Prawie milion złotych kary za naruszenie ochrony danych osobowych. Firma zapłaci 940 tys. zł za sprzedaż numerów telefonu i adresów bez zgody ich właścicieli

Posłuchaj

Ponad 940 tysięcy złotych kary musi zapłacić firma, która naruszyła ustawę o ochronie danych osobowych. Przedsiębiorstwo zbierało ogólnodostępne dane, między innymi z portali społecznościowych i przetwarzało je zarabiając na tym. Nie powiadomiło zainteresowanych, że przetwarza informacje. Jak mówi prezes Urzędu Ochrony Danych Osobowych Edyta Bielak

Dodaj do playlisty

Dodaj do playlisty

Firma zbierała ogólnodostępne dane, między innymi z portali społecznościowych, i przetwarzała je, zarabiając na tym. Firma nie poinformowała zainteresowanych, że przetwarza ich dane.

Nazwa firmy nie została podana. Wiadomo, że jest to spółka pozyskująca dane ze źródeł publicznie dostępnych, m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEIDG).

Firma zarabiała na przetworzonych danych osobowych bez zgody zainteresowanych osób

Jak mówi prezes Urzędu Ochrony Danych Osobowych Edyta Bielak-Jomaa, większość osób nie wiedziała, że firma dysponuje ich danymi. Podkreśliła, że wiele osób nie zostało poinformowanych o tym, że ich dane są przetwarzane i w jakim celu. Właśnie to spowodowało, że ustawowy obowiązek informacji nie został spełniony.

Firma sprzedawała adresy i numery telefonu 6 mln osób

Przedstawiciele urzędu argumentują, że firma dysponowała adresami korespondencyjnymi i numerami telefonów. W związku z tym mogła powiadomić osoby, których dane zbierała.

Jak mówi Piotr Drobek z UODO, ustawę naruszono w rażący sposób. Firma miała w bazie dane ponad 6 mln osób. Z tego jedynie 80 tys. zostało poinformowanych pocztą elektroniczną. Z tego 13 tys. poprosiło o wykreślenie ich danych z bazy.

Przedstawiciele urzędu uznali, że naruszenie miało charakter umyślny, ponieważ spółka miała świadomość istnienia obowiązku informowania.

.

Co to jest RODO

RODO, zwane także GDPR lub "Ogólnym Rozporządzeniem o Ochronie Danych", to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Rozporządzenie zaczęło obowiązywać bezpośrednio w krajowych porządkach prawnych od 25 maja 2018 roku.

Rozporządzenie wiąże wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą.

Rozporządzenie wprowadza wiele zmian oraz rozszerza zakres obowiązków administratorów oraz podmiotów przetwarzających dane. Celem nowych przepisów jest również wyposażenie osób fizycznych oraz organów nadzorujących w skuteczne narzędzia reagowania na naruszenia rozporządzenia.

Bardzo istotną dla przedsiębiorców kwestią jest też określenie maksymalnego poziomu kar za naruszenia przepisów, które to kary mogą sięgnąć nawet 20 mln euro lub 4 proc. całkowitego rocznego światowego obrotu przedsiębiorcy z roku obrotowego poprzedzającego naruszenie.

RODO – co wprowadza

1. Bezpośrednia odpowiedzialność przetwarzającego dane

Organizacje przetwarzające dane osobowe pochodzące z innych firm, w trakcie świadczenia usług na ich rzecz (jak na przykład firmy dostarczające rozwiązania w chmurze czy firmy hostingowe), będą ponosić bezpośrednią odpowiedzialność za złamanie zapisów RODO, włączając w to ryzyko otrzymania kary finansowej. Co więcej, będą wymagane bardziej restrykcyjne niż dotychczas obowiązki w zakresie tworzenia umów o przetwarzaniu, natomiast odszkodowania i ograniczenia odpowiedzialności najprawdopodobniej będą podlegać renegocjacji.

1. Zgłaszanie naruszeń

Obowiązkiem administratorów danych będzie zgłaszanie w ciągu 72 godzin od wykrycia do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Może także wystąpić konieczność zawiadomienia konkretnej osoby, bez zbędnej zwłoki, o przypadku wystąpienia dużego ryzyka naruszenia jej praw lub swobód.

1. Nowe i rozszerzone prawa obywateli

Przepisami RODO wprowadzone zostaje:

- „prawo do bycia zapomnianym” (skierowane do obywateli, którzy życzą sobie, by ich dane osobowe zostały usunięte),

- uprawnienie do żądania przeniesienia danych,

- wzmocnione prawo dostępu i wglądu obywatela w jego dane.

Osoby, których dane dotyczą, będą także miały rozszerzone prawo sprzeciwu wobec przetwarzania ich danych, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych, co ma niebagatelne znaczenie dla firm bazujących na analityce danych.

1. Ograniczenia profilowania

Wprowadzone zostały ograniczenia w zakresie profilowania, włączając w to obowiązek otrzymania zgody na profilowanie przed rozpoczęciem zbierania danych, surowy obowiązek informowania o profilowaniu oraz konieczność akceptacji braku zgody na profilowanie.

IAR, PwC, Deloitte, jk