Bank wiedzy:

Czy prawidłowo powiadamiasz o przetwarzaniu danych osobowych?

Prezes UODO nałożył karę finansową sięgającą blisko miliona złotych na Spółkę, która w ramach swojej działalności przetwarzała dane osób fizycznych prowadzących działalność gospodarczą. W stosunku do części z nich zaniechano obowiązku przekazania informacji o przetwarzaniu danych osobowych.

RODO: Spełnienie obowiązku informacyjnego a pierwsza kara finansowa

Urząd Ochrony Danych Osobowych opublikował decyzję, która zdążyła wzbudzić niemałe kontrowersje w odniesieniu do spełnienia obowiązku informacyjnego, o którym mowa w art. 14 RODO. Prezes UODO nałożył karę finansową sięgającą blisko miliona złotych na Spółkę, która w ramach swojej działalności przetwarzała dane osób fizycznych prowadzących działalność gospodarczą i tych, którzy ją zawiesili, pozyskując je bez ich wiedzy z powszechnie dostępnych rejestrów.

W toku postępowania przed Prezesem UODO ustalono, że Spółka przetwarzała dane osobowe osób fizycznych pozyskane nie bezpośrednio od tych osób, ale za pośrednictwem systemów KRS, CEIDG i REGON. Spółka przetwarzała szeroki zakres danych dotyczących tych podmiotów, m.in. imię, nazwisko, PESEL, nazwę przedsiębiorstwa, adres rejestrowy i inne adresy, rodzaj działalności PKD, numer telefonu (opcjonalnie), adres e-mail (opcjonalnie) i adres strony www (opcjonalnie). W stosunku do podmiotów, których adresy e-mail bądź numery telefonów Spółka posiadała, obowiązek informacyjny został spełniony poprzez wysłanie wiadomości e-mail bądź SMS. Dodatkowo, Spółka umieściła obowiązek informacyjny na swojej stronie internetowej.

W odniesieniu do osób fizycznych prowadzących działalność gospodarczą w czasie kontroli lub w przeszłości, a których numeru telefonu lub adresu e-mail Spółka nie posiadała, zaniechano spełnienia obowiązku informacyjnego drogą tradycyjną, tj. za pośrednictwem listów zwykłych. W toku kontroli Spółka wyjaśniała, że wysyłka listów łączyłaby się z niewspółmiernie dużym wysiłkiem i wymagałaby zbyt wysokich nakładów finansowych, które mogłyby doprowadzić do zachwiania pozycji Spółki na rynku.

Prezes UODO uznał, że Spółka naruszyła przepisy RODO i nie spełniła obowiązku informacyjnego w stosunku do podmiotów, których adresu e-mail i numeru telefonu nie posiadała. W ocenie organu, Spółka mogła i powinna wobec takich osób spełnić obowiązek informacyjny w sposób tradycyjny, niezależnie od tego, z jakimi kosztami mogłoby to być związane. Z uwagi na stwierdzone naruszenia, Spółka została zobowiązana do spełnienia obowiązku informacyjnego w omawianym zakresie, a nadto nałożono na nią karę administracyjną w kwocie 943.470,00 złotych.

Przełomowa decyzja Prezesa UODO z dnia 15 marca 2019 roku wymaga od przedsiębiorców zweryfikowania sposobu, w jaki dotychczas spełnili obowiązek informacyjny wobec osób, których dane przetwarzają. Jeżeli bowiem dochodzi do przetwarzania danych pozyskanych bez udziału osób, których dane dotyczą, konieczne jest spełnienie obowiązku informacyjnego przy wykorzystaniu wszelkich danych korespondencyjnych, którymi przedsiębiorca dysponuje. W sytuacji, gdy przedsiębiorca nie dysponuje numerem telefonu czy też adresem e-mail danej osoby fizycznej, a przetwarza dane zgromadzone w bazach CEIDG, czy KRS, obowiązek informacyjny z art. 14 RODO winien być spełniony poprzez przesłanie stosownej informacji za pośrednictwem poczty tradycyjnej, niezależnie od kosztów, jakie to może generować.

Jeżeli mają Państwo wątpliwości co do tego, czy spełnili Państwo obowiązek informacyjny w sposób prawidłowy, bądź nie spełnili jeszcze Państwo obowiązku informacyjnego w myśl przepisów RODO, prosimy o kontakt. Nasi prawnicy niezwłocznie udzielą Państwu niezbędnej pomocy.

(opracowała: Aleksandra Urbanowicz)