GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Dotkliwa kara za sprzedaż danych osobowych

Dotkliwa kara za sprzedaż danych osobowych

Holenderski organ właściwy do spraw ochrony danych osobowych (Autoriteit Persoonsgegevens) nałożył karę na holenderskie stowarzyszenie tenisowe (Royal Dutch Lawn Tennis Association) w związku ze stwierdzonym poważnym naruszeniem przepisów RODO.

Kwota jest znaczna – 525 000 euro (przeszło 2 250 000 zł). To czwarta kara nałożona przez holenderski organ, a jednocześnie druga co do wysokości. Regulator poinformował na swojej stronie internetowej, że stowarzyszenie już odwołało się od tej decyzji.

Bezprawna sprzedaż danych osobowych

Holenderski urząd ustalił, że ukarane stowarzyszenie sprzedało dane osobowe swoich członków dwóm firmom sponsorskim. Sytuacja miała miejsce w 2018 roku. Mowa tutaj o informacjach na temat niebagatelnej liczby trzystu trzydziestu tysięcy osób. Katalog przekazanych danych osobowych obejmował ich imiona, nazwiska, płeć oraz adresy zamieszkania. Sponsorzy szybko skorzystali z zakupionej bazy danych osobowych. Z ustaleń regulatora wynika bowiem, że po przeprowadzeniu tej transakcji kontaktowali się oni z poszczególnymi członkami stowarzyszenia, za pośrednictwem poczty lub telefonicznie, w celu przedstawienia swojej oferty marketingowej, związanej z tematyką tenisa. Działania te – zdaniem holenderskiego urzędu – były bezprawne.

Brak prawnie uzasadnionego interesu administratora

Organ podkreślił w decyzji, że każdy proces przetwarzania danych osobowych musi mieć oparcie w co najmniej jednej z przesłanek wskazanych w art. 6 RODO. Jego zdaniem, sprzedaż danych osobowych bez zgody osób, których dane dotyczą, jest co do zasady niedopuszczalna. Co istotne w sprawie, ukarane stowarzyszenie broniło się w toku postępowania, że kwestia sprzedaży danych osobowych członków stowarzyszenia miała oparcie w jego prawnie uzasadnionym interesie. Organ nie podzielił jednak tej argumentacji. Jego zdaniem transakcja była bezprawna i nie mieściła się w pojęciu prawnie uzasadnionego interesu administratora, tj. stowarzyszenia.

To bardzo interesujące rozstrzygniecie holenderskiego organu. Dotyka ono bowiem problemu ustalenia zakresu pojęcia prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO). W praktyce zaobserwować można, że wielu administratorów zbyt szeroko rozumie to pojęcie, podciągając pod nie różne operacje przetwarzania danych osobowych, często o bezprawnym charakterze. Wydaje się, że takie stanowcze i dotkliwe rozstrzygnięcie holenderskiego urzędu ochrony danych osobowych powinno dać dużo do myślenia administratorom w całej Unii Europejskiej, w tym również w Polsce. Na pewno skłoni ono do większej ostrożności i rozwagi w kontekście prowadzenia szeroko pojętego marketingu oraz sprzedaży danych osobowych.

Treść rozstrzygnięcia – w języku holenderskim – dostępna TUTAJ:

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_knltb.pdf

Treść komunikatu holenderskiego urzędu ochrony danych osobowych o karze dostępna TUTAJ:

https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-tennisbond-vanwege-verkoop-van-persoonsgegevens?fbclid=IwAR3x7dEjFp6jQqX60Ve3cxJ3JXVlbrSCy_uvZ2F7TGqT2GI5RKwrmS47feM