Dr Edyta Bielak-Jomaa, prezes UODO, poinformowała we wtorek 25 marca, że ukarała jedną z firm zajmujących się dostarczaniem informacji o kontrahentach., ale nie podała, jaką. Zarzuciła jej, że nie dopełniła obowiązku informacyjnego wobec osób prowadzących jednoosobową działalność gospodarczą i nałożyła 220 tys. euro kary. Chodzi o dane 3,6 mln osób prowadzących aktualnie działalność gospodarczą i 2,33 mln tych, którzy ją zawiesili. Spółka Bisnode odniosła się w środę na swojej stronie internetowej do kary nałożonej na nią przez prezes Urzędu Ochrony Danych Osobowych.
Czytaj więcej: Prawie milion złotych - pierwsza kara za naruszenie RODO>>
Usuną rekordy i jak będzie trzeba pójdą do TSUE
W środę na stronie spółki Bisnode pojawiła informacja, że firma będąc świadoma podjętej przez Urząd Ochrony Danych Osobowych decyzji, jest w trakcie decydowania o podjęciu kolejnych kroków. Z naszych informacji wynika jednak, że spółka nie planuje wykonać obowiązku informacyjnego wobec osób, co do których nie ma adresu mailowego. Skłania się do usunięcia ich rekordów ze swojej bazy. Jednocześnie spółka podkreśla, że kwestionuje interpretację UODO dotyczącą proporcjonalnego wysiłku.
Zobacz w LEX:
Praktyczne omówienie obowiązku informacyjnego w świetle RODO >
Jak przygotować się na kontrolę inspektorów UODO w zakresie zgodności wykorzystywanego
monitoringu wizyjnego z przepisami RODO >>
- W przypadku posiadania przez nas adresu mailowego (posiadaliśmy 679 000 adresów mailowych) spełniliśmy obowiązek informacyjny wysyłając wiadomości na te adresy mailowe. Żądanie dodatkowego wysłania informacji na 5,7 miliona adresów właścicieli spółek jednoosobowych oraz członków zarządów między innymi pocztą tradycyjną lub telefonicznie, nie może być postrzegane jako podejmowanie proporcjonalnych starań – podkreśla spółka. Dlatego spółka ma odwołać się do Wojewódzkiego Sądu Administracyjnego, a jeśli będzie tak potrzeba również do Trybunału Sprawiedliwości UE. - W tej sprawie wydaje się naturalnym zadanie pytania prawnego do TSUE – ocenia dr Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński. - Pojęcie niewspółmiernie dużego wysiłku było znane już w dyrektywie 95/46/WE, a nigdy nie było interpretowane na poziomie europejskim. Co więcej, z wypowiedzi samej spółki wynika, że była kontrolowana w innych krajach UE, gdzie stosuje te same praktyki i te praktyki nie zostały zakwestionowane. Mamy więc przykład braku spójności w stosowaniu przepisów RODO, a przecież zapewnienie tej właśnie spójności było jednym z celów przyjęcia RODO - podkreśla Paweł Litwiński.
Cena promocyjna: 95.19 zł
|Cena regularna: 119 zł
|Najniższa cena w ostatnich 30 dniach: zł
Jak można spełnić obowiązek informacyjny
Zdaniem spółki udzielanie informacji poprzez kanały cyfrowe, pocztą elektroniczną lub umieszczanie ogłoszeń w ogólnopolskich portalach informacyjnych jest bardziej pożądane, zarówno przez odbiorców, jak i wysyłających.
Zobacz procedurę w LEX: Realizacja obowiązku informacyjnego przy gromadzeniu danych osobowych >
O takiej możliwości prezes UODO poinformowała jednak dopiero podczas wtorkowej konferencji. W decyzji takiej możliwości nie wskazała (tutaj można pobrać decyzję). Na informację w mediach jako formy spełnienia obowiązku wskazał w Prawo. pl Maciej Gawroński, radca prawny, partner w kancelarii Gawroński & Piecuch.
Dr Mirosław Gumularz, radca prawny z kancelarii GKK Gumularz Kozik uważa jednak, że to, czy to dobry sposób powinno wynikać z analizy ryzyka. - Dopiero analiza ryzyka może wskazać, czy sposób realizacji wymogu przewidziany przez administratora (np. wysyłka listu, telefonicznie, w mediach, etc.) jest odpowiedni. Urząd słusznie zwrócił uwagę, że brak spełnienia obowiązku informacyjnego może być źródłem ryzyka (np. możliwość pozbawienia praw). Nie mniej brakuje informacji co do jego poziomu. Czy jest ono wysokie wysokie, niskie, etc.?. A to jest kluczowe. Czy urząd weryfikował jak spółka szacowała ryzyko? Czy w ogóle spółka je szacowała? Z decyzji to wprost nie wynika - podkreśla Mirosław Gumularz.
Zobacz w LEX: Środki ochrony prawnej przysługujące w razie naruszenia ochrony danych >
Przeczytaj w LEX, jak wygląda kontrola UODO:
- Czynności kontrolne wykonywane przez kontrolujących z Urzędu Ochrony Danych Osobowych >>
- Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych prowadzone przez PUODO >>
- Ustalenie wyników w protokole kontroli przez kontrolujących z Urzędu Ochrony Danych Osobowych >>
- Działania pokontrolne podejmowane przez Prezesa Urzędu Ochrony Danych Osobowych >>
Nie masz dostępu do tych materiałów? Sprawdź, jak go uzyskać >>
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.