Kara finansowa hiszpańskiego organu nadzorczego za niepowołanie IOD
16.07.2020
Autor: Karol Witas
Kara za niepowołanie IOD
Postępowanie zostało wszczęte w lipcu 2019 r. na skutek wniesienia skarg dwóch osób fizycznych. W skargach podniesiono, że na stronie Spółki brak jest informacji nt. wyznaczenia Inspektora Ochrony Danych. W toku kontroli okazało się, że Spółka nie powołała IOD. Zdaniem organu nadzorczego, z uwagi na fakt, że Spółka regularnie, systematycznie monitoruje osoby fizyczne na dużą skalę, powołanie IOD stanowiło jej obowiązek.
Spółka zaprzeczyła, że ciąży na niej taki obowiązek. Dodatkowo podniosła, że zbliżone funkcje pełni powołany przez nią w 2018 roku Komitet ds. Ochrony Danych. Podmiot ten zajmował się kwestiami bezpieczeństwa informacji oraz realizował zadania z art. 39 RODO. Ostatecznie jednak w toku kontroli Spółka powołała IOD. Organ nie przychylił się do argumentacji Spółki, zaś powołanie IOD uznał za spóźnione, co spowodowało nałożenie kary.
Przetwarzanie danych na dużą skalę
Zgodnie z art. 37 ust. 1 lit. b RODO, jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele, wymagają regularnego, systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, administrator musi wyznaczyć IOD.
Motyw 91 RODO doprecyzowuje pojęcie operacji przetwarzania danych na dużą skalę wyjaśniając, iż są to operacje które:
Pomimo tego, że Organ w decyzji powołuje się na pojęcie „dużej skali”, o którym jest mowa w przywołanych postanowieniach RODO, to nie tłumaczy w sposób wyczerpujący tego terminu. Tymczasem właściwe stosowanie przywołanego pojęcia wciąż budzi wiele niejasności, których nie rozwiał także AEPD wskazując jedynie na dużą liczbę osób, których dane przetwarzano jako podstawowy czynnik przyjęcia dużej skali przetwarzania. Organ, nakładając karę podniósł również, że naruszenie dotyczyło podstawowych kategorii danych – danych geolokalizacyjnych użytkowników aplikacji, co miało wpływ na jej wysokość.
Tymczasem kluczowe kryteria dla określenia czy ma miejsce przetwarzanie na dużą skalę wyznaczyła Grupa Robocza Art. 29 w Wytycznych dotyczących Inspektorów ochrony danych.
Te kryteria to:
Warto zauważyć, że omawiana decyzja, oprócz wskazania na dużą liczbę monitorowanych osób, powinna uwzględniać także ostatnią kwestię, na którą zwróciła uwagę Grupa Robocza Art. 29 tj. geograficzny zakres działalności Spółki. Spółka przetwarza bowiem (wg jej informacji) aż 30 mln osób fizycznych na całym świecie. Ukarana Spółka zapowiedziała, że wykorzysta wszelkie środki, aby doprowadzić do usunięcia decyzji z obrotu prawnego.
Źródła:
https://www.expansion.com/juridico/actualidad-tendencias/2020/06/10/5ee0bc66468aeb756a8b45f2.html.https://aphaia.co.uk/en/2020/06/17/spanish-dpa-issues-e25000-fine-to-glovo-for-data-protection-officer-appointment-violation/
Wytyczne Grupy Roboczej Art. 29 dotyczące inspektorów ochrony danych:
Treść decyzji AEPD w sprawie Glovoapp23 S.L. (wyłącznie w języku hiszpańskim)
Autor
Karol Witas
Zajmuje się zagadnieniami z zakresu ochrony danych osobowych. Doświadczenie zawodowe zdobywał w krakowskich kancelariach prawnych specjalizujących się w zagadnieniach dotyczących prawa cywilnego, ochrony danych osobowych i własności intelektualnej. Współpracował z organizacjami pozarządowymi m. in. zapewniając im obsługę prawną, w tym w zakresie danych osobowych. Brał udział w tworzeniu dokumentacji oraz procedur w ramach wielu projektów wdrożenia RODO.
Kategorie
Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!