Slider Prev
Powrót

Mateusz Heinrich

radca prawny / partner

Wybrane kary nałożone przez organy ochrony danych osobowych w kraju i w UE w grudniu 2020 r.

Koniec roku obfituje w kary nakładane przez europejskie organy ochrony danych osobowych na podmioty z sektora prywatnego. Przyjrzyjmy się najciekawszym naszym zdaniem przypadkom kiedy w opinii regulatorów firmy naruszyły RODO.

7 grudnia 2020 r. francuski organ ochrony danych osobowych tj. CNIL nałożył na spółki GOOGLE LCC i GOOGLE Ireland kary w łącznej wysokości 100.000 Euro. CNIL uzasadnił swoje decyzje o nałożeniu na w.w. spółki niebagatelnej wysokości kar administracyjnych faktem, iż spółki wykorzystywały tzw. pliki cookies nie informując o tej okoliczności osoby je odwiedzające, a także bez uzyskania zgód odwiedzających.

Co to takiego tzw. pliki cookies (tłum. pol. ciasteczka)?

Są to dane informatyczne, najczęściej pliki tekstowe, ale nie tylko, które przechowywane są w urządzeniu końcowym użytkownika strony internetowej celem optymalizacji korzystania ze stron www. Są one stosowane m.in. dla gromadzenia danych statystycznych, które pozwalają identyfikować sposób korzystania przez nas ze stron www, co pozwala na polepszenie struktury, jak i zawartości strony www.

Spółki stosowały mechanizm, dzięki któremu osoba odwiedzająca stronę internetową automatycznie na swoim komputerze pobierała pliki cookies, które służyły celom reklamowym GOOGLE i odbywało się to bez wiedzy i zgody tej osoby. Gdy osoba odwiedzająca stronę wyłączyła personalizację reklamy w wyszukiwarce google korzystając z przycisku „dostęp teraz” jeden z plików nadal był przechowywany na komputerze takiej osoby i zczytywał informacje na serwer, z którym był połączony, co narusza przepis art. 82 francuskiej ustawy o ochronie danych osobowych traktujący o prawie do wniesienia sprzeciwu co do korzystania z plików cookies.

Oprócz kary finansowej, w.w. spółki zostały na mocy decyzji CNIL zobowiązane do spełnienia obowiązków informacyjnych wobec użytkowników w terminie 3 miesięcy od wydania decyzji.

Należy zwrócić uwagę, że CNIL uznał się za organ właściwy w związku z tym, iż wykorzystanie plików cookies odbywało się w ramach działalności spółki Google France, która jak wiadomo jest spółką z grupy kapitałowej spółek GOOGLE LLC i GOOGLE Ireland, odpowiedzialną za promocję produktów i usług giganta.

Dnia 3 grudnia 2020 r. Prezes Urzędu Ochrony Danych Osobowych nałożył karę administracyjną w wysokości 1.968.524 złotych na spółkę Virgin Mobile Polska sp. z o.o. argumentując tą decyzję faktem, iż spółka nie wywiązała się ze spełnienia zasady rozliczalności i poufności danych osobowych wynikających z art. 5 RODO.

Kontrola PUODO została zainicjowana w związku ze zgłoszeniem naruszenia ochrony danych osobowych w spółce Virgin Mobile Polska sp. z o.o., albowiem nieuprawniona osoba uzyskała dostęp do jednej z baz spółki. Wyniki kontroli wykazały, iż ponad to, że spółka nie spełnia w.w. zasad to, że wymiana danych pomiędzy aplikacjami spółki miała następować po weryfikacji pewnych parametrów z wniosków rejestracyjnych klientów prepaid celem weryfikacji czy żądanie udostępnienia danych wpływa od uprawnionego podmiotu. Niestety system nie został zweryfikowany przed jego wdrożeniem, a w.w. walidacja nie funkcjonowała.

Powyższe kary uczulają nas na to, jak istotne jest spełnianie przez Administratorów obowiązków informacyjnych wobec osób, których dane przetwarzają, a także uświadamiają nam, iż Administratorzy winni dbać o ochronę danych osobowych tak w fazie projektowania, jak i testowania i ciągłego doskonalenia narzędzi, z których korzystają.

Kancelaria JUVO zapewnia wsparcie merytoryczne w zakresie ochrony danych osobowych tak w fazie Privacy By Design, jak i w fazie Privacy By Default.