W Polsce również toczą się postępowania kontrolne RODO. Została nałożona pierwsza kara, a nałożenie następnych to tylko kwestia czasu
15.03.2019r UODO nałożył karę w wysokości 943.000 zł (ok. 220.000 €) na szwedzką spółkę Bisnode, z siedzibą w Polsce, która zajmowała się pozyskiwaniem publicznych danych z CEiDG. Kara została nałożona ze względu na niespełnienie obowiązku informacyjnego. Firma posiadała 7,5 mln rekordów, w tym do 6,5 mln posiadała wyłącznie adres do korespondencji, a obowiązek informacyjny został spełniony w przypadku ok. 1 mln. osób ( adresy mailowe) z czego wielu zgłosiło sprzeciw wobec przetwarzania danych w celach marketingowych. Obowiązek informacyjny nie został spełniony w stosunku do ponad 6 mln osób ponieważ spółka oszacowała że koszty wysyłki listów poleconych to ok. 30. mln zł a więc byłby to niewspółmiernie duży wysiłek ( koszt) i dlatego poinformowała na stronie internetowej co dla urzędu nadzoru nie było wystarczające.
UODO zaakcentowało konieczność wykonania obowiązku informacyjnego bo on jest podstawą aby można było właściciele danych mogli korzystać ze swoich praw zapisanych w RODO. bo jak możemy wystąpić np. z wnioskiem o aktualizację swoich danych nie wiedząc że są one przetwarzane.
Spółka działa na rynku 25 lat czyli jeszcze przed wejściem ustawy o ochronie danych osobowych z 1997 r. W tej ustawie w art. 25 podobnie jak w RODO art.14 jest zapisany obowiązek informacyjny
Przychody netto Spółki: 2018 -35 mln.zł; 2017 – 29 mln zł tzn wzrost 19,8%
Obliczono że
Spółka mogła realizować obowiązek informacyjny na bieżąco i wtedy koszty nie byłyby znaczące. Lata zaniedbań i brak stosowania się do przepisów ustawy o ochronie danych osobowych z 1997r powoduje że aby nadrobić zaległości i poinformować wszystkie osoby musiałaby wydać aktualnie 50% swojego przychodu na 2018 r.
Wydaje się że Spółka mogła skorzystać z sms lub powiadomień telefonicznych.
RODO nie rozróżnia osób fizycznych od jednoosobowej działalności gospodarczej. Zagraniczne media uważają, że kara w wysokości 220 tys. euro (943 tys. zł) jest za niska.
Z Oświadczenia przekazanego przez Prezesa BISNODE wynika:
UWAGA: Jest Fundacja E Państwo, która przetwarza informacje z KRS i w tym przypadku urząd nie ma zastrzeżeń do realizacji obowiązku informacyjnego.
W ramach ochrony prywatności osób biorących udział w szkoleniach oraz projektach doradczych realizowanych przez naszą firmę pragniemy poinformować:
Administratorem to znaczy podmiotem odpowiedzialnym za przetwarzanie Pani/Pana danych osobowych jest:
Assurance Service for Management Systems Sp. z o.o.
Z siedzibą w Krakowie przy ulicy Kalwaryjskiej 69
Celem przetwarzania Pani/Pana danych osobowych jest realizacja usług szkoleniowych i doradczych oraz czynności związanych z ewentualnym przygotowaniem ofert na powyższe usługi.
Podstawą prawną przetwarzania danych w ramach realizacji powyższego celu jest wykonanie umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art.6.ust.1 punkt b Ogólnego Rozporządzenia o Ochronie Danych).
W przypadku usług dofinansowanych ze środków UE Pani/Pana dane są przekazywane do instytucji zarządzającej programem dofinansowania. Okres przechowywania Pani/Pana danych osobowych wynosi 3 lata lub w przypadku usług dofinansowanych ze środków UE, zgodnie z regulaminem dofinansowania.
W tym czasie ma Pani/Pan prawo do:
Jeżeli uzna Pani/Pan, że dane osobowe są przetwarzane w sposób niewłaściwy lub niezgodny z celem podanym powyżej, przysługuje Pani/Panu prawo wniesienia skargi odnośnie ich przetwarzania do organu nadzorczego (UODO).
Informujemy również, iż konsekwencją odmowy podania danych będzie brak możliwości realizacji usługi.