Kara fińskiego organu ds. ochrony danych osobowych dla Posti Oyj

Fiński organ ds. ochrony danych osobowych nałożył karę w wysokości 100 000 EUR na firmę Posti Oyj, która jest wiodącym operatorem usług pocztowych w Finlandii. Kara została nałożona za naruszenie zasady przejrzystości. Decyzja dotyczy skarg, które wpłynęły do organu, w których twierdzono, że skarżący otrzymali marketing bezpośredni od Posti.

Dochodzenie przeprowadzone przez organ wykazało, że firma Posti nie poinformowała osób, których dane dotyczą o ich prawach, w tym o prawie sprzeciwu wobec przetwarzania danych. Stwierdzono, że naruszenie nie miało charakteru incydentalnego, ale było systematyczne. Jak ustalono dotknęło ono 161 000 klientów w samym 2019 r.

Decyzja organu fińskiego jest okazją do przypomnienia o obowiązku przestrzegania zasady przejrzystości wynikającej z RODO, na którą organ powołał się w decyzji. Zasada ta wynika z art. 5 ust. 1 lit. a) RODO.

Artykuł 12 ust. 1 RODO precyzuje kiedy zapewniona jest przejrzystość, zobowiązując administratora do podjęcia odpowiednich środków, aby w zwięzłej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielił osobie, której dane dotyczą, wszelkich wymaganych prawem informacji. Zasada przejrzystości jest ściśle powiązana z art. 13 RODO, do którego treści także odwołał się organ nakładający karę. Przepis ten określa informacje, które należy przekazać kiedy dane osobowe są zbierane bezpośrednio od osoby, której dotyczą. Wśród informacji, które należy przekazać jest m.in. informacja o prawie sprzeciwu wobec przetwarzania danych osobowych. Prawo to przysługuje m.in. w przypadku gdy dane osobowe są przetwarzane dla celów marketingowych (na podstawie prawnie uzasadnionego interesu tj. art. 6 ust. 1 lit. f RODO). W decyzji organu fińskiego (niestety dostępnej tylko w języku fińskim) powołano się również na motyw 39 RODO, zgodnie z którym zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. W kontekście tych wymogów w decyzji powołano się również na Wytyczne Grupy Roboczej Art. 29 dotyczące przejrzystości zgodnie z rozporządzeniem 2016/679, WP260 rev.01 (wydane 29 listopada 2017 r., przyjęte dnia 29 listopada 2017 r. ostatnio zmienione i przyjęte w dniu 11 kwietnia 2018 r.). Istotnie, w Wytycznych tych zwraca się uwagę na potrzebę realizacji zasady przejrzystości. Co za tym idzie spełniania obowiązku informacyjnego w taki sposób, aby osoba, której dane dotyczą, zawsze była w stanie z wyprzedzeniem określić zakres i skutki przetwarzania i nie została później zaskoczona informacją, w jaki sposób wykorzystano jej dane osobowe.

Z treści decyzji można wnioskować, że przy wymiarze kary pieniężnej wzięto pod uwagę takie okoliczności, jak m.in.: czas trwania naruszenia, świadomość że dochodzi do naruszenia (prace nad poprawą przejrzystości zainicjowano już kilka lat wcześniej). Wzięto także pod uwagę brak wykazania, aby osoby, których dotyczyło naruszenie poniosły jakąkolwiek stratę finansową lub inną szkodę materialną w jego wyniku.

 

Źródła:

https://tietosuoja.fi/en/article/-/asset_publisher/tietosuojavaltuutetun-toimiston-seuraamuskollegio-maarasi-kolme-seuraamusmaksua-tietosuojarikkomuksista?_101_INSTANCE_ajcbJYZLUABn_languageId=en_US

https://www.dataguidance.com/news/finland-deputy-ombudsman-fines-posti-€100000-gdpr-transparency-violations

Decyzja fińskiego organu ds. ochrony danych osobowych https://tietosuoja.fi/documents/6927448/22406974/Henkilötietojen+käsittelyn+läpinäkyvyys+ja+rekisteröidylle+toimitettavat+tiedot.pdf/b869b7ba-1a05-572e-d97a-9c8a56998fc1/Henkilötietojen+käsittelyn+läpinäkyvyys+ja+rekisteröidylle+toimitettavat+tiedot.pdf

Wytyczne w sprawie przejrzystości na podstawie rozporządzenia 2016/679, WP260 rev.01  https://www.uodo.gov.pl/pl/3/1343

Autor

Joanna Noga-Bogomilska

Radca prawny, specjalista z zakresu prawa ochrony danych osobowych. Doświadczenie zdobywała w warszawskich kancelariach prawnych a także w organach administracji publicznej. Prowadzi audyty zgodności z RODO, a także pełni funkcję Inspektora Ochrony Danych.