Milion złotych. Ale nie chodzi o Milionerów, to pierwsza nałożona w Polsce kara za nieprzestrzeganie RODO

Kara za naruszenie przepisów RODO została dziś nałożona po raz pierwszy. Naruszenie przepisów było świadome, a skala naruszeń – bardzo rozległa. Spółka musi zapłacić teraz prawie milion złotych kary.

Na stronie Urzędu Ochrony Danych Osobowych pojawiła się w dniu dzisiejszym informacja, o pierwszej nałożonej karze finansowej. Spółka została ukarana za nieprzestrzeganie nowych przepisów o ochronie danych osobowych, potocznie zwanych RODO. Najpoważniejszy zarzut dotyczy przetwarzania danych osób bez ich wiedzy i zgody. Uniemożliwiło im to realizowanie podstawowych praw, w kontekście zarządzania danymi osobowymi. Nie mogli zażądać ich usunięcia, nie wiedzieli kto, kiedy i w jakim celu ma do nich dostęp. W dodatku nie był to jednostkowy przypadek, a dotyczył milionów osób. O skali naruszeń na stronie urzędu wypowiedział się Piotr Drobek, Dyrektor Zespołu Analiz i Strategii:

„Spółka nie dopełniała obowiązku informacyjnego w stosunku do ponad 6 mln osób.  Spośród około 90 tys. osób których spółka poinformowała o przetwarzaniu danych ponad 12 tys. wniosło sprzeciw wobec przetwarzania ich danych. Pokazuje to jak ważne jest prawidłowe spełnienie obowiązków informacyjnych dla realizacji uprawnień przysługujących nam zgodnie z RODO.”

Kulisy sprawy – jak działała ukarana spółka?

W tym kontekście pojawia się pytanie, skąd ukarana spółka miała tak wielką bazę danych. Spółka pozyskiwała dane na podstawie prostego schematu działania. Gromadziła ona dane, które pochodziły z publicznie dostępnych rejestrów – jak CEiDG. Jeżeli był tam podany adres e-mail, informowano zgodnie z RODO o tym, że chcą te dane przetwarzać. Jeżeli nie – to nie. Spółka tłumaczyła się w tym kontekście nadmiernymi kosztami, które wynikłyby z obowiązku poinformowania każdego z osobna. O tym, że taki proceder uprawia, poinformowała sama na swojej stronie internetowej. W ich mniemaniu wyczerpywało to obowiązki, które wynikają z obowiązywania RODO.

Tymczasem zdaniem urzędu oczywiście tak nie było. Obowiązek poinformowania o tym kto, w jakim celu i jak długo dane przetwarza, nie zależy od kosztów jego wykonania. Spółka dysponowała adresami kontaktowymi a także w części przypadków numerami telefonu.

Kara za naruszenie przepisów RODO a państwo

Tylko państwo ma prawo do przetwarzania naszych danych osobowych bez naszej wiedzy i zgody. W pewnych okolicznościach również Kościół, ale tylko w ograniczonym zakresie. Gdyby nie publiczna dostępność tak wielu informacji, w tym przypadku dotyczących przedsiębiorców, cały proces w ogóle by nie ruszył. Pojawia się tutaj klasyczny dylemat – państwo pilnuje obywateli, ale kto pilnuje państwa?