DPO On Demand

220.000 EUR globe za poljski Bisnode

Agencija za digitalni marketing Bisnode je kaznovana s strani poljskega organa za varstvo podatkov, ker ni bila transparentna, ko so ustvarili veliko bazo podatkov posameznikov na katere se nanašajo osebni podatki.

Poljska agencija za varstvo podatkov, nacionalni urad za varstvo osebnih podatkov (UODO), je izdala prvo kazen za neskladnost z Splošno uredbo o varstvu osebnih podatkov (GDPR). Cilj je bil Bisnode, švedska agencija za digitalno trženje, ki ima sedež na Poljskem. Bisnode je bila kaznovana z denarno kaznijo, ki je znašala približno 220.000 EUR, ker posameznikom ni zagotovila obvestila o zasebnosti, kot to zahteva člen 14 GDPR.

Še pomembneje, poleg globe v višini 220.000 EUR, je bilo družbi Bisnode naročeno, da se obrne na skoraj šest milijonov posameznikov, ki jim prej ni bilo predloženo obvestilo o zasebnosti. Družba Bisnode je ocenila, da jih bo to stalo več kot 8 milijonov EUR samo za poštne pošiljke, kaj šele za administrativne stroške.

Zadeva je sprožila alarm v krogih zasebnosti podatkov zunaj Poljske, saj je Bisnode menila, da je nesorazmerno, da se obrne na tiste posameznike, ki jih že ima v svoji podatkovni zbirki po pošti - to je bilo potrebno storiti le za tiste od katerih je imela e-poštne naslove.

Ozadje

Zdi se, da je podjetje Bisnode pridobilo osebne podatke s strganjem podatkov iz različnih virov, kot so javni registri in druge podatkovne baze, ki se nanašajo na podjetnike in druge lastnike podjetij. Medtem ko so bili nekateri podatki, ki so bili opuščeni, že javno dostopni, kot so registrirani uradi poljske različice podjetja House, velika večina ni bila javno dostopna.

Če je Bisnode pridobila e-poštni naslov posameznika, bi se z njimi povezal po elektronski pošti. Vendar pa ni imela elektronskih naslovov za veliko večino posameznikov približno za 5,7 milijona. Družba Bisnode se je zavestno odločila, da ne bo neposredno stopila v stik s temi posamezniki zaradi upravnega bremena in stroškov, ki jih je Bisnode ocenila kot nesorazmerno. Obstaja izjema od zahteve po zagotavljanju obvestila o zasebnosti, če bi bilo to nemogoče ali bi vključeval nesorazmerne napore. Kot alternativo je družba Bisnode objavila informacije o zasebnosti na svoji spletni strani in menila, da je to izpolnilo svoje obveznosti iz člena 14 GDPR.

Odločitev

UODO se ni strinjal, da je družba Bisnode izpolnila svoje obveznosti iz člena 14 GDPR, tako da je na svoji spletni strani objavila obvestilo o zasebnosti. UODO je ugotovil, da je podjetje Bisnode sprejelo zavestno komercialno odločitev, da ne bo stopilo v stik s posamezniki, in da bi moral Bisnode vključiti stroške kontaktiranja posameznikov kot del stroškov podatkov.

UODO je izjavil, da bi morala družba Bisnode aktivno izpolnjevati svoje obveznosti iz člena 14. Ni bilo dovolj, da bi samo objavili obvestilo o zasebnosti na svoji spletni strani in pričakovali, da bo oseba, na katero se podatki nanašajo, sprejela proaktivne ukrepe, da jo najdejo. Na podlagi tega je UODO menil, da je bilo obvestilo na spletni strani preveč pasivno, da bi izpolnilo obveznosti iz člena 14.

Komentar

Ta odločitev je lahko pomembna za vse organizacije, ki se zanašajo na izjemo „nesorazmernih naporov“, da bi se izognile pošiljanju obvestil o zasebnosti neposredno posameznikom, zlasti tistim, ki so se zanašali na svoje spletne strani, da sporočajo informacije o zasebnosti. Vendar je treba opozoriti, so v družbi Bisnode že najavili, da bodo vložili pritožbo – če bo treba, vse do Sodišča Evropske unije, če bo to potrebno. Zato je povsem mogoče, da bo končna odločitev drugačna.

Vir: Lexology