24.4.2019
ID: 4449upozornenie pre užívateľov
Prvá pokuta za porušenie GDPR udelená poľským Úradom na ochranu osobných údajov
Poľský Úrad na ochranu osobných údajov (Urząd Ochrony Danych Osobowych, ďalej len „Poľský Úrad“) v marci 2019 udelil prvú pokutu podľa GDPR spoločnosti Bisnode.
Spoločnosť Bisnode spracúvala veľké množstvo osobných údajov z verejne dostupných zdrojov, najmä údajov podnikateľov a členov štatutárnych a iných orgánov obchodných spoločností, získaných z verejne dostupných registrov. Išlo predovšetkým o mená, priezviská, kontaktné údaje a číslo PESEL (poľské národné identifikačné čísla). Tieto údaje boli následne spracúvané na komerčné aktivity, hlavne marketing a služby spojené z overovaním kredibility.
Pokuta vo výške cca 220.000 EUR (943.000 PLN) bola uložená za nesplnenie informačnej povinnosti prevádzkovateľa voči dotknutým osobám. Bisnode neinformoval dotknuté osoby o spracúvaní ich osobných údajov, čím ich zbavil možnosti uplatniť svoje práva podľa GDPR. Nemali preto možnosť namietať proti ďalšiemu spracúvaniu svojich údajov, žiadať o ich opravu alebo vymazanie.
Pokuta vo výške cca 220.000 EUR (943.000 PLN) bola uložená za nesplnenie informačnej povinnosti prevádzkovateľa voči dotknutým osobám. Bisnode neinformoval dotknuté osoby o spracúvaní ich osobných údajov, čím ich zbavil možnosti uplatniť svoje práva podľa GDPR. Nemali preto možnosť namietať proti ďalšiemu spracúvaniu svojich údajov, žiadať o ich opravu alebo vymazanie.
Prevádzkovateľ splnil informačnú povinnosť poskytnutím informácií požadovaných podľa čl. 14 ods. 1 až 3 GDPR len vo vzťahu k cca 680.000 osobám, ktorých e-mailové adresy mal k dispozícii. Z osôb, ktoré boli o spracúvaní ich osobných údajov informované, cca 12.000 vyjadrilo voči spracúvaniu námietky. V prípade osôb, pri ktorých boli k dispozícii iba poštová adresa alebo telefónne číslo, prevádzkovateľ nedodržal informačnú povinnosť z dôvodu vysokých prevádzkových nákladov, ktoré prevádzkovateľ odhadol na vyše 7.000.000 EUR. Odvolával sa pri tom na článok 14 ods. 5 písm. b) GDPR, ktorý obmedzuje informačnú povinnosť ak sa poskytovanie takýchto informácií dotknutým osobám ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie. Osoby, ktorých emailové adresy prevádzkovateľ nemal k dispozícii, informoval o spracúvaní ich osobných údajov len na svojej internetovej stránke.
Podľa názoru Poľského Úradu bolo takéto konanie nedostatočné, keďže prevádzkovateľ disponoval kontaktnými údajmi aj ostatných dotknutých osôb. V danom prípade mal prevádzkovateľ k dispozícii poštové adresy a telefónne čísla, a preto mohol splniť povinnosť poskytnúť informácie osobám, ktorých údaje sa spracúvajú. Podľa názoru Poľského Úradu ustanovenia GDPR neukladajú prevádzkovateľovi povinnosť zasielať takúto korešpondenciu doporučenou poštou, keďže prevádzkovateľ tento argument použil ako ospravedlnenie na nesplnenie danej povinnosti. Prevádzkovateľ nesplnil informačnú povinnosť vo vzťahu k viac ako 6 miliónom ľudí.
Poľský Úrad pri ukladaní pokuty zohľadnil obrat spoločnosti, skutočnosť, že porušenie článku 14 GDPR bolo spáchané úmyselne a že spoločnosť neprijala žiadne opatrenia na ukončenie porušovania počas inšpekcie Poľským Úradom. Poľský Úrad okrem toho poukázal na to, že porušenie sa týkalo značného množstva dotknutých osôb a že v dôsledku porušenia nemohli dotknuté osoby uplatňovať svoje základné práva. Úrad okrem uloženia pokuty nariadil aj splnenie informačnej povinnosti voči dotknutým osobám, ktorých adresou prevádzkovateľ disponuje.
Spoločnosť Bisnode sa vyjadrila, že rozhodnutie napadne. Očakáva sa, že vnútroštátny súd sa obráti na Európsky súdny dvor s požiadavkou na výklad pojmu „neprimerané úsilie“ ako podmienky pre výnimku z informačnej povinnosti podľa článku 14 ods. 5 písm. b) GDPR. Rozhodnutie bude mať pravdepodobne významný dopad na subjekty, ktoré spracúvajú osobné údaje z verejne dostupných zdrojov.
Podľa názoru Poľského Úradu bolo takéto konanie nedostatočné, keďže prevádzkovateľ disponoval kontaktnými údajmi aj ostatných dotknutých osôb. V danom prípade mal prevádzkovateľ k dispozícii poštové adresy a telefónne čísla, a preto mohol splniť povinnosť poskytnúť informácie osobám, ktorých údaje sa spracúvajú. Podľa názoru Poľského Úradu ustanovenia GDPR neukladajú prevádzkovateľovi povinnosť zasielať takúto korešpondenciu doporučenou poštou, keďže prevádzkovateľ tento argument použil ako ospravedlnenie na nesplnenie danej povinnosti. Prevádzkovateľ nesplnil informačnú povinnosť vo vzťahu k viac ako 6 miliónom ľudí.
Poľský Úrad pri ukladaní pokuty zohľadnil obrat spoločnosti, skutočnosť, že porušenie článku 14 GDPR bolo spáchané úmyselne a že spoločnosť neprijala žiadne opatrenia na ukončenie porušovania počas inšpekcie Poľským Úradom. Poľský Úrad okrem toho poukázal na to, že porušenie sa týkalo značného množstva dotknutých osôb a že v dôsledku porušenia nemohli dotknuté osoby uplatňovať svoje základné práva. Úrad okrem uloženia pokuty nariadil aj splnenie informačnej povinnosti voči dotknutým osobám, ktorých adresou prevádzkovateľ disponuje.
Spoločnosť Bisnode sa vyjadrila, že rozhodnutie napadne. Očakáva sa, že vnútroštátny súd sa obráti na Európsky súdny dvor s požiadavkou na výklad pojmu „neprimerané úsilie“ ako podmienky pre výnimku z informačnej povinnosti podľa článku 14 ods. 5 písm. b) GDPR. Rozhodnutie bude mať pravdepodobne významný dopad na subjekty, ktoré spracúvajú osobné údaje z verejne dostupných zdrojov.
advokátsky koncipient
Vajnorská 100/A
831 04 Bratislava
Tel: +421 2 32 609 451
e-mail: pbeno@semancin.sk
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk