Prva kazna za GDPR u Poljskoj

//Prva kazna za GDPR u Poljskoj

Prva kazna za GDPR u Poljskoj

 

Prije nekih mjesec dana u Poljskoj je pala prva kazna zbog kršenja GDPR-a. „Sretnik „ je bila digitalna marketinška kompanija Bisnode, čije je sjedište u Švedskoj, ali je raspolagala i s uredom u Poljskoj.

Kazna

Kazna o kojoj je riječ, nije strašna u odnosu na one s kojima su počašćeni igrači poput Googlea, ali 220 000 eura svejedno nije za baciti. Poljsko tijelo za zaštitu podataka UODO donijelo je odluku da je Bisnode kriv za kršene GDPR-a, točnije članka 14. te ga je kaznilo u skladu s tom odlukom.

Slučaj

Kao marketinška kompanija Bisnode živi od podataka, ali do njih je došao na upitan način. Konkretno, pretraživanjem raznih registara i baza podataka prikupili su podatke o milijunima poduzetnika i vlasnika tvrtki, uključujući i imena i identifikacijske brojeve (OIB) i podatke o njihovom biznisu.

Za neke od njih, sa ostalim podacima su prikupili i e-mail adrese, te su te osobe i obavijestili o činjenici da obrađuju njihove podatke. Za veliku većinu od nekih 5.7 milijuna osoba nisu imali kontakt podatke, pa su jednostavno stavili obavijest na svoje web stranice kojom su smatrali da su se pokrili glede GDPR-a.

Poljsko nadzorno tijelo nije tako mislilo pa im je stoga uz novčanu kaznu dalo i obavezu da za tri tjedna obavijeste svih preostalih 5.7 milijuna ljudi o činjenici da obrađuju njihove osobne podatke. Bisnode se pokušao obraniti tvrdnjom da je to previše za očekivati, tj. da ne takav napor ne spada pod „proporcionalni napor“ koji se traži prema tekstu Uredbe. Također su najavili da će se žaliti protiv odluke. Jedan od argumenata koje navode jest njihova tvrdnja da bi ih takvo obavještavanje koštalo preko 8 milijuna eura.

S druge strane poljsko nadzorno tijelo smatra da je Bisnode znao svoje obveze prema GDPR i da ih treba ispuniti. Nadzorno tijelo je ustrajno u obrani prava na obaviještenost ispitanika prema GDPR-u i ne namjerava odstupiti od svoje odluke. Što se tiče tvrdnje Bisnodea da bi ih obavještavanje koštalo preko 8 milijuna eura navode da nije nužno da se osobe obavijesti poštom, budući da je i elektronički način  komunikacije savršeno prikladan.

Članak 14.

Članak 14. oko kojega se sve vrti zapravo rješava pitanje obaveza voditelja obrade podataka u slučaju kad su podaci dobiveni iz nekog drugog izvora, umjesto direktno od osobe na koju se odnose.

Obveze uključuju obavještavanje ispitanika o tome koji su podaci korišteni i za koju svrhu, te s kojim temeljem. Ukoliko voditelj želi s tim podacima još nešto naknadno raditi, dužan je ponovno o promjenama obavijesti ispitanika. Obavještavanje treba obaviti u roku od mjesec dana, a u slučaju  da su podaci namijenjeni za direktni marketing, osobu treba obavijestiti pri prvoj komunikaciji

 

Photo by Kaboompics .com from Pexels
By |2019-05-16T14:00:56+00:00svibanj 16th, 2019|Financial|Komentari isključeni za Prva kazna za GDPR u Poljskoj