11:28
10/7/2020

15 tys. złotych kary zapłaci spółka z Jeleniej Góry za brak wystarczającej współpracy z Prezesem Urzędu Ochrony Danych Osobowych. Co ciekawe, skargę na działania spółki złożył obywatel Niemiec, a dzięki RODO nie musiał tego robić w Polsce.

Kolejna “pierwsza taka kara”

Prezes UODO już ładnych kilka razy nakładał kary finansowe “za RODO”, ale każda kolejna kara jest w jakimś sensie tą pierwszą. Pierwsza była naprawdę pierwsza. Druga była pierwszą za wyciek danych. Trzecia była pierwszą dla ofiary ataku, a czwarta była pierwszą za utrudnianie wycofania zgody. I tak dalej…

Najnowsza kara jest pierwszą nałożoną w transgranicznym postępowaniu. Mówiąc ściślej Prezes UODO nałożył 15 tys. zł. kary na spółkę East Power z Jeleniej Góry, która zajmuje się działalnością w zakresie pośrednictwa pracy i zarządzania zasobami ludzkimi na terenie Polski i Niemiec. Kara została nałożona za niezapewnienie organowi nadzoru dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań.

Wydaje się, że tej kary można było łatwo uniknąć.

Spółka nie odpowiadała

W decyzji DKE.561.1.2020 czytamy, że skargę działania firmy złożył obywatel Niemiec, z którym spółka miała się skontaktować w celach marketingowych. Sama skarga została złożona do urzędu ochrony danych w Nadrenii-Palatynacie, ale sprawa została przejęta przez polski UODO, który stał się organem wiodącym.

UODO zwrócił się do polskiej firmy z czterema pytaniami.

  1. na jakiej podstawie prawnej, w jakim celu i zakresie Spółka aktualnie przetwarzała bądź aktualnie przetwarza dane osobowe Skarżącego,
  2. relacji łączącej w dniu […] czerwca 2018 r. Spółkę z Panem P. K., który działając w imieniu Spółki skierował tego dnia na adres email Skarżącego wiadomość o charakterze – w ocenie Skarżącego – marketingowym,
  3. czy, a jeśli tak, to w jaki sposób Spółka ustosunkowała się do żądania Skarżącego z […] czerwca 2018 r. o usunięcie jego danych osobowych i zaprzestanie wysyłania do niego treści marketingowych,
  4. jeśli Spółka nie zastosowała się do żądania Skarżącego – dlaczego i na jakiej podstawie prawnej to nastąpiło.

Spółka nie udzieliła odpowiedzi.

UODO się nie poddawał i spytał jeszcze raz. I jeszcze raz. W sumie dwa pisma od UODO (prawidłowo doręczone i odebrane) pozostały bez żadnej odpowiedzi. Na jedno z wezwań spółka udzieliła odpowiedzi, jednakże zdaniem UODO wyjaśnienia były “niepełne” i “wewnętrznie sprzeczne”

Pisaliśmy już o tym, że unikanie rozmawiania z UODO to nie jest najlepszy pomysł. Ba! Nawet likwidowanie spółki w celu unikania rozmawiania z UODO to nie jest dobry pomysł. UODO doszedł do wniosku, że w przypadku spółki z Jeleniej Góry konieczne będzie wszczęcie odrębnego postępowania w sprawie nałożenia na nią administracyjnej kary pieniężnej.

Zaczęli współpracować, ale opornie

Kiedy postępowanie już ruszyło spółka się obudziła i złożyła bardziej obszerne wyjaśnienia. Niestety i one zostały uznane za niepełne. Prezes UODO uznał więc, że spółka nie chce z nim współpracować i nie wywiązuje się z przewidzianego przepisami RODO obowiązku zapewnienia mu dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań.

O niedociągnięciach w wyjaśnieniach możemy poczytać w decyzji.

…w szczególności dotyczy to odpowiedzi na pytanie o relację łączącą w dniu […] czerwca 2018 r. Spółkę z Panem P. K., który działając w imieniu Spółki skierował tego dnia na adres email Skarżącego wiadomość o charakterze – w ocenie Skarżącego – marketingowym. Spółka oświadczyła w odpowiedzi na to pytanie, że P. K. zatrudniony był w Spółce na podstawie umowy o pracę. Jednocześnie załączyła do swojego pisma kopie trzech umów o pracę (…) ich stroną był Pan Pi. Ko., a nie Pan P. K. (Spółka w swoim piśmie nie wyjaśniła skąd ta rozbieżność). Po drugie, okresy obowiązywania przedstawionych umów dotyczyły okresów czasu zarówno przed jak i po dniu, o który wyraźnie pytał Prezes UODO (…) nie obejmowały zaś akurat tego konkretnego dnia (…)

Te wszystkie niedociągnięcia plus brak odpowiedzi na pierwsze pisma wskazywały – zdaniem UODO – na lekceważenie obowiązków wynikających z RODO. Spółka w żaden sposób nie próbowała usprawiedliwić faktu braku jakiejkolwiek odpowiedzi na dwa wezwania do złożenia wyjaśnień. Owszem, sama mogła mieć wątpliwości jak i co wyjaśniać, ale Prezes UODO zauważył, iż nie kontaktowała się ona z Urzędem w celu uzyskania dodatkowych wskazówek.

Mając na uwadze powyższe ustalenia, Prezes UODO stwierdza, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę – na mocy art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z niezapewnieniem przez Spółkę dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań – czytamy w decyzji.

Podsumowując – strategia wysyłania do UODO czegokolwiek i “liczenia, że się odczepi” była raczej nieskuteczna.

Wydając decyzję o nałożeniu kary pieniężnej Prezes UODO wziął pod uwagę jako okoliczności obciążające m.in. dużą wagę naruszenia (godzącego w prawidłowe funkcjonowanie określonego przepisami RODO systemu ochrony danych osobowych), umyślny charakter naruszenia oraz niezadowalający stopień współpracy administratora z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego skutków. Nie bez znaczenia był fakt, że spółka zajmuje się pośrednictwem pracy. W tej branży przetwarzanie danych osobowych jest istotną częścią biznesu.

Oczywiście teraz firmie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO.

Inne pierwsze kary

Na koniec krótkie podsumowanie dotychczasowych kar pieniężnych za  naruszenia RODO

  1. Pierwsza była milionowa, dla firmy przetwarzającej dane z CEiDG.
  2. Druga była dla związku sportowego za wyciek (pierwsza za wyciek).
  3. Trzecia to ta “trzymilionowa” dla Morele.net (pierwsza tak wysoka, pierwsza za bycie ofiarą ataku).
  4. Czwarta dla ClickQuickNow (pierwsza za utrudnienie wycofania zgody).
  5. Piąta była dla burmistrza (pierwsza dla podmiotu publicznego).
  6. Szósta dla szkoły w Gdańsku (pierwsza za przetwarzanie danych biometrycznych).
  7. Siódma dla Vis Consulting Sp. z o.o (pierwsza za utrudnianie postępowania).

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

12 komentarzy

Dodaj komentarz
  1. Poprawka: kara dla East Power jest jedenastą w Polsce. Wasze zestawienie nie obejmuje trzech pozycji, ujawnionych przez UODO na konferencji w styczniu tego roku:
    * spółka zajmująca się ochroną mienia i ludzi (wysokość kary: ok. 30.019,50 zł),
    * spółka zarządzającej nieruchomościami (wysokość kary: ok. 8.148 zł),
    * wspólnota mieszkaniowa (wysokość kary: ok. 1.973 zł).

    Źródło: https://jamano.pl/osiem-kar-za-naruszenie-rodo-w-polsce/

    • Plotka głosi, że owe trzy, to pochodne głośnej medialnie sprawy, w której wyciekły zdjęcia jak pewien znany polityk przychodzi do mieszkania sędzi Trybunału Konstytucyjnego.

    • No, ale mi wielki sukces bo Niemiec niszczy polską firmę. Rodo to sposób na udupianie firm.

    • @klonM, i dobrze, takie firmy trzeba “udupiać”

  2. Ciekawe kiedy dla Politechniki Warszawskiej? :D
    Jakoś ostatnio ucichło… nie mają żadnego trzeciego wycieku? ;)

  3. Ciekawe czy obywatel niemiec prowadzil np. konkurencyjna firme?
    Ostatnio popularne sie ponoc staje “zarododonie” komus kto zupelnie bez sensu nie chce odpuscic rynku ktory nieopatrznie zajal …

  4. K. ukraść – dobrze. K-emu ukraść – źle.

    (nie podaję pełnego imienia, żeby nie podpaść pod rasizm. Kto chodził do szkoły dawno temu, powinien łatwo rozpoznać nawiązanie do utworu literackiego. Kto nie rozpoznał, może, zamiast K., użyć imienia Janusz).

  5. I bardzo dobrze, ze tej firmie sie dostalo!

    Jakby niemcy udu* polska firme zajmujaca sie wytwarzaniem produktow Z niemowląt, to tez byscie narzekali na “złych szwabow” ?

  6. […] zauważmy, że skargi na wyszukiwarkę mogą popłynąć nie tylko z Polski. Niedawno UODO nałożył pierwszą karę w postępowaniu transgranicznym, tak więc reakcja UODO na skargę np. obywatela Niemiec nie jest wykluczona. A Netzpolitik swój […]

  7. morele czasami nie odwoływało się od tej kary twierdząc, że wydają milion złotych na zabezpieczenia ?? ktoś wie jak to się zakończyło ?? albo nadal trwa …. ?

  8. […] UODO idzie z karami jak burza. Tydzień temu nałożył pierwszą karę w postępowaniu transgranicznym, a we wtorek karę dla przedsiębiorcy prowadzącego żłobek (5 tys. kary za brak współpracy). […]

  9. Jakby złożył w Polsce to by dostał pismo po pół roku, że trzeba jeszcze podać adres korespondencyjny, który znajduje się we wniosku. Po uzupelnieniu sprawa by ucichła. Wiem bo dwa razy tak mialem, a ostatnio 3 raz pismo dostalem o uzupelnienie adresu mimo ze we wniosku juz go napisalem dwukrotnie. Nawet nie odpisywalem

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: