Amendă pe GDPR: 220.000 Euro la o firmă din Polonia

Sursa imagine

O firmă din Polonia a primit o amendă de circa 220.000 de euro pentru încălcarea Regulamentului General pentru Protecția datelor Persoanale, aceasta fiind prima amendă dată în această țară în baza GDPR, a informat joi firma de consultanță Deloitte într-un buletin informariv transmis StartupCafe.ro.

Autoritatea de supraveghere în materia prelucrării datelor cu caracter personal din Polonia a aplicat o amendă de 943.000 PLN (aproximativ 220.000 EUR) firmei în cauză, pentru încălcarea obligației de a informa persoanele vizate în conformitate cu articolul 14 din GDPR (informarea necesară în cazul în care datele nu sunt colectate direct de la persoana vizată).

Prima amendă aplicată în temeiul Regulamentului general pentru protecția datelor în Polonia are în vedere colectarea de date cu caracter personal din registre publice de către o societate în scopul desfășurării propriei activități comerciale.
În ceea ce privește informarea persoanelor vizate, societatea și-a îndeplinit această obligație doar în cazul acelor persoane fizice pentru care avea la dispoziție și o adresă de e-mail.

În cazul persoanelor pentru care societatea nu cunoștea adresa de e-mail (ci doar numărul de telefon sau adresa poștală), din cauza costurilor operaționale, informațiile erau puse la dispoziție doar pe website-ul societății.

Societatea a invocat costurile operaționale ridicate și a argumentat că furnizarea acestor informații fiecărei persoane vizate în parte se dovedește a fi imposibilă sau ar implica eforturi disproporționat, astfel intrând sub incidența excepției prevăzute de articolul 14 alin. (5) din GDPR.

Autoritatea de supraveghere a prelucrării datelor cu caracter personal din Polonia (Autoritatea) a considerat că măsurile luate de societate sunt insuficiente și nu satisfac cerințele impuse de articolul 14 din GDPR.

În viziunea Autorității, societatea ar fi trebuit să își îndeplinească obligația de informare a persoanelor vizate prin intermediul poștei tradiționale sau a telefonului, din moment ce se afla în posesia acestui tip de date de contact și că excepția prevăzută de articolul 14 alin. (5) din GDPR nu era aplicabilă în acest caz.

Și în România statul a amenințat cu amenzi o persoană juridică invocând GDPR. În noiembrie 2018, publicația de investigații RISE Project a primit o notificare de la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în care i se solicita divulgarea surselor în cazul anchetei #TeleormanLeaks. Potrivit celor de la RISE Project, instituția i-a „amenințat cu penalități de 20 de milioane de euro în caz că nu furnizăm acces la sistemele noastre informatice”.

În replică, autoritatea a spus că a solicitat publicației informații "ca urmare a sesizării primite de la o persoană fizică, care a semnalat posibile încălcări ale legislației privind protecția datelor cu caracter personal, prin postările realizate de Rise Project în spațiul public".

Regulamentul general pentru protecția datelor personale (GDPR) a intrat în vigpare din 25 mai 2018 în statele Uniunii Europene, inclusiv România.