Browsing Tag

rozporządzenie unijne

ochrona danych osobowych

Kolejna kara finansowa za naruszenie RODO

24 czerwca 2019
naruszenie RODO

Prezes Urzędu Ochrony Danych Osobowych („Prezes UODO”) decyzją z dnia 25.04.2019 r. nałożył na Dolnośląski Związek Piłki Nożnej („DZPN”) administracyjną karę pieniężną w wysokości 55.750,50 zł za naruszenie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE[1] (ogólne rozporządzenie o ochronie danych) („RODO”). Jest to druga kara finansowa, jaką w Polsce nałożono na polskich przedsiębiorców od początku obowiązywania RODO. Pierwsza kara w wysokości blisko 1.000.000,00 zł została nałożona w marcu tego roku, o czym informowaliśmy w poprzednim wpisie.

Stan faktyczny

W lipcu 2018 r. DZPN poinformował Prezesa UODO o naruszeniu ochrony danych osobowych. Naruszenie to polegało na niezamierzonej publikacji na stronie internetowej związku danych osobowych 585 sędziów piłkarskich. Ujawnione dane obejmowały imię, nazwisko, numer PESEL oraz adres zamieszkania sędziego. W zawiadomieniu wskazano, że osoby, których dane przypadkowo opublikowano na stronie, zostały o tym fakcie powiadomione.

DZPN poinformował UODO, że podjął niezbędne kroki w celu usunięcia negatywnych skutków naruszenia.  W szczególności DZPN usunął wszelkie pliki z danymi ze strony internetowej związku oraz z wyniki wyszukiwania przeglądarek internetowych. Stosownie do wyjaśnień DZPN, dane osobowe zostały usunięte przez firmę sprawującą nadzór informatyczny nad stroną internetową związku piłkarskiego.

Na skutek skargi jednej z osób dotkniętej naruszeniem Prezes UODO podjął czynności sprawdzające. Organ zamierzał ustalić, czy dane osobowe sędziów zostały rzeczywiście usunięte ze strony internetowej DZPN. W ramach postępowania kontrolnego stwierdzono, iż dane osobowe sędziów, pomimo ich usunięcia ze strony internetowej związku piłkarskiego, są nadal dostępne za pośrednictwem wyszukiwarki internetowej po wpisaniu adresu URL „usuniętej” strony, gdzie dane zostały opublikowane lub „po podejrzeniu treści serwera DZPN”. Dopiero w toku postępowania kontrolnego udało się trwale usunąć przedmiotowe dane z wyników wyszukiwania przeglądarki internetowej.

Rozstrzygnięcie Prezesa UODO

Podstawą prawną nałożenia przez Prezesa UODO administracyjnej kary pieniężnej była przede wszystkim nieskuteczność działań DZPN zmierzających do usunięcia danych osobowych, tj. naruszenia z art. 32 ust. 1 RODO. Stosownie do treści przywołanego przepisu każdy administrator danych zobowiązany jest do wdrożenia środków technicznych i organizacyjnych, zapewniających odpowiedni poziom bezpieczeństwa danych osobowych. Administrator, oceniając czy stopień bezpieczeństwa jest odpowiedni, powinien uwzględnić potencjalne ryzyko związane z przetwarzaniem danych osobowych, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b RODO). Przywołany przepis stanowi konkretyzację jednej z podstawowych zasad przetwarzania danych osobowych, tj. zasady integralności i poufności danych wyrażonej w art. 5 ust. 1 lit. f RODO.

Wysokość kary uzależniona była od szeregu czynników, tj. czasu trwania naruszenia, skali naruszenia, charakteru danych osobowych objętych incydentem. Mowa tu w szczególności o numerach PESEL, które stwarzało zagrożenie „kradzieży tożsamości” podmiotów danych. W ocenie Prezesa UODO okolicznościami przemawiającymi za złagodzeniem wymiaru kary był nieumyślny charakter incydentu, a także brak powstania szkody po stronie osób, których dane ujawniono.

Podsumowanie

W kontekście analizowanego rozstrzygnięcia Prezesa UODO należy podkreślić, iż jednym z fundamentalnych obowiązków administratora jest zapewnienie bezpieczeństwa przetwarzanych danych osobowych. Bezpieczeństwo danych można osiągnąć wyłącznie za pomocą efektywnych środków ochrony zarówno technicznych, organizacyjnych, jak i prawnych. Działania podejmowane w celu usunięcia niepożądanych skutków naruszenia ochrony danych osobowych nie mogą ograniczać się jedynie do sfery deklaracji. Obowiązkiem każdego administratora jest urzeczywistnienie wymogu bezpieczeństwa danych. Ma to szczególne znaczenie w ramach outsourcingu czynności przetwarzania danych osobowych, gdzie administrator powinien się upewnić czy podmiot, za pomocą którego dokonuje przetwarzania, faktycznie usunął dane osobowe.

Przypisy:

[1] Dz. U. UE L 119 z 04.05.2016, s. 1 ze zmianą ogłoszoną w Dz. U. UE L 127 z 23.05.2018, s. 2.

2 komentarze
ochrona konsumentów

Zakaz geoblokowania w handlu elektronicznym

19 czerwca 2019
zakaz geoblokowania

Od grudnia 2018 roku obowiązuje unijne rozporządzenie w sprawie nieuzasadnionego blokowania geograficznego oraz innych form dyskryminacji klientów ze względu na przynależność państwową, miejsce zamieszkania lub miejsce prowadzenia działalności na rynku wewnętrznym[1] („Rozporządzenie”), ustanawiające unijny zakaz geoblokowania.

Cel rozporządzenia 

W wyniku wejścia w życie przepisów Rozporządzenia, osoba chcąca dokonać zakupu towaru lub usługi na terenie dowolnego kraju objętego Europejskim Obszarem Gospodarczym („EOG”), może oczekiwać takich samych warunków transakcji, jak osoba dokonująca zakupu na terenie innego państwa EOG, w tym kraju stanowiącego siedzibę przedsiębiorcy, np. przy zakupie noclegu w hotelu lub biletu na dowolne wydarzenie. Ponadto zabrania się sprzedawcom stosowania blokady w korzystaniu ze stron internetowych utworzonych dla odbiorców z innego kraju UE. W celu przekierowania użytkownika do konkretnej wersji językowej serwisu wymagana jest jego zgoda. Przedsiębiorca wciąż jest jednak uprawniony do ustalania różnych cen za ten sam produkt lub usługę. Nie może jednak zabronić klientowi korzystania ze strony internetowej kraju, w którym przewidziano niższe ceny. Mimo to wciąż istnieje ryzyko po stronie klienta, iż przedsiębiorca nie przewiduje dostawy na terenie jego państwa. Kupujący będzie wówczas zmuszony ustalić ze sprzedawcą inny sposób dostawy i odbioru towaru. Przepisy o geoblokowaniu obejmują również zakaz stosowania zróżnicowanych warunków transakcji płatniczych.

Wyłączenia stosowania Rozporządzenia

Niewątpliwym defektem Rozporządzenia jest ograniczenie jego stosowania do obszaru, który nie obejmuje usług audiowizualnych oraz utworów cyfrowych chronionych prawem autorskim. Wprowadzonego zakazu geoblokowania nie stosuje się zatem m.in. do transmisji wydarzeń sportowych, usług streamingu, tzw. usług on demand, gier komputerowych, czy e-booków. W marcu 2020 roku Komisja Europejska ma dokonać oceny zasadności objęcia zakazem również wyżej wymienionych usług. Istnieje zatem wysokie prawdopodobieństwo, iż powszechnie znane platformy, takie jak Netflix czy Spotify, również będą musiały zagwarantować jednakowy dostęp do udostępnianych użytkownikom materiałów we wszystkich krajach EOG.

Co prawda, obszar ten został objęty rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2017/1128 z dnia 14 czerwca 2017 r. w sprawie transgranicznego przenoszenia na rynku wewnętrznym usług online w zakresie treści, jednak w nieco innym zakresie. Rozporządzenie 2017/1128 ma bowiem na celu zapewnienie, że osoby korzystające w swoim państwie z usług online w postaci posiadania dostępu do filmów, wydarzeń sportowych, czy muzyki online, mogą korzystać z nich podczas podróży do innego kraju Unii Europejskiej, w taki sam sposób jak swoim miejscu zamieszkania. Regulacja obowiązująca od kwietnia 2018 roku, miała stanowić pierwszy krok w procesie znoszenia zjawiska geoblokowania na rynku online (o rozporządzeniu 2017/1128 pisaliśmy tu: [link]).

Organ odpowiedzialny w Polsce

Zgodnie z nowelizacją ustawy o ochronie konkurencji i konsumentów, organem odpowiedzialnym za stosowanie się do zasad wprowadzonych Rozporządzeniem na terenie Polski będzie Prezes Urzędu Ochrony Konkurencji i Konsumentów („Prezes UOKiK”). Prezesowi UOKiK nadaje się prawo wydania decyzji nakazującej przedsiębiorcy zaniechania bezprawnej praktyki oraz nakładającej obowiązek usunięcia jej skutków. Ponadto, w przypadku ograniczenia konkurencji przez przedsiębiorcę, Prezes UOKiK będzie mógł przeprowadzić postępowanie antymonopolowe. Przedsiębiorcy łamiący zakaz geoblokowania, mogą spodziewać się kar finansowych na poziomie 10% obrotów wykazanych za poprzedni rok. Prezes UOKiK będzie również uprawniony do poinformowania przewodniczącego Komisji Nadzoru Finansowego o prowadzonych postępowaniach.

Podsumowanie

Pomimo istotnych luk we wprowadzonych przepisach, Komisja Europejska gwarantuje bieżącą weryfikację skutków ich wdrożenia oraz ewentualne rozszerzenie zakresu spraw objętych zakazem geoblokowania. Ograniczenia nałożone na przedsiębiorców w wyniku Rozporządzenia, gwarantują klientom na terenie EOG możliwość dokonywania zakupów online na korzystnych warunkach bez względu na obywatelstwo, miejsce dokonywania zakupu czy prowadzenia działalności. Ustanowiony zakaz należy zatem traktować jako istotny krok w procesie likwidowania barier w obszarze zakupów online na terenie EOG.

 

Przypisy

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/302 z dnia 28 lutego 2018 r. w sprawie nieuzasadnionego blokowania geograficznego oraz innych form dyskryminacji klientów ze względu na przynależność państwową, miejsce zamieszkania lub miejsce prowadzenia działalności na rynku wewnętrznym oraz w sprawie zmiany rozporządzeń (WE) nr 2006/2004 oraz (UE) 2017/2394 i dyrektywy 2009/22/WE.

1 Komentarz