От глоби на детски ясли, през санкциониране на службата по геодезия до трансгранични производства успешно извършва полският надзор върху личните данни

Полската служба за защита на личните данни (UODO) наложи глоба в размер на 5 000 PLN на собственик на детска ясла, съобщи EDPB.

Председателят на Службата за защита на личните данни (UODO) наложил глоба в размер на 5 000 PLN на собственик на детска ясла и предучилищна школа, стана ясно от публикация на три решения в сайта на EDPB.

Предприемачът, който ръководи детска ясла и предучилищна школа, не успя да предостави на президента на UODO информация, необходима за изпълнението на неговите задачи – в случая за оценка дали администраторът е съобщил за нарушение на данните в съответствие с GDPR (член 58, параграф 1, буква д от GDPR).

Администраторът уведоми президента на UODO за нарушение на личните данни, което се състои в загуба на достъп до лични данни, съхранявани в частната детска ясла и предучилищна програма.

Предвид липсата на информация, необходима за извършване на оценка на уведомлението, надзорният орган изпрати три искания до предприемача да представи съответните обяснения. Предприемачът не успя да отговори на исканията на председателя на UODO. Ходът на предприемача е неразбираем, като се има предвид фактът, че той е уведомил за нарушение на личните данни на председателя на UODO и следователно трябва да очаква позицията на надзора в този случай.

UODO подчертава, че дейността, извършена от глобеното лице, включва обработването на лични данни, свързани с деца, които се нуждаят от специална защита, тъй като те могат да бъдат по-малко запознати с риска и последиците, свързани с обработката на данни.

При издаване на решението за налагане на административна глоба и определяне на нейния размер председателят на UODO взе предвид като утежняващи обстоятелства, наред с другото, тежестта на нарушението и неговата продължителност, умишления характер на нарушението и липсата на сътрудничество на администратора с надзорния орган. Наложената глоба е пропорционална на тежестта на установеното нарушение и възможността за плащане на глобата от предприемачите без голяма вреда за извършената дейност.

Глобата, наложена от председателя на Службата за защита на личните данни, има за цел да дисциплинира предприемача по отношение на правилното сътрудничество с председателя на UODO, както в по-нататъшния ход на производството в случай на уведомяване за нарушаване на данните, така и в други възможни бъдещи производство с участието на този предприемач, проведено от председателя на UODO. Това е ясен сигнал за всички, че пренебрегването на задължението им за сътрудничество на надзорния орган, особено чрез възпрепятстване на достъпа до информация, необходима за изпълнението на неговите задачи, представлява сериозно нарушение и като такова подлежи на глоби.

Председателят на Службата за защита на личните данни (UODO), след като проведе административно производство, образувано служебно, наложи глоба в размер на 100 000 PLN на Główny Geodeta Kraju, GGK.

Председателят на органа за защита на личните данни установил, че GGK е нарушил разпоредбите на Общия регламент относно защитата на данните (GDPR), когато нарушението се състои в невъзможност да се осигури на надзорния орган по време на извършената проверка достъп до помещения, оборудване за обработка на данни. Освен това GGK не си сътрудничи с председателя на UODO по време на тази проверка, както е предвидено в член 31 от GDPR.

Нарушаването на разпоредбите на Общия регламент относно защитата на данните, което се състои в липса на предоставяне на достъп до данни и информация от администратора или обработващия, води до нарушения, посочени в член 58, параграф 1 от GDPR.

В началото на март 2020 г. председателят на Службата за защита на личните данни взе решение за необходимостта от извършване на проверка на обработката от GGK на портала GEOPORTAL2. GGK отказва проверката за  основанията за обработването на личните данни, източниците на такива данни, обхвата и вид на разкритите лични данни, както и метода и целта на това разкриване.

Поради липсата на достъп от инспекторите до ИТ системите, използвани от GGK, и необходимите проверки на информационната система по време на инспекцията не е установено дали GGK е приложила подходящи технически мерки за гарантиране на сигурността на данните. С оглед на гореизложеното в хода на проверката беше установено само какви организационни мерки GGK използва за сигурността на данните и дали е назначен служител по защита на данните.

От извършените инспекционни дейности е съставен протокол за проверка, който е подписан от GGK.

Поради категоричната липса на съгласие на GGK за извършване на пълни инспекционни дейности и недвусмислено изразената липса на воля за сътрудничество, инспекторите не можаха да определят как и на какво правно основание – при предоставяне на информация от регистрите на земята и имотите чрез GEOPORTAL2 онлайн портал (geoportal.gov.pl) – той дава достъп до лични данни, съдържащи се в регистрите на земята и имотите, и дали GGK е приложила подходящи технически мерки за гарантиране на сигурността на данните. По време на проверката не беше възможно да се разследва кой е основният предмет на проверката, тъй като не можеха да се извършват всички операции. В това отношение инспекцията беше осуетена от GGK.

В допълнение, пред президента на UODO предстои отделно производство в случай на нарушение при обработка на лични данни в онлайн портала GEOPORTAL2 без правно основание.

Третата глоба  от 15 000 PLN е за компанията East Power от Jelenia Góra за това, че не е предоставила на надзорния орган достъп до лични данни и друга информация, необходима за изпълнението на неговите задачи.

Глобената компания предоставя посреднически услуги по заетостта в Полша и Германия, а жалба срещу действията й е подадена от немски гражданин, тъй като обработва личните му данни за маркетингови цели. Жалбата е подадена до германския орган за защита на данните, компетентен за Рейнланд-Пфалц, но тя се разглежда от председателя на UODO, който е водещ орган в този случай, тъй като компанията е установена в Полша.

В рамките на тази процедура председателят на UODO изпрати три искания до компанията за представяне на обяснения. Компанията отговаря на едно от исканията, но обясненията й са непълни и противоречиви.  UODO счита, че умишлено се възпрепятства производството или се пренебрегват задължения, свързани със сътрудничеството с надзорния орган. Следователно се започва отделно производство за налагане на административна глоба по него.

Едва в отговор на съобщението за откриване на производството дружеството предостави по-обширни обяснения, но те са непълни и изискват допълнително разследване. Председателят на Службата за защита на личните данни счита, че компанията не желае да сътрудничи с нея и не изпълнява задължението – предвидено в GDPR – да му предоставя достъп до лични данни и друга информация, необходима за изпълнението на нейните задачи, в случая разглеждане на жалба, подадена от немски гражданин.

При издаване на решението за налагане на административна глоба на East Power Sp. и определяйки нейния размер, председателят на UODO взе предвид като утежняващи обстоятелства, наред с други, сериозността на нарушението, умишления характер на нарушението и незадоволителната степен на сътрудничество на администратора с председателя на UODO с цел отстраняване на нарушението и смекчаване на последствията от него.

Санкциите, наложени от председателя на Службата за защита на личните данни под формата на административни глоби, са предназначени да дисциплинират администраторите и обработващите лични данни. Неспазването им към задълженията им, свързани с сътрудничеството с председателя на UODO, води до удължаване на производството, проведено от него. По този начин е трудно да се упражняват правата на лица, чиито лични данни се нарушават. Това става и в този случай –  с действията си компанията прави невъзможно да се разглежда жалбата на гражданина и да се издаде решение на председателя на UODO.

Можете да споделите: