Jelentős bírságot szabott ki a lengyel adatvédelmi hatóság

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A lengyel adatvédelmi hatóság elnöke 220.000 eurós bírságot szabott ki közel 6 millió érintett tájékoztatásának szándékos elmulasztása miatt.

A hatóság elnöke elmondta, sokan nem is tudtak arról, hogy az adatkezelő társaság kezeli a személyes adataikat, mivel az adatkezelő nem tájékoztatta őket, ezzel pedig megfosztotta az érintetteket a GDPR-ban biztosított jogaik gyakorlásának lehetőségétől. Az érintetteknek nem volt lehetőségük az adatkezelés elleni tiltakozásra, az adataik helyesbítésének vagy törlésének kérésére. Az elnök szerint súlyos jogsértés történt, mivel az az érintettek alapvető jogait és szabadságait sértette meg és a tájékoztatási kötelezettség elmulasztásával összefüggő volt. A fentiekre tekintettel a bírság alkalmazása indokolt.

Az adatvédelmi hatóság elemzési és stratégiai osztályának vezetője elmondta, hogy a jogsértés több mint 6 millió érintett esetében nem tett eleget a tájékoztatási kötelezettségnek. Az adatkezelő körülbelül 90.000 érintettet tájékoztatott az adataik kezeléséről, akik közül 12.000-en tiltakoztak az adatkezelés ellen. Ez is mutatja, hogy milyen fontos, hogy tájékoztassák az érintetteket, annak érdekében, hogy élhessenek a GDPR biztosította jogaikkal.

A hatóság vezetője aggodalmát fejezte ki amiatt, hogy az adatkezelő a nyilvánosan elérhető elektronikus adatbázisokból szerezte meg az érintettek adatait, amelyeket kereskedelmi célokra használt fel.  A tájékoztatási kötelezettség elmulasztása főleg olyan egyéni vállalkozókat érintett, akik jelenleg is aktív gazdasági tevékenységet folytatnak, felfüggesztették vagy megszűntették tevékenységüket. Az adatkezelő csak azon érintettek esetében tett eleget tájékoztatási kötelezettségének, akikhez rendelkezett e-mail elérhetőséggel. A többi érintett tájékoztatásának elmulasztását az adatkezelő annak magas költségeivel indokolta, erre tekintettel a saját honlapján tett eleget tájékoztatási kötelezettségének.

A hatóság elnöke szerint a honlapon való közzététel nem volt megfelelő, mivel az adatkezelőnek rendelkezésére álltak az érintettek postai címei és telefonszámai is, így meg tudta volna adni részükre a GDPR 14. cikke szerinti tájékoztatást.

Az adatkezelő azzal próbálta kimenteni magát, hogy minden érintettnek ajánlott levélben kellett volna megküldenie a tájékoztatást, amely jelentős költséggel járt volna, azonban a hatóság elnöke szerint ez nem kötelező.

A hatóság elnöke megállapította, hogy az adatkezelő annak ellenére szándékosan nem tett eleget a tájékoztatási kötelezettségének, hogy pontosan tudatában volt az irányadó szabályokkal.

A bírság kiszabásakor a hatóság azt is mérlegelte, hogy az adatkezelő nem tett lépéseket a jogsértő adatkezelés megszüntetése érdekében, sőt ilyen szándékáról sem tájékoztatta a hatóságot.

(edbp.europa.eu)

---