Podstawa nałożenia kary
Wraz z początkiem lipca spółka Vinted UAB, która udostępnia platformę do sprzedaży używanej odzieży, otrzymała administracyjną karę pieniężną w kwocie 2.300.000,00 euro. Kara ta została nałożona przez litewski organ nadzorczy. Postępowanie zostało wszczęte na skutek skarg składanych przez użytkowników portalu.
Użytkownicy wskazywali na brak realizacji przez spółkę przysługujących im praw, w szczególności prawa dostępu do przetwarzanych o nich danych osobowych oraz prawa do bycia zapomnianym. Dodatkowo wobec spółki kierowano zarzuty, że o ile logowanie do platformy jest proste i intuicyjne, o tyle wypłacenie środków pieniężnych po zakupie jest utrudnione, a także platforma wymaga podania wielu dodatkowych danych osobowych, w tym przesłania skanu dowodu osobistego.
Przypadek ten wyraźnie pokazuje, że wciąż brakuje odpowiedniego podejścia do ochrony danych nawet wśród dużych przedsiębiorców. Brak realizacji praw podmiotów danych, zagrożony jest wyższym poziomem kar, tj. w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Prawa podmiotów danych
Należy przypomnieć, że osobom, których dane są przetwarzane, przysługują następujące prawa:
- prawo do bycia poinformowanym (art. 12 RODO),
- prawo dostępu do danych osobowych, w tym uzyskania ich kopii w formie nadającej się do maszynowego odczytu (art. 15 RODO),
- prawo sprostowania danych jeżeli są niepoprawne lub niekompletne, w tym ich aktualizacji (art. 16 RODO),
- prawo do usunięcia danych, jeżeli nie istnieje żadna inna podstawa ich dalszego przetwarzania (art. 17 RODO),
- prawo ograniczenia przetwarzania danych (art. 18 RODO),
- prawo do przenoszenia danych (art. 20 RODO)
- prawo do wniesienia sprzeciwu wobec przetwarzania danych oraz prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji w tym profilowaniu (art. 21 i 22 RODO).
Podmiot danych ma prawo mieć świadomość w jaki sposób i w jakich celach przetwarzane są jego dane osobowe przez administratora, a także mieć nad nimi kontrolę. Administrator zaś musi być technicznie i organizacyjnie gotowy, aby każde z tych praw móc zrealizować.
Zasada minimalizacji danych
Nadmienienia wymaga, że zakazane jest zbieranie przez administratora danych nadmiarowych, tzw. „na wszelki wypadek” lub które mają znaleźć zastosowanie dla przyszłego celu. Dane osobowe, zgodnie z zasadą minimalizacji danych, powinny być zebrane wyłącznie w zakresie niezbędnym dla realizacji danego celu. Skanowanie dowodów osobistych to przede wszystkim przetwarzanie danych dodatkowych, w tym wizerunku, imion rodziców, numeru PESEL, numeru dokumentu, które są zbędne dla dokonania przelewu środków pieniężnych, zaś w przypadku utraty ich poufności skutkuje wysokim ryzykiem naruszenia praw lub wolności podmiotu danych, w szczególności kradzieżą tożsamości czy też możliwością zaciągania zobowiązań finansowych.
Zgodnie z zasadą privacy by design administrator powinien każdorazowo tak tworzyć swoje procesy, aby od początku zabezpieczyć procesy przetwarzania i zapewnić prywatność osób, których dane dotyczą. Każda czynność przetwarzania powinna dodatkowo być podparta podstawą prawną, określoną w art. 6 RODO.
Podejście oparte na ryzyku
Przypadek ten wyraźnie pokazuje, że świadomość osób fizycznych w zakresie przetwarzania ich danych osobowych wciąż rośnie, co należy uznać za zjawisko jak najbardziej pozytywne. Podmioty danych, widząc nieprawidłowości w przetwarzaniu ich danych, zgłaszają tę sytuację do organu nadzorczego. Dla administratorów danych osobowych oznacza to, że muszą poddać ponownej analizie swoje procesy przetwarzania i zweryfikować, czy na którymś z etapów nie działają wbrew przepisom RODO w myśl podstawowej zasady – podejścia opartego na ryzyku.
Niniejszy artykuł ma charakter informacyjny i nie jest to porada prawna.
Stan prawny na dzień 24 lipca 2024 r.
autor: