Assurance Service for Management Systems (ASMS)

Jednostka certyfikująca systemy zarządzania na terenie całej Polski. Gwarantujemy bezstronność i niezależność usług certyfikacyjnych. Zapoznaj się z naszą ofertą szkoleń otwartych.

asms-logo

Kary RODO

W Polsce również toczą się postępowania kontrolne RODO.  Została nałożona pierwsza  kara, a  nałożenie następnych to  tylko kwestia czasu

15.03.2019r  UODO  nałożył karę w wysokości 943.000 zł (ok. 220.000 €) na szwedzką spółkę Bisnode, z siedzibą w Polsce, która  zajmowała się pozyskiwaniem publicznych danych z CEiDG. Kara została nałożona ze względu na niespełnienie obowiązku informacyjnego. Firma posiadała 7,5 mln rekordów, w tym do  6,5 mln posiadała wyłącznie adres do korespondencji,  a  obowiązek informacyjny został spełniony w przypadku ok. 1 mln. osób ( adresy mailowe)  z czego wielu zgłosiło sprzeciw wobec przetwarzania danych w celach marketingowych. Obowiązek informacyjny nie został spełniony w stosunku do ponad  6 mln osób ponieważ spółka oszacowała  że koszty wysyłki listów poleconych to ok.   30. mln zł a więc byłby to niewspółmiernie duży wysiłek ( koszt) i dlatego poinformowała na stronie internetowej co dla urzędu nadzoru nie było wystarczające.

UODO zaakcentowało konieczność wykonania obowiązku informacyjnego bo on jest podstawą aby można było właściciele danych mogli korzystać ze swoich praw zapisanych w RODO.  bo jak możemy wystąpić np. z wnioskiem o aktualizację swoich danych nie wiedząc że są one przetwarzane.

Spółka działa na rynku 25 lat czyli jeszcze przed wejściem ustawy o ochronie danych osobowych z 1997 r. W tej ustawie w art. 25 podobnie jak w RODO art.14 jest zapisany obowiązek informacyjny

Przychody netto Spółki: 2018 -35 mln.zł; 2017 – 29 mln zł tzn wzrost 19,8%

Obliczono że

  • Spółka pozyskiwała średnio rocznie 285.000 rekordów
  • Średni koszt ich wysyłki  651 zł ( zwykły list)
  • Przyjmując, że średni roczny przychód ok.15 mln.zł  to koszt wysyłki = 4.76 % przychodu netto.

Spółka mogła realizować obowiązek informacyjny na bieżąco i wtedy koszty nie byłyby znaczące. Lata zaniedbań i brak stosowania się do przepisów ustawy o ochronie danych osobowych z 1997r powoduje że aby nadrobić zaległości i poinformować wszystkie osoby musiałaby wydać aktualnie 50% swojego przychodu na 2018 r.

Wydaje się że Spółka mogła skorzystać z sms lub powiadomień telefonicznych.

RODO nie rozróżnia osób fizycznych od jednoosobowej działalności gospodarczej. Zagraniczne media uważają, że kara w wysokości 220 tys. euro (943 tys. zł) jest  za niska.

Z Oświadczenia przekazanego przez Prezesa BISNODE wynika:

  • Spółka spełniła obowiązek informacyjny w stosunku do 1 mln osób – tam gdzie posiadała adresy mailowe, ( KRS; CEiDG)
  • Umieściła ogłoszenie na swojej stronie internetowej
  • Nie zamierza wykonać obowiązku informacyjnego w stosunku do pozostałych osób ( ok. 6 mln osób ) z uwagi na koszty całej operacji szacowane na 15-22 mln zł. Dane tych osób zostaną usunięte z bazy
  • Spółka jest zaskoczona bo jej oddziały działają  w innych krajach też jako brokerzy danych i  kontrole nie kwestionowały prawidłowości działania.
  • Oczywiście odwoła się od decyzji UODO do sądu a nawet do TSUE

UWAGA: Jest Fundacja E Państwo, która przetwarza informacje z KRS i w tym przypadku urząd nie ma zastrzeżeń do realizacji  obowiązku informacyjnego.