Kolejne kary RODO – czas na Polskę?

Krajowe urzędy kontrolujące ochronę danych osobowych nie próżnują. Niedawno w trzech krajach zapadły nowe decyzje w sprawie naruszeń RODO. Padły już kolejne kary.

Kara ze względu na monitoring – Węgry

Coraz więcej spraw przed krajowymi urzędami ochrony danych osobowych rozstrzyga się przez łamanie procedur RODO w związku z nieprawidłowym monitoringiem. Na Węgrzech nałożono na firmę karę wynosząca ponad 3000 euro (która stanowi 6,5% jej rocznych przychodów ze sprzedaży netto), ponieważ odmówiła ona dostępu do nagrań osobie, która została na nich zarejestrowana. NAIH (odpowiednik UODO) stwierdził, że przedsiębiorstwo dopuściło się naruszenia, gdyż ADO (Administrator Danych Osobowych) nie mógł żądać od tej osoby uzasadnienia wglądu w nagranie, ponieważ chodziło o jej własne dane. Ponadto podmiot żądał udostępnienia nagrania do celów sądowych i zdaniem NAIH przedsiębiorstwo nie miało mocy, by określać, czy nagrania były do tego zbędne czy nie.

Zagubiona dokumentacja medyczna – Cypr

5 000 euro zapłaci szpital na Cyprze za wady w procedurze obiegu dokumentów, a dokładnie za zagubienie dokumentacji medycznej jednego z pacjentów. Podczas wyznaczania kary cypryjski odpowiednik UODO wziął pod uwagę środki, jakie placówka podjęła w celu poprawy ochrony danych osobowych. Uruchomiono m.in. specjalny system obsługi dokumentacji medycznej, stworzono rejestry zagubionych plików w systemie komputerowym czy też ustalono zasady wglądu do dokumentacji pacjentów. Na niekorzyść szpitala był natomiast fakt, że wcześniej wydano już przeciwko niemu orzeczenie w związku z naruszeniem ochrony danych oraz że w zagubionej dokumentacji znajdowały się poufne dane pacjenta.

Naruszanie ochrony danych w bankach – Bułgaria i Węgry

Zanim wykonamy telefon lub napiszemy maila w celach marketingowych należy zastanowić się dwa razy, a mianowicie nad tym, czy nasz odbiorca wyraził uprzednio zgodę na otrzymywanie tego typu treści. Dobrze obrazuje to sprawa CPDP (odpowiednik UODO) vs. bułgarski bank, w której to kredytobiorca oskarżył instytucję o naruszenie jego prawa do ochrony danych osobowych. Klient banku twierdził, że wyraził zgodę na przetwarzanie jego danych jedynie w sprawie umowy kredytu, a otrzymał telefon w związku z ofertą dotyczącą innego rachunku.

Sprawa trafiła ostatecznie do CPDP, a bank został obciążony grzywną 1000 BGN (ponad 2 219 zł) za naruszenie ochrony danych osobowych przetwarzanych w ramach umowy kredytu. Instytucja została również zobowiązana do udzielenia klientowi pełnej odpowiedzi w sprawie tego, komu ujawniła jego dane.  Ciekawe jest to, że decyzją CPDP klient może być jednak narażony na wiadomości SMS i e-maile, ponieważ podpisując umowę o kredyt konsumencki wyraził zgodę na przetwarzanie danych w celu „marketingu bezpośredniego”. Urząd zaznaczył, że mimo to klient ma prawo w każdej chwili wyrazić wobec tego sprzeciw.

Podobna sprawa toczyła się również na Węgrzech. NAIH stwierdził, że bank naruszył prywatność dłużnika, przekazując informacje o niespłaconych przez niego należnościach na rzecz współwłasności pożyczki. Jak się okazało, do ujawnienia danych osobowych doszło przez błąd popełniony przed dziesięciu laty, podczas zawierania pierwszej umowy o kredycie hipotecznym. W tym przypadku bank został zwolniony z grzywny, ponieważ współpracował z NAIH i przeprowadził dokładne dochodzenie wewnętrze oraz szybko skorygował błąd. Na korzyść instytucji przemawiał też fakt, że błąd został popełniony 10 lat temu, a więc jeszcze przed obowiązywaniem RODO.

 

RBDO.PL