Amenda in valoare de 220.000 euro pentru un broker de asigurari pentru nerespectarea obligatiei de informare
Autoritatea pentru protecția datelor din Polonia (UODO) a decis aplicarea acestei amenzi deoarece brokerul de date nu ar fi notificat aproximativ 6,6 milioane de persoane vizate privind faptul ca le prelucreaza datele cu caracter personal, desi cunostea faptul ca are obligaaia de informare prevazuta la art. 14 alin (1) si (2) din Regulamentul pentru Protectia Datelor cu Caracter Personal (GDPR).
Informarea a fost facuta partial. Brokerul de datele a obtinut datele unor persoane fizice autorizate și societati, inclusiv numele reprezentanților acestora, din baze de date publice și le prelucra in scopuri comerciale. Pentru aproximativ 650.000 persoane pentru care detinea o adresa de e-mail de contact a trimis notificari privind prelucrarea datelor cu caracter personal pe adresa de e-mail. Pentru restul, aproximativ 6,6 milioane pentru care detinea numarul de telefon si adresa postala a decis sa nu trimita notificari catre persoanele vizate invocand costurile prea mari pentru trimiterea prin posta ( estimand un cost ce reprezinta aproximativ 97% din cifra de afaceri a companiei).
Brokerul a invocat prevederile art. 14 alin (5) insa Autoritatea a decis ca exista posibilitatea trimiterii notificarilor fara confirmare de primire, acest lucru reducand considerabil costurile.
Un lucru foarte important care reiese din raspunsul dat de Autoritate este acela ca trebuia depus un efort mai mare in vederea gasirii unei solutii pentru a face posibila trimiterea respectivelor notificari. Doar dupa epuizarea tuturor optiunilor brokerul avea posibilitatea sa invoce faptul ca este vorba de un efort disproportionat.
Totodata se observa accentul pus de Autoritate pe respectarea dreptului persoanelor vizate de a se opune prelucrarii, faptul ca nu au fost instiintate in prealabil practic nu le-a dat posibilitatea de a-si exercita acest drept. Autoritatea a apreciat faptul ca bokerul trebuia sa constientizeze intr-o mai mare masura importanta respectarii interesele si drepturile persoanelor vizate si avea obligatia de a lua in calcul existenta acestor costuri inca din momentul de planificare a actiunilor de prelucrare a respectivelor date cu caracter personal în scopuri comerciale.
Concluziile noastre in acest caz sunt:
– trebuie facuta o analiza stricta si clara in faza de planificare a unui proces de prelucrare de date cu caracter personal, trebuie depuse eforturi cat mai mari pentru identificarea tuturor potentialelor efecte pe care le poate avea prelucrarea asupra drepturilor si libertatilor persoanelor vizate( evaluarea DPIA-Data Protection Impact Assessment).
– trebuie luate in calcul toate costurile generate de prelucare si gasite solutii pentru reducerea lor.
– treaba facuta pe jumatate dupa modelul ’’atat s-a putut’’ nu va scuteste de o sanctiune, mai exact o informare partiala nu va convinge Autoritatea sa considere ca ati depus eforturile necesare pentru a notifica persoanele vizate. Conform GDPR doar atunci cand au fost analizate toate variantele posibile si totusi nu s-a gasit o solutie, doar in acest caz Autoritatea va considera ca ati fost suficient de diligent.
– trebuie inteles faptul ca persoanele fizice, reprezentantii persoanelor juridice ale căror date apar in registrele publice ar trebui sa constientizeze faptul ca exista posibilitatea ca datele lor sa fie utilizate sau re-utilizate in baza interesului legitim insa operatorul de date care va face acest lucru trebuie sa stie ca aceste persoane au anumite drepturi si sa le ofere posibilitatea de a le exprima fara constrangeri.