GoldenLine
Zaloguj się
Jacek Perkowski

Jacek Perkowski

Temat: Pierwsza kara za RODO w Polsce

https://uodo.gov.pl/pl/138/786

Za sprawą pierwszej kary, (z której PUODO wydaje się hm - można odnieść wrażenie - "dumny"? ;) znowu głośno o RODO w Polsce ;)
Mam jednak poważne wątpliwości co do zasadności tej decyzji - z wielu względów.
Pierwszy, spoza RODO jako takiego: jeśli PUODO "wyceniło" (rzekome?) uchybienie przepisom na blisko milion złotych - to gdyby podmiot "ukarany" miał dopełnić obowiązku informacyjnego - tak jak sugeruje organ - wobec 6 mln podmiotów poprzez wysłanie listu zwykłego to kosztowałoby go to 6mln x 2,60 PLN (wg cennika PP) - czyli 15,6 mln :)

Sprawa raczej na pewno trafi do sądu administracyjnego i jest szansa, że jego rozstrzygnięcie będzie b. trafne.

Nie przekonuje także to co można wyczytać m.in. w "Rzeczpospolitej":
Jak firma powinna wykonać obowiązek informacyjny? – Nie muszą to być listy polecone. Może reklama w telewizji? – dopytywali dziennikarze. – Nie możemy z urzędu udzielać takich wskazówek. Trzeba ocenić skuteczność takiej operacji, zasięg terytorialny reklamy i przede wszystkim gdzie funkcjonują firmy, dane których mamy – mówił dyrektor Piotr Drobek z UODO.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pierwsza kara za RODO w Polsce

Jacek P.:
https://uodo.gov.pl/pl/138/786

Za sprawą pierwszej kary, (z której PUODO wydaje się hm - można odnieść wrażenie - "dumny"? ;) znowu głośno o RODO w Polsce ;)
Mam jednak poważne wątpliwości co do zasadności tej decyzji - z wielu względów.
Pierwszy, spoza RODO jako takiego: jeśli PUODO "wyceniło" (rzekome?) uchybienie przepisom na blisko milion złotych - to gdyby podmiot "ukarany" miał dopełnić obowiązku informacyjnego - tak jak sugeruje organ - wobec 6 mln podmiotów poprzez wysłanie listu zwykłego to kosztowałoby go to 6mln x 2,60 PLN (wg cennika PP) - czyli 15,6 mln :)

Ależ spółka to wyceniła. Prawie 34 mln poleconym ekonomicznym. Przy PRZYCHODZIE (nie zysku) za 2018 na poziomie około 29 mln.

Na Linkedin zaczynam pewien cykl. Na dziś otagowany też 231 KK. Bo urzędnik nie jest ponad prawem. Decyzję przeczytałem i naprawdę parcie na szkło musi mieć granice. Urzędy sa od działania, nie reklamy, makretingu czy budowania swojej pozycji.
Link do wypowiedziLink
Przemysław Dorszewski

Przemysław Dorszewski

Temat: Pierwsza kara za RODO w Polsce

Jacek P.:
https://uodo.gov.pl/pl/138/786

Za sprawą pierwszej kary, (z której PUODO wydaje się hm - można odnieść wrażenie - "dumny"? ;) znowu głośno o RODO w Polsce ;)

Pani Prezes musi jakoś zaakcentować z przytupem kończącą się 9 kwietnia kadencję na czele UODO :).
A tak na poważnie, podchodzę do decyzji spokojnie, ukarany i tak pewnie odwoła się do sądu i jestem ciekaw bardziej samej decyzji sądu i jego interpretacji przepisów na temat obowiązku informacyjnego i wykluczeń tego obowiązku.
Link do wypowiedziLink
Jakub B.

Jakub B. IOD (DPO)

Temat: Pierwsza kara za RODO w Polsce

https://www.uodo.gov.pl/decyzje/ZSPR.421.3.2018
Polecam lekturę decyzji
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pierwsza kara za RODO w Polsce

Równolegle będę pisał, bo nie każdy jest na LI:

#RODOkara cz. 2.
Strona 4 decyzji, drugi akapit od dołu (uproszczenie moje):
"Mając na uwadze ustalenia, obowiązek został dopełniony wyłącznie w odniesieniu do 682.439 osób"

NIEPRAWDA.

Ja mam świadomość figurowania w rejestrach i wiedzę, kto to prowadzi (walnęło mnie okienkiem, jak szukałem danych kontrahenta). A nikt do mnie nic nie wysłał. Więc obowiązek został dopełniony wobec 682.440 osób. Co zresztą organ zauważył, opisując wcześniej, że spółka w ten sposób informuje.
Twarde stwierdzenie "wyłącznie" podważa moim zdaniem sensowność decyzji w tym konkretnym miejscu. Pomijając już zupełnie to, że jako admin NIE MUSZĘ wykazywać się spełnieniem obowiązku 1:1, personalnie do każdej osoby, bo takiego przepisu nie ma.
Muszę wykazać się mechanizmem, który jest skuteczny. O czym mówi 5.2. RODO, tu w związku z 5.1.a
Dlaczego?
Np dlatego, że nawet jak wyślę list to nie mam żadnej pewności, czy ktoś to w ogóle przeczytał.
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: Pierwsza kara za RODO w Polsce

Kilka dni wcześniej pojawił się ciąg informacji... ja je łączę w jedną całość.

1. Polska jako jedyny kraj nikogo jeszcze nie ukarała z RODO;
2. Nowym pewniakiem na fotel PUODO jest działacz partii rządzącej;
3. Nie ma pieniędzy w budżecie na spełnienie obietnic wyborczych;

Po tym ciągu... medialnie została ogłoszona kara.

Oczywiście UODO działa jak uważa za słuszne, ale wydaje się mi, że póki jest jeszcze zamieszanie i kodeksy nadal opracowywane to urząd powinien zająć się edukacją, a nie karaniem. Pomijam oczywiście jakieś ewidentne skrajne przypadki.
Link do wypowiedziLink
Jakub B.

Jakub B. IOD (DPO)

Temat: Pierwsza kara za RODO w Polsce

Szymon S.:
Kilka dni wcześniej pojawił się ciąg informacji... ja je łączę w jedną całość.

1. Polska jako jedyny kraj nikogo jeszcze nie ukarała z RODO;
2. Nowym pewniakiem na fotel PUODO jest działacz partii rządzącej;
3. Nie ma pieniędzy w budżecie na spełnienie obietnic wyborczych;

Po tym ciągu... medialnie została ogłoszona kara.

Oczywiście UODO działa jak uważa za słuszne, ale wydaje się mi, że póki jest jeszcze zamieszanie i kodeksy nadal opracowywane to urząd powinien zająć się edukacją, a nie karaniem. Pomijam oczywiście jakieś ewidentne skrajne przypadki.
W punkt :)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pierwsza kara za RODO w Polsce

Szymon... jak na razie to dopiero idą zmiany w przepisach. Bo przecież dwa lata było za mało.
Poza tym analizuję decyzję. I jakbym nie czytał, widać mocno na siłę.
Link do wypowiedziLink

konto usunięte

Temat: Pierwsza kara za RODO w Polsce

Ja się tylko zastanawiam, co PUODO rozumie pod pojęciem "niewspółmiernie dużego wysiłku", o którym mowa w motywie 62 do RODO.
Skoro obdzwonienie 6 mln ludzi lub poinformowanie ich drogą listowną jest możliwe do zrealizowania ot tak, to hmm, gratuluję fantazji.Ten post został edytowany przez Autora dnia 27.03.19 o godzinie 15:41
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Pierwsza kara za RODO w Polsce

Dlatego też urząd nie pochylił się nad jakimś rozsądnym uzasadnieniem tego, że to jednak nie jest niewspółmierny wysiłek. Ot nie jest i już. Nie mamy pana płaszcza... A rozważanie ukaranej spółki o finansowych konsekwencjach realizacji tego obowiązku urząd uznał za okoliczność obciążającą... Bo spółkę zakłada się, by chronić dane osobowe, a nie by zarabiać, więc pieniądze się nie liczą.

Kiepski case na pierwszą karę.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pierwsza kara za RODO w Polsce

Mnie to uzasadnienie decyzji UODO przekonuje, szczególnie te fragmenty uznaję za kluczowe:

dalsze przetwarzanie danych osobowych bez wiedzy osób, których dotyczą, niewątpliwie utrudnia czy ogranicza skorzystanie przez te osoby z przysługujących im uprawnień, np. prawa do usunięcia danych, sprostowania, czy złożenia sprzeciwu wobec przetwarzania danych osobowych (na dzień […] września 2018 r. z uprawnienia tego skorzystało 12630 osób - […]). W konsekwencji, brak spełnienia obowiązku informacyjnego, prowadzi do uprzywilejowanej pozycji Spółki w realizacji jej praw w stosunku do praw osób, których dane dotyczą i stanowią istotny element przedmiotu działalności Spółki.

Niewykonanie ww. obowiązku z uwagi na wskazane przez Spółkę koszty finansowe, świadczy o obniżeniu wartości praw osób, których dane osobowe Spółka przetwarza, w stosunku do wartości finansów Spółki, której to argumentacji nie można uznać za zasadną w świetle wymogów rozporządzenia 2016/679. Wskazać także należy, że Spółka pozyskuje przecież środki finansowe w ramach prowadzonej działalności gospodarczej, której przedmiotem jest udostępnienie danych osobowych osób fizycznych jej klientom (tj. m.in. podmiotom gospodarczym, w tym osobom prowadzącym jednoosobową działalność gospodarczą, czy też organom publicznym), jako odrębnym administratorom, w związku z produktami oferowanymi przez Spółkę. W bazie danych N[…], Spółka przechowuje również dane osób, które nie prowadzą już działalności gospodarczej ponieważ jak wynika z ustaleń kontroli „(…) klienci Spółki zwracają się z pytaniami, czy wśród ich dostawców nie ma podmiotów wykreślonych. Informacja o klientach nieaktywnych jest częścią produktu Spółki polegającego na dostarczaniu informacji gospodarczych.” ([…]).

Spółka nie ukrywa, że za tą decyzją stała kalkulacja kosztów związanych z bezpośrednimi formami dotarcia do osób, których dane przetwarza, a więc chęć uniknięcia dodatkowych związanych z tym kosztów. Spółka przy tym ma świadomość, że prawidłową, gwarantującą odpowiedni poziom zabezpieczenia praw i wolności podmiotów danych, formą podania im wymaganych informacji jest bezpośredni kontakt zainicjowany przez Spółkę. Świadczy o tym fakt wybrania w pierwszej kolejności takiego kontaktu w przypadku przedsiębiorców, których adresami e-mail Spółka dysponowała (w tym przypadku kontakt bezpośredni nie wiązał się jednak z praktycznie żadnymi kosztami). Rezygnacja z bezpośredniego kontaktu tylko z powodu związanych z tym kosztów należy ocenić negatywnie, szczególnie, że operacje na danych osobowych stanowią przedmiot podstawowej, czysto komercyjnej, profesjonalnej, wieloletniej działalności Spółki. Od Spółki, jako profesjonalisty w tego rodzaju działalności, należy wymagać takiego ukształtowania strony biznesowej swojej działalności, które uwzględniałoby wszelkie koszty niezbędne dla zapewnienia jej zgodności z przepisami prawa (w tym przypadku z przepisami o ochronie danych osobowych).

Znaczenie mają także konsekwencje niespełniania tego obowiązku jakimi są: niewiedza osób, których dane dotyczą o procesach przetwarzania ich danych oraz o możliwości skorzystania z przysługujących im praw zagwarantowanych przepisami rozporządzenia 2016/679. Także czas trwania naruszenia ocenić należy negatywnie mając na uwadze termin wejścia w życie rozporządzenia 2016/679 i termin rozpoczęcia jego stosowania. Znaczenie w tej sprawie ma także to, że naruszenie dotyczy – zgodnie z art. 83 ust. 5 lit b rozporządzenia 2016/679 – jednego z podstawowych praw osób, do którego zastosowanie ma wyższa kwota administracyjnej kary pieniężne

Podkreślenia i pogrubienia moje.

Jak sąd tego nie klepnie, to będzie znaczyć, że żyję w chorym kraju, w którym nadal można bezczelnie handlować ludzkimi danymi, bez wiedzy ich właścicieli, bez dania im nawet możliwości protestu.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pierwsza kara za RODO w Polsce

Grzegorz K.:
Ja mam świadomość figurowania w rejestrach i wiedzę, kto to prowadzi (walnęło mnie okienkiem, jak szukałem danych kontrahenta).
W okienku było, że to minister, prawda? Więc nie miałeś świadomości, że różnego rodzaju spółki podłączone są do tego ministerialnego źródełka (stałym łączem) i zasysają je na okrągło - jesteś towarem handlowym. Nie wiesz, kto zasysa, więc nie wiesz, komu wysłać sprzeciw.

Twoje dane są przedmiotem tego handlu, nawet gdy wyrejestrujesz działalność.

Było w okienku, komu minister udostępnia i w jakich celach? Było, co masz zrobić, jak ci to nie pasuje?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pierwsza kara za RODO w Polsce

Karolina K.:
Ja się tylko zastanawiam, co PUODO rozumie pod pojęciem "niewspółmiernie dużego wysiłku", o którym mowa w motywie 62 do RODO.
Skoro obdzwonienie 6 mln ludzi lub poinformowanie ich drogą listowną jest możliwe do zrealizowania ot tak, to hmm, gratuluję fantazji.

realne wyliczenie będzie jutro ;-)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pierwsza kara za RODO w Polsce

Paweł G.:
Grzegorz K.:
Ja mam świadomość figurowania w rejestrach i wiedzę, kto to prowadzi (walnęło mnie okienkiem, jak szukałem danych kontrahenta).
W okienku było, że to minister, prawda? Więc nie miałeś świadomości, że różnego rodzaju spółki podłączone są do tego ministerialnego źródełka (stałym łączem) i zasysają je na okrągło - jesteś towarem handlowym. Nie wiesz, kto zasysa, więc nie wiesz, komu wysłać sprzeciw.

Twoje dane są przedmiotem tego handlu, nawet gdy wyrejestrujesz działalność.

Było w okienku, komu minister udostępnia i w jakich celach? Było, co masz zrobić, jak ci to nie pasuje?

A tak jest? to składam kwity na odszkodowanie
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pierwsza kara za RODO w Polsce

Daniel W.:
Dlatego też urząd nie pochylił się nad jakimś rozsądnym uzasadnieniem tego, że to jednak nie jest niewspółmierny wysiłek. Ot nie jest i już. Nie mamy pana płaszcza... A rozważanie ukaranej spółki o finansowych konsekwencjach realizacji tego obowiązku urząd uznał za okoliczność obciążającą... Bo spółkę zakłada się, by chronić dane osobowe, a nie by zarabiać, więc pieniądze się nie liczą.

Kiepski case na pierwszą karę.

O delikatnie mówiąc. Koszt jaki przedstawiła spółka przekracza przychód netto za rok 2018. PRZYCHÓD. A zysk?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pierwsza kara za RODO w Polsce

Grzegorz K.:
A tak jest? to składam kwity na odszkodowanie
No właśnie tak jest. I tego dotyczy ta decyzja UODO, tylko kontrola była po stronie zasysacza.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pierwsza kara za RODO w Polsce

No to jak tak jest, to nie tylko zasysacz ale każdy inny może sobie ot tak przetworzyć. Wina po stronie zasysacza, czy instytucji, która to umożliwia?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pierwsza kara za RODO w Polsce

Grzegorz K.:
Wina po stronie zasysacza, czy instytucji, która to umożliwia?
Dane po stronie instytucji są ustawowo jawne.
Zasysaczem może być osoba fizyczna, której RODO nie dotyczy - wtedy po obu stronach jest OK.

Lecz gdy zasysanie nie odbywa się w ramach czynności o czysto osobistym lub domowym charakterze - to sorry gregory (nomen omen).
Link do wypowiedziLink
Jacek Perkowski

Jacek Perkowski

Temat: Pierwsza kara za RODO w Polsce

Jakub B.:
https://www.uodo.gov.pl/decyzje/ZSPR.421.3.2018
Polecam lekturę decyzji

Azaliż w jakim sensie - bo raczej nie takim, że będzie to przyjemna lektura? ;)
Chyba, że przyjemność odnajdziemy w osobliwym delektowaniu się - w delikatnie pisząc - kontrowersyjnymi twierdzeniami inkrustowanymi zgoła kuriozalnymi sformułowaniami :(
Link do wypowiedziLink
Jacek Perkowski

Jacek Perkowski

Temat: Pierwsza kara za RODO w Polsce

Grzegorz K.:
Jacek P.:
https://uodo.gov.pl/pl/138/786

Za sprawą pierwszej kary, (z której PUODO wydaje się hm - można odnieść wrażenie - "dumny"? ;) znowu głośno o RODO w Polsce ;)
Mam jednak poważne wątpliwości co do zasadności tej decyzji - z wielu względów.
Pierwszy, spoza RODO jako takiego: jeśli PUODO "wyceniło" (rzekome?) uchybienie przepisom na blisko milion złotych - to gdyby podmiot "ukarany" miał dopełnić obowiązku informacyjnego - tak jak sugeruje organ - wobec 6 mln podmiotów poprzez wysłanie listu zwykłego to kosztowałoby go to 6mln x 2,60 PLN (wg cennika PP) - czyli 15,6 mln :)

Ależ spółka to wyceniła. Prawie 34 mln poleconym ekonomicznym. Przy PRZYCHODZIE (nie zysku) za 2018 na poziomie około 29 mln.

Ale organ łaskawie zdaje się sugerować, że wystarczą listy zwykłe ;)

Na Linkedin zaczynam pewien cykl. Na dziś otagowany też 231 KK. Bo urzędnik nie jest ponad prawem. Decyzję przeczytałem i naprawdę parcie na szkło musi mieć granice. Urzędy sa od działania, nie reklamy, makretingu czy budowania swojej pozycji.
No niestety, i możemy sobie dworować (bo i jest z czego niestety ...), ale prawdziwy problem jest taki, że dla ogółu społeczeństwa przy takich decyzjach PUODO znowu "całe to RODO" będzie jawić się jako zbiór kompletnie oderwanych od rzeczywistości dziwnych przepisów.
Innymi słowy - pewnie decyzja - oraz medialna otoczka - miała za cel podkreślenie rangi RODO oraz prestiżu PUODO, a efekt będzie kompletnie odmienny ...
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Czy zaszyfrowane dane osobo...




Wyślij zaproszenie do
Anuluj