13:33
26/3/2019

Pierwszą wysoką karę za RODO dostała firma, która przetwarzała dane przedsiębiorców pobrane ze źródeł publicznych. Zdaniem Przezes UODO firma powinna wypełnić obowiązek informacyjny, ale zrobiła to tylko w odniesieniu do części osób, których dane dotyczyły.

Dziś w krótkiej notatce informowaliśmy o tym, że przezes UODO ma nałożyć pierwszą “milionową karę za RODO”. Informacje się potwierdziły. Wysokość kary to ponad 943 tys. zł dla firmy, której nazwa nie została przez UODO ujawniona.

6 mln ludzi nie dostało informacji

Tak jak pisaliśmy wcześniej, ukarana spółka przetwarzała dane osób (przedsiębiorców) pozyskane ze źródeł publicznie dostępnych, m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG).  Te dane były przetwarzane w celach zarobkowych, ale nie wszystkie osoby, których dane dotyczyły, wiedziały o tym przetwarzaniu. Jeśli ktoś podał swój e-mail w CEIDG, mógł dostać wiadomość z informacją. W przypadku pozostałych osób administrator uznał, że nie trzeba ich informować. Furtką do uniknięcia tego obowiązku miał być art. 14 pkt 5 lit b RODO.

Artykuł 14

1. Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:
(…)
5. Ust. 1– 4 nie mają zastosowania, gdy – i w zakresie, w jakim:
(…)
b)   udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku….

Liczne sprzeciwy o czymś świadczą

Prezes UODO uznała, że ukarana firma nie dopełniała obowiązku informacyjnego w stosunku do ponad 6 mln osób. Obowiązek ten został spełniony wobec 90 tys. osób, spośród których aż 12 tys. wniosło sprzeciw wobec przetwarzania ich danych.

dr
Edyta Bielak–Jomaa – Prezes UODO

W ocenie Prezes UODO administrator mógł spełnić obowiązek informacyjny mając dane kontaktowe do poszczególnych osób.

Zdaniem Prezes UODO, przepisy nie nakładają na administratora obowiązku wysłania takiej korespondencji listem poleconym, co argumentowała spółka jako usprawiedliwienie niewykonania kosztownego obowiązku. W niniejszej sprawie podmiot dysponował adresami korespondencyjnymi i numerami telefonów, a zatem mógł spełnić obowiązek informacyjny wobec osób, których dane przetwarza – czytamy w komunikacie wydanym przez Urząd.

Zdaniem UODO sprawę tę należy odróżniać od innej, rozstrzyganej przez GIODO kilka lat temu, kiedy inna spółka takimi adresami nie dysponowała. Prezes UODO uznała, że naruszenie administratora miało charakter umyślny, ponieważ – jak ustalono w toku postępowania – spółka miała świadomość istnienia obowiązku podania
stosownych informacji, jak i konieczności bezpośredniego informowania osób. Wymierzając karę, organ wziął pod uwagę również fakt, że administrator nie podjął żadnych działań zmierzających do usunięcia naruszenia ani nie zadeklarował takiego zamiaru.

Co oznacza “niewspółmierny wysiłek”?

Warto dodać, że wysokość kar nakładanych “za RODO” nie jest brana z kapelusza. Prezes UODO bierze pod uwagę 11 różnych czynników m.in. charakter i wagę naruszenia, czas trwania, liczbę poszkodowanych, cel i zakres przetwarzania danych i in. Konieczne jest też zbadanie, czy naruszenie miało charakter umyślny.

To prawdopodobnie nie jest koniec, ale początek bardzo ciekawej sprawy. Ukarana spółka może się odwołać do Wojewódzkiego Sądu Administracyjnego, a przecież jest o co walczyć. Wszyscy się chyba zgodzimy, że wspomniany wyżej przepis RODO (art. 14 pkt 5 lit b RODO) i “niewspółmierny wysiłek” można różnie interpretować. To pierwsza tego typu decyzja i pierwsza kara, więc sąd będzie miał się nad czym zastanawiać. Nie zdziwi nas, jeśli ta sprawa dotrze do Trybunału Sprawiedliwości UE.

Aktualizacja 28.03.2019 12:11

Na stronie UODO pojawiła się pełna treść decyzji w sprawie kary. Warto zauważyć, że choć nazwę ukaranej firmy zanonimizowano to jednak ustalenie tej firmy na podstawie decyzji nie nastręcza wielkich trudności. W decyzji zawarto fragmenty informacji, jakie były umieszczone na stronie ukaranej spółki. Wystarczy użyć Google i już wszystko wiadomo. Zwrócił na to uwagę jeden z polskich badaczy bezpieczeństwa.

Nie do końca też rozumiemy sens anonimizacji treści decyzji. Przecież inne organy wydają decyzje, które całkiem jawnie dotyczą określonych podmiotów (np. UOKiK tak robi). Zwykli obywatele też zapewne chcieliby poznać nazwy podmiotów, które mogą przetwarzać dane bez ich wiedzy i zgody. Prezes ukaranej firmy udzielił już wywiadu przynajmniej jednej gazecie, więc czy ta anonimizacja naprawdę była potrzebna?

Aktualizacja 12.12.2019 12:41

Kara została uchylona przez Wojewódzki Sąd Administracyjny. Więcej informacji w tekście pt. Milionowa kara za RODO została uchylona, ale “nie jest kolorowo”

Aktualizacja 21.09.2023 9:35

Naczelny Sąd Administracyjny potwierdził, że nałożenie kary było słuszne. Szczegóły w tekście pt. Pierwsza polska (i milionowa) kara “za RODO” była zasadna – wyrok NSA

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

70 komentarzy

Dodaj komentarz
  1. “Wysyłanie listów poleconych byłoby zbyt kosztowane” powiedziała spółka, która zarabiała na tych danych…

  2. Mnie wkur%$# telefony od Orange. Ale nie chodzi o telefon, a o jakieś kredyty dla firm, czy pożyczyki. Palanty dzwonią co dwa tygodnie. Ostatnio mówiłem babce żeby skasowała numer, a dziś rano myję zęby i dzwonią znowu z ORANGE POLSKA.

    • Po zalogowaniu do eboka Orange można odkliknąć zgody marketingowe. Jeśli to Orange a nie ktoś podszywający się, powinno zadziałać.

    • To ciekawe, ja mam tel u nich na abonamencie, odznaczone wszelkie zgody marketingowe – ani jednego telefonu od 3 lat od nich nie miałem

  3. “niewspółmierny wysiłek” można zinterpretować “jakikolwiek wysiłek”

  4. RODO to kolejna forma podatku nałożona na obywateli. Przecież nawet jak taki google czy jakaś inna korporacja dostanie kilka milionów kary to nic sobie z tego nie zrobi bo koszta w całości przerzuci na klienta.

    • Za to mniejsza firma (nie tylko z Polski) może takiej kary nie przetrwać.

      Doskonały sposób, żeby duzi chłopcy pozbyli się potencjalnych konkurentów.

      P. S.
      Ciekawe, ile kosztuje wysłanie 6 milionów e-maili lub wiadomości SMS. To może być „niewspółmierny koszt” w stosunku do dochodów firmy.

    • Współmierny czy nie współmierny, ale czy ktoś kazał im te dane przetwarzać? Jest przepis, nie zastosowali się – przykro, trzeba płacić.

    • Wysłanie 90 tyś emaili jest może 10 zł tańsze niż wysłanie 6 mln. Kod do ekstrakcji emaili już masz, musisz tylko zapłacić za prąd…

      Wysłanie SMS-ów pewnie byłoby droższe, ale na pewno da się z operatorami dogadać na temat jakiejś zniżki hurtowej.

    • To wiadomo, że ta ustawa służy wyniszczeniu małych firm podobnie jak ACTA2. Kto jedynie na tym zyska to prawnicy, państwo, oraz chińczycy, USA, izrael, którzy mają, gdzieś całe RODO, ACTA2.

      W Polsce stanie się nie opłacalne zakładanie firmy z względu na zbyt duże koszta jej prowadzenia w porównaniu do chińczyka.

    • @Grzegorz 6kk maili w Amazon SES – 600$ (przy założeniu że maile nie zostały wysłane z aplikacji hostowanej przez Amazona).
      Czy to duzo ? Nie powiedziałbym

    • To, że dane są publicznie dostępne, jeszcze nie oznacza, że można je sobie w dowolnym celu przetwarzać, np. zarabiać na sprzedawaniu ich innym firmom, które potem wydzwaniają z ofertami. Ale też nie oznacza, że nie można. Tylko trzeba robić to zgodnie z prawem: w tym mieć podstawę prawną przetwarzania i poinformować tę osobę, że się w konkretnym celu te dane przetwarza. A ta osoba ma prawo się temu sprzeciwić. https://panoptykon.org/wiadomosc/zawlaszczenie-danych-osob-prowadzacych-dzialalnosc-gospodarcza. Teraz w CEIDG nie trzeba podawać danych kontaktowych, ale kilka lat temu było inaczej – wtedy sobie takie firmy zassały kontakty i do dziś na nich zarabiają, ignorując sprzeciw tych osób.

    • Anna 2019.03.27 09:42
      ,a to czemu nie można zarabiać na ogólnie dostępnej wiedzy? Jeżeli ktoś nie chce by wykorzystywać jego informacje to niech je nie udostępnia.

    • @klonM

      Prowadząc firmę w formie działalności gospodarczej musisz podpisywać ją własnym imieniem i nazwiskiem, ponieważ taki jest wymóg prawny. Nie masz możliwości “nie udostępniać” swoich danych w takim przypadku. Są one ogólnodostępne w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEiDG); w domenie gov, za darmo, bez reklam. Na to nie możesz się nie zgodzić, dzieje się to z automatu przy zakładaniu działalności w urzędzie.
      Natomiast nadal pozostajesz osobą fizyczną, której przysługuje ochrona danych osobowych. Jeśli jakaś firma, której nie wyraziłeś na to zgody, przetwarza, agreguje dane wielu działalności gospodarczych (z nazwiskami), po czym je np. a) sprzedaje, b) używa do wysyłania spamu, c) zmienia część danych (np. podmienia adres wykonywanej działalności), d) używa do wyłudzeń (nierzadki przypadek), to robi z Twoimi danymi coś, na co NIE wyraziłeś zgody. Przysługuje Ci sprzeciw od tego, że ta firma używa Twoich danych do czegoś, czego nie chcesz.

      Ukarana firma na pewno będzie się bronić, że pozyskała dane z ogólnodostępnego rejestru. Sam jestem ciekawy, jak ta sytuacja się potoczy, bo to będzie swego rodzaju precedens. Do tej pory osoby prowadzące działalność gospodarczą (czyli między innymi samozatrudnione na żądanie “pracodawcy”) były totalnie bezbronne wobec nadużyć firm posługujących się ich danymi. Mogły sobie wysyłać protesty, żądania, sprostowania, ale “po drugiej stronie” nikt sobie nic z tego nie robił.

    • stukot 2019.03.27
      Od kiedy imię, nazwisko podlega ochronie danych osobowych?
      Według Phinance S.A. imię, nazwisko to nie dane osobowe :)
      Poczytaj archiwalny artukuł na niebezpiecznikuuu

    • @klonM

      Dokładnie. I dlatego ta sprawa jest ciekawa :) Bo nie taka oczywista. Zobaczmy, jak dalej się potoczy.

      Pewną komplikacją jest, że w wielu przypadkach w CEiDG imię i nazwisko współwystępuje z prywatnym adresem.

    • Zgadzam się z kolegą. RODO to nabijanie kieszeni UE. To jest jak z podatkiem od C02. Suma sumarów za wszystko zapłaci klient, a firma na niczym nie straci bo sobie wliczy karę w cenę świadczonych usług, albo obliży pensje pracownikom.

  5. 15 groszy za osobę.

  6. Proponuję aby UODO zainteresował się małymi Januszowymi biznesikami, które dane klientów przesyłają przez Facebooka, Gmaila i inne inwigilacyjne straszydła. Albo z polskimi szpitalami, których pracownicy robią to samo z danymi (medycznymi!) niczego nieświadomych pacjentów.

  7. @klonM, nie masz racji kara może być wysoka: “w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego”. To są odczuwalne kwoty. Panika jaka na masowa skalę wybuchła w przedsiębiorstwach, masowe szkolenia i szybkie wdrażanie procedur jest zdecydowanie dowodem na to, że takie konsekwencje mogą być dotkliwe.

    • Tylko, że ta te wdrożenie zapłacą wszystkie osoby. Google przeniesienie opłaty na użytkowników. Będzie drożej dla wszystkich.

      Chyba nie myślisz, że z czasem nie zmniejszą limitu dochodu? Podobnie było z ustawą hazardową. Teraz blokują strony, a za jakiś czas pornografie pod pretekstem ochrony małych dzieci.

  8. Wychodzi na to, że część danych osobowych jest danymi Schrödingera – są równocześnie jawne (dostępne dla każdego w publicznych rejestrach) i tajne (nie wolno ich przetwarzać).

    • Chyba problem w tym, że źle rozumiemy pojęcie “publicznie dostępny” jako “należące do wszystkich i używalne do dowolnych celów”. To, że coś jest publicznie dostępne nie oznacza od razu, że można sobie to wziąć i robić co się chce – komercyjnie. Przecież jak idziesz chodnikiem, to też jesteś publicznie dostępny :) Informacja podobnie jak przedmioty fizyczne może mieć jakąś ochronę. Przy prawach autorskich jest podobny mechanizm, więc to nie powinno dziwić. Możesz oglądać, ale nie wziąć i używać komercyjnie – szczegóły ustala licencja i tu RODO i wynikające z niego papierki i procedury są taką licencją.

  9. 1. PUODO zrobiło sobie dużą krzywdę wizerunkową (po niejasnych wytycznych i innych kwiatkach – kolejną już). Prawdą jest, że odpowiednie doinformowanie podmiotu o przetwarzaniu jego danych jest istotą całego RODOskiego systemu. Jednakże tutaj mamy, na miłość boską, dane profesjonalistów, którzy mogli mieć uzasadnione oczekiwania, że ich publicznie dostępne dane (rozsiane po różnych rejestrach) mogą być zbierane i przetwarzane dalej. Tym bardziej, że sama kwestia legalności przetwarzania nie była kwestionowana. PUODO mogło, moim zdaniem, nakazać podjęcie czynności nakierowanych na spełnienie obowiązku informacyjnego, jednocześnie ograniczając się do niższej i bardziej symbolicznej kary. Teraz ta kara jest symbolem bata, którym organ grozi administratorom. Bardzo “polskie” podejście.

    2. Całość rozbiła się o kwestie typowo prawne. Niestety, a piszę to jako prawnik. Już teraz organizacje zbyt duży nacisk kładą na fasadę papierologii, prawno-wizerunkowe kwestie, nie podejmując realnych przemian wewnątrzorganizacyjnych. Teraz tylko się to pogłębi. Zamiast skupić się na kontynuacji poprawek organizacji procesów i rzeczywistej ochronie danych, będziemy mieli dalsze pogłębianie się patologii information overkill. A wynika to z prostego faktu, że UODO nie ma ani wiedzy, ani kadry do przeprowadzania głębokich kontroli. Sprawdzają więc zewnętrzną fasadę.

    3. Nadciąga druga iteracja RODO psychozy. Musiała nadejść po pierwszych karach, ale organ naprawdę poleciał z grubej rury. Za chwilę pojawią się kolejne naciągania, szantaże pt. “Nie zamieścił pan klauzuli informacyjnej na swojej stronie. Pińcet złotych, albo lecę do PUODO”, albo “Ooooo widzę, że nie ma pan RODO w organizacji, może wdrożonko za 200zł? Komplet dokumentacji, będzie pan zadowolony”. I moim zdaniem to wina organu. Bo można było zastosować jakieś proaktywne działania, instrukcje, a nie wyjechać z pokazówką. Nie wiem czy takie ICO czy CNIL postąpiłyby inaczej, ale wydaje mi się, że owszem.

    TL;DR ta kara to pokazówka, szkodliwa i nieodpowiedzialna. Będzie prowokować naciągaczy, a rynek skupi się na fasadowych wdrożeniach, zamiast orientacji wysiłków na istotnych kwestiach organiazcyjno-technicznych. Można to było rozegrać znacznie lepiej.

  10. Osoby, które piszą komentarze, że firma przecież mogła wysłać e-maile lum sms-y do wszystkich, chyba w życiu nie przeglądały CEiDG. Dla ścisłości: Ukarana spółka pobierała z publicznych rejestrów dane o podmiotach gospodarczych. Nie każda osoba fizyczna prowadząca działalność gospodarczą podała przy rejestracji adres e-mail. Jeżeli przy danej firmie były podane dane umożliwiające wysłanie wiadomości elektronicznej, to ukarana spółka użyła ich. W przypadku pozostałych, po prostu nie posiadała ani adresu e-mail, ani numeru telefonu. Jedyną możliwością poinformowania tych ludzi o przetwarzaniu danych, było wysłanie listu tradycyjnego.

  11. Obstawiam aleo.com lub egospodarka.pl Obie firmy na prośbę o usunięcie danych pokazały środkowy palec. Niech zgniją!

  12. Chhwila!

    Zanim powiesicie psy na tym RODO i zapłaczecie nad losem polskiej ukaranej firmy – pomyślcie że nie wiemy jaka firma i za co została ukarana – bo tego nie ujawnili.

    Może to jeden z tych śmiesznych oszustów, który brał dane z CEIDG i wysyłał pisma domagając się “fakultatywnej” opłaty za wpis do SREDiG ( Szemranego Rejestru Ewidencji Działalności Gospdoarczej) ? Sam mam dziesiatki takich pism od klientów którzy sie nabrali albo i nie….

    • Prawda, podaj tam e-mail, a po tygodniu czy dwóch masa spamu.
      “Czy chcecie otrzymać ofertę”

    • Zwykli obywatele mają w nosie RODO. Na FB, w urzędach,w bankach podajemy jeszcze więcej prywatnych danych. UE rzekomo chroni dane osobowe, a z drugiej strony chce wiedzieć o nas jeszcze więcej wymagając np. rejestracji kart prepaid czy promując karty kredytowe.

    • @misiewiczSK
      Akurat to nie Unia kazała rejestrować karty pre-paid tylko miłościwie nam panujący Naczelnik Państwa i jego ekipa. W wielu krajach UE nie ma wymogu rejestracji.

    • Marcin Maziarz
      Z tym to tak nie do końca. Karzełek nic by nie zrobił bez zgody UE, poparcia MERKEL. Taka ustawa o sądownictwie była niewypałem bo Merkel nie dała zgody:)

    • @Tomasz

      No ja bym dokładnie tak obstawiał, wygląda mi z opisu na jedną z tych firm, co pozyskawszy dane z CEiDG używają ich do wyłudzeń. Zawsze jak uświadamiam kogoś, że dał się nabrać, mówi mi, że nie rozumie, czemu takie praktyki nie są ścigane z urzędu. W żaden sposób wpis za parę stów do szemranego rejestru podszywającego się pod oficjalny nie jest w interesie mikrofirmy – klientów nie przynosi, a kasy w kasie mniej.

      Zanim połowa czytelników napisze że tzw. “Janusz z Grażyną” sami są sobie winni i “równość podmiotów gospodarczych”, przemyślcie, że większość działalności gospodarczych, które padają ofiarą takich praktyk, to 1) mikrousługi z których korzystacie na codzień, przykładowo: kiosk z warzywami na osiedlu, piekarz, weterynarz, automechanik, manikiurzystka, sprzątaczka, pizzeria, ślusarz, stolarz, sprzątaczka, lekarz, pielęgniarka, opiekun, itp., 2) osoby różnych zawodów zmuszone do samozatrudnienia, by pracodawca płacił im fakturę a nie pensję. Jak dla mnie, mają oni niewspółmiernie osłabioną pozycję wobec firmy przetwarzającej hurtowo ich dane w celu wysyłania spamu wyłudzającego.

      Ciekawe, że na spam wyłudzający (w tym papierowy na adres fizyczny) firma ma kasę i nie jest to niewspółmierny wysiłek, prawda? Zwyczajnie w jej interesie jest, żeby maksymalnie dużo osób prowadzących działalność gosp. nie wiedziało, jaki podmiot przetwarza ich dane, bo może by się skapnęli, że nie trzeba płacić.

  13. Sytuacja dość kuriozalna, firma ma odpowiadać za przetwarzanie publicznie dostępnych danych… W takim razie na wszystkie wyszukiwarki internetowe też można nałożyć karę.

    • To, że dane są dostępne publicznie, nie znaczy że wyrażono zgodę na to abyś sobie je dowolnie przetwarzał, a już na pewno w celach zarobkowych.

    • @Tomasz święta racja, zupełnie nie wiem czemu ludzie tego nie kumają. Jak na ulicy stoją hulajnogi (publicznie dostępne) to jakoś czasem ktoś pomyśli, że jednak zabranie takiej to kradzież… a jak w Internecie coś sobie leży to już jest ‘inna rzeczywistość’ i można brać i robić co się chce. Czemu to jest dla wielu takie trudne do przyswojenia?
      Nie Twoje = nie ruszaj!

    • @Piotr
      Ale jakby rozdawali hulajnogi na ulicy to już nie jest kradzież! Nie myl przypadkowego pozostawienia danych z ich udostępnianiem/upublicznianiem.

  14. Kara i tak niższa niż wysłać 6mln listów po 1zl.

    • Teraz po 2,60 zł ale od kwietnia będzie jeszcze drożej bo listodziady się rozbestwiły i podnoszą ceny.

    • Wszyscy widzą karę a nikt nie wspomina o pierwszej, moim zdaniem ważniejszej części decyzji, czyli nakazie spełnienia obowiązku informacyjnego wobec tych 6mln osób w ciągu 3 miesięcy. Pewnie będą się odwoływać bo to dopiero jest koszt a nie jakieś tam marne 950tys. zł :)

  15. Skoro mowa o “poszkodowanych” to czy jest mowa o odszkodowaniu z automatu? Czy ewentualnie mogą oni dochodzić na drodze cywilnej? Bo jeśli to drugie, to trudno będzie oprzeć się wrażeniu, że rodo służy jedynie wyciąganiu kasy. Bo przestępstwo jest, wyrok i kara również ale poszkodowani figę z tego mają. Czytaj – słupem są.

  16. Firma nadciągająca powinna dostać po plecach za naciąganie – i to nie taką karę. Na razie wiemy tylko, że jest 6 mln ofiar a każda “kosztowała” tylko 15 groszy.
    A może to zwykły spamer był?

  17. Czyli jak ktoś sobie przegląda dane pewnej firmy na stronie KRS lub CEIDG a dane te po drodze buforuje serwer proxy to właściciel proxy ma zapłacić karę? Ten może nawet nie być świadomy, że wraz z innymi treściami www są tam zbuforowane również dane osobowe.

  18. Ale to są dane firm przecież. Niestety polski ustawodawca wymaga imienia i nazwiska w nazwie firmy osoby fizycznej ale to nadal baza przedsiębiorców. Po co Państwo ją udostępnia w xmlach jeśli nie wolno z tego korzystać? Jeśli ja prowadząc firmę X nie mogę zadzwonić/napisać do firmy Y, którą znalazłem w CEIDG, i która podała tel i email żeby zaoferować jej usługi to po co ta baza jest w ogóle udostępniana? Bo na pewno nie jako impuls do wymiany gospodarczej. Dodatkowo przedsiębiorca nie musi udostępniać adresu email i telefonu w tej bazie.

    • Nikt Ci nie zabrania tego robić. Również UODO nie miało uwag do legalności tego działania. Nie twórzmy kolejnych mitów o RODO !
      Jeśli już zebrałeś te dane (nie mówię o celach domowych) i zachodzą przesłanki do przetwarzania ich na podstawie uzasadnionego interesu to musisz jako administrator spełnić jeden z podstawowych obowiązków RODO tj. obowiązek informacyjny. Jak wysyłasz maila to napisz też kim jesteś skąd masz dane, po co ich używasz, jakie są prawa osoby, ile czasu będziesz je trzymał.

      I nie ma znaczenia, że dane są w publicznym rejestrze, prowadzonym z mocy prawa. Ważne, że dane mogą służyć identyfikacji osób, przez co mogą wpływać na ich wolności i prawa.

      Moim zdaniem w całej tej sprawie nie jest kontrowersyjne czy UODO miał rację (wg mnie miał) co do niespełnienia obowiązku informacyjnego, ale czy powinien stosować tak drastyczną karę. Myślę, że ma to związek ze stanem faktycznym, a konkretnie tym, że firma doskonale zdawała sobie sprawę z tego, że informując klientów znacznie ograniczy swoje możliwości biznesowe, a więc postawiła swój cel ponad prawami osób, których dane dotyczą. Zwróćcie uwagę, że wysłali 60 tys. maili w wyniku czego dostali 19 tys. sprzeciwów co do dalszego przetwarzania danych. To dało im do myślenia, że trzeba siedzieć cicho. To są oczywiście spekulacje. Na razie wiemy bardzo mało, nie ma decyzji i uzasadnienia. Uważam, że w uzasadnieniu takiej decyzji Urząd powinien przedstawić ciąg myślowy i interpretacje na których się oparł. Przed nami administracyjne postepowania sądowe i dzięki niemu dowiemy się więcej, a przede wszystkim poznamy ocenę sądu.

  19. Czytaj firma ktora zostala ukarana nie chciala poukladac sie z firmami zwanymi takze sluzbami specjalnymi.Nikogo nie obchodza zadne dane.Zawsze na koncu lancucha pokarmowego siedzi grubas albo kilku

  20. Poczekajcie, bo czegoś nie rozumiem. Przedsiębiorca został ukarany za przetwarzanie w celach zarobkowych danych “m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG)”. Przecież CEiDG udostępnia odpłatnie jawne dane rejestrowe przedsiębiorców za pomocą API (dzięki czemu też otrzymujemy te słynne wezwania z Krajowego Rejestru Sadowego), a różne firmy to przetwarzają w celach zarobkowych. Mnie interesują szczególnie wywiadownie gospodarcze, InfoVeriti, COFACE, BISNODE, Euler Hermes, mógłbym długo wymieniać bo jest tego sporo na rynku. Istotą ich działalności jest właśnie przetwarzanie takich danych w celu sporządzenia raportu na temat konkretnej firmy i udostępnienia go swojemu klientowi. Każda z tych firm ma, przynajmniej szczątkowy zawierający tylko dane rejestrowe, raport na temat mojej firmy, a jakoś nikt nie pytał mnie o zgodę na przetwarzanie danych. Czy będziemy mieć do czynienia z precedensem, a lawina kar przetoczy się przez wszystkie firmy płacące CEiDG za dostęp do rejestru i przetwarzające znajdujące się tam dane?

    Coś mi się to nie klei, karanie za przetwarzanie danych z publicznie dostępnych rejestrów. Chyba że tych 6 mln niepoinformowanych klientów nie pochodziło z publicznych rejestrów.

    • Albo teraz każdy zostanie zasypany stertą listów od nich wszystkich.

  21. Kradzież rzeczy a przetwarzanie publicznie dostępnych danych to dwie bardzo odległe od siebie sprawy.
    Jeśli zrobić by prawo zabraniające przetwarzania takich danych mogło by być całkiem zabawnie.

  22. Były tu artykuły o przetwarzaniu baz abonentów telefonii komórkowych, pozyskanie bazy z CIDG itp. to zwykła ściema, które każdy przy odrobinie rozsądku poda. Moim zdaniem UODO udało że trafia do nich takie tłumaczenie a po łapach dało za przetwarzanie bez zgody zainteresowanych. Nader często mój numer jest “losowany” ostatnio… Choćby firma się ostatecznie wybroniła mam nadzieje że kilka podmiotów przemyśli przetwarzanie pozyskanych różnymi drogami moich danych.

  23. Co oznacza “niewspółmierny wysiłek” ? skoro średnio musieliby poinformować ok 6 000 000 mln podmiotów – np. robiąc to w ciągu roku – mając dodatkowo zatrudnionych 10 osób – na osobę przypada 600 000 rekordów / dziennie 16 438 (nie liczę wolnych dni ani weekendów) / w ciągu godziny 2054 telefony. Moim skromnym zdaniem jest to ciężkie do wykonania. Tak prawdę mówiąc wykonanie może ok 20-25 warunków w ciągu godziny może jest wykonalne.

    • Nikt tego ręcznie robić nie będzie, podobnie jak ręcznie nie wysyłano 6 mln emaili. Tym się zajmuje automat.

  24. Pytanie jest inne: ktoś wie co to za spółka? Przez pryzmat jej działań możemy ocenić zasadność wyskości kary

  25. Powiem Wam że ja wcale nie żałuję tej firmy, wszyscy użalają się jaką to wielką karę dostała… tylko za co ta kara? Za zarabianie na darmowych danych które NIE zostały udostępnione w celach marketingowych tylko na podstawie przepisów prawa to po pierwsze. Kwota kary wysoka ale pomyślcie ile ta firma musiała zarobić na tych danych w ubiegłym roku skoro to może być maksymalnie 2% z jej obrotów. Osoby fizyczne prowadzące działalność gospodarczą są tu najbardziej poszkodowane bo najczęściej ich dane firmowe pokrywają się z ich danymi osobowymi – prywatnymi. To że muszą udostępnić te pierwsze nie oznacza z automatu że zgadają się na wykorzystanie tych drugich.
    Wiele razy mi się przydarzyło że co prawda na służbowy nr tel wydzwaniali do mnie z “prywatnymi” ofertami.
    Na prywatny numer tel też ciągle wydzwaniają i mają w głębokim poważaniu zgaszanie żądania zaprzestania przetwarzania danych.
    Ludzie zapomnieli niestety że oprócz RODO istnieją jeszcze inne przepisy związane z danymi osobowymi. Jest np. prawo telekomunikacyjne które zabrania przesyłania niezamówionych ofert (spamu). Ale firmy na tym zarabiające mają to gdzieś. Bo przecież zawsze jest szansa że się jakiegoś emeryta natnie na rewelacyjny garnek za 10k…

    • Tylko, problem polega na tym, że tą karę ostatecznie nie zapłaci firma tylko klient korzystający z usług firmy. Podniosą opłaty za korzystanie z ich usług. I powiedz mi kto został wydymany?

    • @maciuniek, to klienci zmienią dostawcę danych. Nikt im nie każe korzystać z usług, które są dla nich za drogie. Jeśli potrzebuję zweryfikować pojedynczą firmę w CEIDG (np. sprawdzając bezpieczeństwo transakcji), to robię to ręcznie.

  26. Ciekawe jak to wypłynęło.

  27. > Osoby fizyczne prowadzące działalność gospodarczą są tu najbardziej poszkodowane bo najczęściej ich dane firmowe pokrywają się z ich danymi osobowymi – prywatnymi. To że muszą udostępnić te pierwsze nie oznacza z automatu że zgadają się na wykorzystanie tych drugich.

    Warto by więc państwo:
    1) przestało zmuszać do ujawniania imienia i nazwiska w nazwie firmy,
    2) zbierało tylko adres do doręczeń danej firmy, a nie zmuszało do podawania wszystkich adresów wykonywania działalności,
    3) pozwoliło na adresy do doręczeń w wirtualnym biurze – po ostatnich zmianach bardzo trudno jest tam zarejestrować działalność.

    Ja rozumiem chęć ukrócenia oszustw ale co ma zrobić webdeveloper, który pracuje gdzie chce? Dlaczego musi swój adres zamieszkania ujawniać w rejestrze zamiast zerejestrować firmę w wirtualnym biurze?

  28. Sprawdź proponuję w pierwszej kolejności warunki umowy, bo może za pomniejszenie swojego abonamentu o np. 5zł dałeś prawo do udostępniania danych przez Orange innym podmiotom i wyraziłeś zgodę na przesyłanie ofert handlowych.

  29. Niezły schemat dojenia szaraczków, aby Właściwe Osoby dostały swoją dolę.

    1. Rząd zmusza obywateli do podawania swoich, czasem dość wrażliwych, prywatnych danych do wiadomości publicznej (nazwsko, adres itp. – choć z telefonu/maila ostatnio chyba zrezygnowali) jeśli chcą uczciwie żyć na własny rachunek. Aby to działało, trzeba systemów i urzędników, więc trzeba na ten cel ściągnąć podatki. Kasa dla rządu.

    2. Rząd sprzedaje te dane wszystkim zainteresowanym (poprzez API) albo pozwala sobie je sprytnie zeskrobać z publicznie dostępnego serwisu (słabo utrudniając masowe pobieranie). Ekstra kasa dla rządu.

    3. Następnie UODO w imię rządu ściąga haracz od tych, co te dane kupili lub pobrali, ale nie wydali dość kasy na usługi monopolistów prawnych lub faktycznych (poczta, telekomy) w celu zawiadomienia wszystkich, których kupione/pobrane dane dotyczą. Więc znów kasa dla rządu, albo z kar, albo z podatków od usług.

    4. Przetwarzający te dane (w jakimś celu zarobkowym przecież) będą musieli podnieść ceny swoich usług, uwzględniając koszty powiadamiania i/lub wliczając w koszty ewentualne kary. Więc znów więcej VATu wpadnie.

    5. Niby to problem tych, co chcą zarabiać na tych danych i nie trzeba z ich usług korzystać. Ależ NIE! Pomijając spamerów i wyłudzaczy, spora część rynku tych danych to wywiadownie gospodarcze. A przedsiębiorcy praktycznie MUSZĄ z nich korzystać, bo inaczej narażają się na ryzyko fiskalno-administracyjne (np. w postaci odmowy zwrotu VATu) lub czasem nawet karne, jeśli nie sprawdzili dokładnie swoich kontrahentów, którzy poniewczasie okazali się oszustami skarbowymi albo po prostu upadli (celowo bądź nie). Kowal zabił, Cygana wieszają – kasa dla urzędasów musi być, nieważne od kogo, zawsze sie jakiegoś jelenia znajdzie.

    6. W efekcie zapłacimy za to wszyscy w cenach towarów i usług, a kaska pójdzie gdzie trzeba – do urzędasów bądź do skumplowanych z nim właścicieli “przetwarzalni”.

    • To jest właśnie obłuda polityków. Jeżeli ktoś zapłaci np. takiemu orange za wykorzystanie klienta danych osobowych to wtedy ta osoba na legalu może przetwarzać te dane i spamić do woli klientów. Natomiast jak ktoś nie zapłaci za dane tylko sobie je wyszuka w sieci to już to jest niezgodne z prawem.

  30. Zanim zrozumiem jak ciężko wysłać te listy chcę zrozumieć czemu na taką ewentualność nie przygotowali się zanim rozpoczęli żąglerkę danymi? Bo jeśli nie umieli lub wiedzieli że będzie to zbyt kosztowne to nie powinni zaczynać tego biznesu. Taki wypadek jest tylko i wyłącznie kwestią czasu.

  31. […] że w marcu tego roku nałożono pierwszą w Polsce karę na mocy RODO. Wysokość kary wyniosła 943 tys. zł złotych, ale sprawa od początku była nieco […]

  32. […] przypomnimy, że dotychczas w Polsce widzieliśmy kary dla firmy zbierającej dane przedsiębiorców (blisko milion złotych), dla związku sportowego (55 tys. zł – niedawno potwierdzona w […]

  33. […] przypomnimy, że dotychczas w Polsce widzieliśmy kary dla szkoły podstawowej, firmy zbierającej dane przedsiębiorców (blisko milion złotych), dla związku sportowego (55 tys. zł – niedawno potwierdzona w […]

  34. […] kary finansowe “za RODO”, ale każda kolejna kara jest w jakimś sensie tą pierwszą. Pierwsza była naprawdę pierwsza. Druga była pierwszą za wyciek danych. Trzecia była pierwszą dla […]

  35. “obowiązek ten nie musi być spełniony wobec osób, które nie prowadzą już działalności gospodarczej” – bo na te dane Bisnode miało BEZWZGLĘDNY obowiązek uzyskać zgodę na przetwarzanie od tych osób lub skasować te dane, przed 25 maja 2018. Podobnie jako że osoby figurujące jako aktywne w CEIDG są osobami fizycznymi, BisNode miało bezwzględny obowiązek uzyskać ich zgody albo skasować ich dane, także przed 25 maja 2018. W polskim RODO ten wyjątek w artykule 14 na nadmierny obowiązek został źle przetłumaczony, bo w wersji angielskiej nie ma wątpliwości że dotyczy wyłącznie placówek badawczych (w myśl odpowiedniej ustawy), archiwów państwowych (w myśl odpowedniej ustawy) bądź innego wyjątku (który uchwali Sejm Ustawodawczy). A w polskiej przez źle postawiony przecinek sugeruje że wyjątki te są rozbieżne zamiast że muszą być spełnione ŁĄCZNIE.

  36. […] Pierwsza była milionowa, dla firmy przetwarzającej dane z CEiDG. […]

  37. […] na nagrobkach”. A jednak strach przed RODO powrócił niczym grom z jasnego nieba bo oto UODO nałożył pierwszą karę! Prawie milion złotych! Karę dostała firma Bisnode (obecnie Dun & Bradstreet) i na swój […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: