Πρόστιμο 220.000 ευρώ για χρήση δημόσια διαθέσιμων προσωπικών δεδομένων χωρίς προηγούμενη ενημέρωση των υποκειμένων
Το πρώτο πρόστιμο με βάση τον Γενικό Κανονισμό για την Προστασία Δεδομένων από την Αρχή Προστασίας Δεδομένων της Πολωνίας
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
Το πρώτο της πρόστιμο με βάση τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR) επέβαλε η Αρχή Προστασίας Δεδομένων της Πολωνίας (UODO).
Το πρόστιμο ύψους 220.000 ευρώ αφορούσε στην απόκτηση δημόσιων δεδομένων σχετικά με άτομα και την επαναχρησιμοποίησή του για εμποικούς σκοπούς χωρίς την προηγούμενη ενημέρωσή τους.
Η επιχείρηση φέρεται να έλαβε προσωπικά αναγνωρίσιμες πληροφορίες (PII) για πάνω από έξι εκατομμύρια Πολωνούς πολίτες από το κεντρικό ηλεκτρονικό μητρώο της χώρας, καθώς και πληροφορίες για την οικονομική τους δραστηριότητα.
Ωστόσο, ενημέρωσε μόλις 90.000 άτομα για τα οποία κατείχε διευθύνσεις ηλεκτρονικού ταχυδρομείου, υποστηρίζοντας ότι το "υψηλό λειτουργικό κόστος" την εμπόδισε να κάνει περισσότερα, σύμφωνα με την ρυθμιστική αρχή της Πολωνίας.
Όπως εξήγησε ο Piotr Drobek, Διευθυντής του Τμήματος Ανάλυσης και Στρατηγικής της UODO, η εταιρεία δεν εκπλήρωσε την υποχρέωση πληροφόρησης αναφορικά με τα δεδομένα πάνω από 6 εκατομμυρίων ατόμων.
Μάλιστα, από τα περίπου 90.000 άτομα που ενημερώθηκαν για την επεξεργασία από την εταιρεία, περισσότερα από 12.000 αντιτάχθηκαν στην επεξεργασία των δεδομένων τους.
Ο υπεύθυνος επεξεργασίας εκπλήρωσε την υποχρέωση ενημέρωσης παρέχοντας τις πληροφορίες που απαιτούνται από το άρθρο 14, παράγραφοι 1 έως 3 του GDPR μόνο σε σχέση με τα πρόσωπα για τα οποία είχε στη διάθεσή του την διεύθυνση ηλεκτρονικού ταχυδρομείου.
Στην περίπτωση των υπολοίπων, ο υπεύθυνος επεξεργασίας δεν τήρησε την υποχρέωση πληροφόρησης, παρουσιάζοντας μόνο μία σχετική ενημέρωση μέσω της ιστοσελίδας του.
Κατά τη γνώμη της Αρχής η ενέργεια αυτή ήταν ανεπαρκής, καθώς θα έπρεπε να έχει ενημερώσει τα υποκείμενα, μεταξύ άλλων, για τα δεδομένα που επεξεργάζεται, την πηγή τους, τον σκοπό και την περίοδο προγραμματισμένης επεξεργασίας τους, καθώς και τα δικαιώματά τους.
Κατά την επιβολή του προστίμου, η Αρχή έλαβε επίσης υπόψη το γεγονός ότι ο υπεύθυνος επεξεργασίας δεν έλαβε κανένα μέτρο για να θέσει τέρμα στην παράβαση ούτε δήλωσε την πρόθεσή του να το πράξει.
Η απόφαση είναι διαθέσιμη στην πολωνική γλώσσα.
