Полският административен съд се произнесе по първата глоба от почти милион злоти за нарушаване на GDPR

Службата за защита на личните данни (UODO) ще започне ново административно производство срещу варшавската фирма

В началото на годината UODO се произнесе, че много хора, чиито данни са били обработвани от варшавска компания, не са били наясно с това. Администраторът не ги е информирал за обработването и по този начин ги е лишил от възможността да упражняват правата си съгласно Общия регламент за защита на данните (GDPR). Следователно те не са имали възможност да възразят срещу по-нататъшната обработка на техните данни, за да поискат тяхното коригиране или заличаване.

След обжалване от фирмата UODO трябва да извърши отново административното производство в съответствие с инструкциите на административния съд. Част от иска е отхвърлена – отнасящата се до лица, които в момента извършват или са спрели стопанска дейност. Друга част на решението е отменена  – отнасящата се до лицата, извършвали стопанска дейност в миналото. Това означава, че броят на субектите на данни, засегнати от нарушението, се е променил, а той е важен за налагането на глобата и определянето на нейния размер. Затова е нужно преразглеждане на решението на UODO.

По време на делото стана известно, че в базата данни на дружеството имало общо 7 594 636 записа, съдържащи личните данни на предприемачи и лица, които са партньори или членове на органите на дружества, фондации или асоциации. Дружеството не е изпълнило задължение за информиране на 6 671 368 души. За 181 142 души, компанията има само номера на мобилни телефони, което означава, че може да изпълни задължението си за информация чрез този инструмент за комуникация.

Административният съд посочва, че варшавската фирма е получавала информация, включително лични данни на лица, извършващи стопанска дейност, от достъпни публични регистри. А при … предоставянето на тази информация на заинтересовани клиенти, трябва да спазва задължението за информация по отношение на тези лица, посочени в член 14 от Общия регламент за защита на данните (GDPR), като информира директно субекта на данните.

Дружеството бе санкционирано във връзка с нарушение на задължението за информация (член 14, параграфи 1-3) от Общия регламент за защита на данните), което се изразяваше в непредставяне на информацията, съдържаща се в член 14, параграфи 1 и 2  от GDPR на всички физически лица, чиито лични данни се обработват от дружеството, които са в момента или са били в миналото еднолични търговци, както и на физически лица, които са прекратили дейността си като еднолични търговци.

Компанията обжалва пред административния съд това решение. Предприятието счита, че е освободено от това задължение съгласно член 14, параграф 5, буква б) от GDPR. Според компанията предоставянето на такава информация би означавало непропорционални усилия, предвид високата цена на изпълнението на това задължение чрез изпращане на тази информация по пощата.

Тази аргументация не е приета от административния съд. Съдът счете, че високата цена за изпращане на такава информация по пощата не може да повлияе на наличието на „непропорционални усилия“.