatorskiej – ogólnie: w szeroko pojętych usługach.
O co chodzi z karą za RODO?
Otóż kara w wysokości 943 470,00 PLN została nałożona za naruszenie RODO
polegające na niepodaniu informacji zawartych w art. 14 ust. 1 i 2 wyżej powołanego rozporządzenia wszystkim osobom fizycznym, których dane osobowe X. Sp. z o. o. przetwarza, prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalności.
A teraz po ludzku:
Ukarana spółka oferowała swoim klientom raporty handlowe i prowadziła szeroko pojętą działalność informacyjną. W tym celu spółka gromadziła i wykorzystywała dane osób prowadzących jednoosobową działalność gospodarczą. Przed wejściem w życie RODO spółka wysłała do części z tych osób informacje e-mailowe o przetwarzaniu ich danych osobowych, zamieściła taką informację również na swojej stronie internetowej.
Dodam tylko od siebie, że RODO nakłada w tym zakresie obowiązek informacyjny na przedsiębiorców przetwarzających dane osobowe. Zatem wysłanie tych wiadomości było próbą wypełnienia ww. obowiązku – jak się jednak okazało nie do końca skuteczną.
Zdaniem UODO spółka nie wypełniła swojego obowiązku, ponieważ nie poinformowała wszystkich osób, których dane dotyczyły, a tylko część. Nie pomogły tłumaczenia spółki, że dane przez nią gromadzone są publicznie dostępne w CEIDG.
Zatem Drogi Przedsiębiorco, zadbaj o RODO w swojej firmie! Lepiej późno niż wcale… A im później tym, jak się okazuje drożej…
Masz zdanie w tej sprawie? Może masz pytanie? Zapraszam do dyskusji.
***
Inne artykuły, które warto przeczytać:
{ 2 komentarze… przeczytaj je poniżej albo dodaj swój }
Dlaczego akurat taka wysokość kary?
Witam na blogu 🙂
kwestię kary Pani Prezes UODO w uzasadnieniu umotywowała w bardzo szeroki i rozbudowany sposób. Poniżej wskazuję jedynie część uzasadnienia.
Po pierwsze naruszenie było poważne, dotyczy bowiem podstawowych praw i wolności osób, których dane ukarana spółka przetwarzała. Ponadto cytując uzasadnienie: „wagę naruszenia zwiększa również okoliczność, że na Spółce przetwarzającej dane osobowe w sposób profesjonalny, w ramach swojej podstawowej działalności, w celach zarobkowych, i na bardzo dużą skalę (liczba podmiotów danych dotkniętych naruszeniem – 6.671.368)”.
Dodatkowo: „dalsze przetwarzanie danych osobowych bez wiedzy osób, których dotyczą, niewątpliwie utrudnia czy ogranicza skorzystanie przez te osoby z przysługujących im uprawnień, np. prawa do usunięcia danych, sprostowania, czy złożenia sprzeciwu wobec przetwarzania danych osobowych”.
W ocenie Prezesa UODO dodatkową okolicznością obciążającą jest motywacja, którą kierowała się Spółka decydując, że wystarczającym sposobem przekazania informacji, o których mowa w art. 14 ust 1 i 2 rozporządzenia 2016/679, przedsiębiorcom, których adresami e-mail nie dysponuje, będzie opublikowanie ich na swojej stronie internetowej. Spółka nie ukrywa, że za tą decyzją stała kalkulacja kosztów związanych z bezpośrednimi formami dotarcia do osób, których dane przetwarza, a więc chęć uniknięcia dodatkowych związanych z tym kosztów.