Pozyskując dane osobowe z publicznych rejestrów, należy spełnić obowiązek informacyjny RODO
Przetwarzanie danych osobowych pozyskanych z rejestrów publicznych nie zwalnia z obowiązku informacyjnego RODO. Przekonała się o tym jedna z belgijskich firm. Stwierdzone naruszenia były zbliżonych do rozpatrywanej w Polsce głośnej sprawy spółki Bisnode.
Sprawa dotyczyła belgijskiej firmy Bisnode
Opisywana sprawa dotyczy firmy Black Tiger Belgium (dawnego Bisnode Belgium). Naruszenia stwierdzone przez belgijski organ nadzorczy przypominają te, za które jedną z pierwszych kar w Polsce wymierzono polskiej spółce Bisnode. Kara wymierzona została za nieprawidłowości w przetwarzaniu danych osobowych w ogólnodostępnej bazie danych m.in. brak realizacji obowiązku informacyjnego. Więcej na ten temat przeczytać można w artykule: Pierwsza prawie milionowa kara nałożona przez UODO Sprawa miała dość złożony przebieg, a w finalizującym ją wyroku Naczelny Sąd Administracyjny podtrzymał decyzję Prezesa UODO.
Uchybienia w zakresie obowiązku informacyjnego RODO
Wracając do sprawy belgijskiej firmy, należy rozpocząć od tego, że do tamtejszego organu nadzorczego trafiła skarga na przetwarzanie danych osobowych przez tę firmę. W toku postępowania ustalono, że firma ta przetwarzała niezgodnie z prawem dane osobowe przez ponad 15 lat.
Tak jak w przypadku polskiej spółki, dane te były pozyskiwane nie od podmiotów danych, lecz z ogólnodostępnych rejestrów. Mimo tego administrator nie spełniał wobec tych osób obowiązku informacyjnego. Dochodziło więc do naruszenia art. 14 RODO.
Pozostałe naruszenia ochrony danych pozyskanych z publicznych rejestrów
Spółce zarzucono też wybór niewłaściwej podstawy przetwarzania danych. Jak się okazało, przetwarzała ona dane osobowe na potrzeby działań związanych z dostarczaniem danych i jakością danych. Przetwarzanie to oparła na swoim uzasadnionym interesie (art. 6 ust. 1 lit. f RODO). Tymczasem belgijski organ nadzorczy stwierdził, że dane osobowe zebrane w sposób pośredni nie mogą zostać uznane za niezbędne do realizacji interesu polegającego na prowadzeniu aktualnej dokumentacji osób, których dane dotyczą. Do tego należało przyjąć, że nadrzędny nad interesem administratora był tu interes podmiotów danych. Kolejne stwierdzone naruszenia dotyczyły:
-
zbyt długiego okresu przechowywania danych (15 lat),
-
niezapewnienia dostępu do danych (art. 15 RODO).
Administracyjna kara pieniężna dla belgijskiej spółki niższa niż w Polsce
To wszystko złożyło się na trzy administracyjne kary pieniężne w łącznej kwocie 174 640 euro. Jest to więc kara zauważalnie niższa od tej, którą polski organ nadzorczy wymierzył polskiej firmie Bisnode. Poza tym wobec spółki zastosowano takie środki jak tymczasowy zakaz przetwarzania danych do czasu spełnienia obowiązku informacyjnego.
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Organizacja konkursu dla uczniów – umowa powierzenia przetwarzania danych pomiędzy szkołą a organem prowadzącym
- Obowiązek informacyjny w związku z rozmową telefoniczną - jak przekazać klauzulę informacyjną RODO
- Postępowanie z ryzykiem dla danych osobowych w związku z wdrożeniem sztucznej inteligencji AI
- Kiedy należy sporządzić ocenę skutków dla ochrony danych w związku z wdrożeniem sztucznej inteligencji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
