GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Kara rekordowej wysokości za naruszenie przepisów RODO?

Złamany ekran i mlotek sędziowski 3d

Groźba rekordowej kary za naruszenie przepisów RODO

Zagraniczne media donoszą, że spółka Amazon Europe Core SARL (z siedzibą w Luksemburgu) może zostać bardzo surowo ukarana przez luksemburski organ właściwy do spraw ochrony danych osobowych (The National Commission for Data Protection – CNPD).

Regulator już wszczął postępowanie w tej sprawie. W grę wchodzić ma kara w wysokości aż 425 000 000 dolarów (ponad 1,5 miliarda złotych!).

W przypadku jej nałożenia, spółka stałaby się nowym niechlubnym rekordzistą pod względem wysokości jednostkowej kary nałożonej przez unijne organy nadzorcze na podstawie przepisów RODO. Co ciekawe, finalnie kwota kary może być jeszcze wyższa. Regulator z Luksemburga poprosił bowiem wszystkie unijne organy nadzorcze o konsultację, w ramach przewidzianego w RODO mechanizmu współpracy.

Potencjalne naruszenia RODO

Wydaje się, że nikomu nie trzeba przedstawiać profilu działalności spółki. Dla porządku warto jednak wskazać, że zajmuje się ona handlem elektronicznym na globalną skalę i poszczycić się może największym na świecie sklepem internetowym. Zarzuty skierowane pod adresem Amazon’a prawdopodobnie związane są właśnie z działalnością tego ostatniego. Według doniesień medialnych, organ nadzorczy z Luksemburga zarzucił gigantowi liczne naruszenia przepisów RODO, w tym w zakresie gromadzenia i dalszego wykorzystywania danych osobowych. Co ciekawe, postępowanie nie dotyczy kwestii przetwarzania danych osobowych przez giganta w chmurze (Amazon Web Services). Użytkownicy tej usługi mogą zatem najprawdopodobniej spać spokojnie. Na tę chwilę nie wiadomo, jakich konkretnie naruszeń dopuścił się Amazon. Biorąc jednak pod uwagę wysokość kary, zaproponowanej przez luksemburskiego regulatora, można domniemywać, że zarzuty są poważne.

Kolejna kara za brak współpracy z organem nadzorczym

Regulator sięga po mechanizm współpracy (art.60 RODO)

Postępowanie w niniejszej sprawie – ze względu na położenie siedziby spółki Amazon Europe Core SARL – prowadzone jest przez organ nadzorczy z Luksemburga. Udział w nim wezmą jednak również pozostałe unijne organy nadzorcze. Regulator sięgnął bowiem do mechanizmu współpracy (art. 60 RODO – tzw. mechanizm „one-stop shop”), co wynika najprawdopodobniej z faktu, że potencjalne naruszenia giganta obejmują swoim zakresem osoby fizyczne również z innych krajów UE.

W związku z zastosowaniem mechanizmu współpracy, ostateczna treść decyzji CNPD w tej sprawie (również co do wysokości nałożonej kary) zostanie ustalona wspólnie z pozostałymi unijnymi organami nadzorczymi. Warto zauważyć, że po przedstawieniu ich stanowisk, ostateczna kara może zostać podwyższona względem tej, zaproponowanej przez luksemburskiego regulatora. Zgodnie z RODO, gigant może zostać ukarany kwotą w wysokości 4% swojej światowej sprzedaży.

Oznacza to, że hipotetycznie, kara w tej sprawie może sięgnąć nawet 1,5 miliarda dolarów! (ponad 5,5 miliarda złotych).

Proces konsultacji ostatecznej treści decyzji w tej sprawie może potrwać kilka miesięcy.

Naruszenie RODO i kolejna kara za brak współpracy

Nie pierwsza kara Amazon’a

Warto przypomnieć, że w grudniu zeszłego roku (2020) spółka Amazon Europe Core SARL została ukarana przez inny unijny organ nadzorczy, tj. przez francuski organ właściwy do spraw ochrony danych osobowych (Commission Nationale de l’Informatique et des Libertés – CNIL).

Kara opiewała na kwotę 35 000 000 euro (ok. 156 000 000 złotych).

Francuski regulator zarzucił gigantowi, że do momentu przeprojektowania tej strony internetowej we wrześniu 2020 r., spółka automatycznie umieszczała pliki cookie na urządzeniach użytkowników. Niestety nie przekazywała im stosownych informacji, wymaganych przez francuską ustawę o ochronie danych osobowych. Niezależnie od tego, w jaki sposób określone osoby odwiedzały witrynę administratora – w ocenie CNIL – nie były one odpowiednio informowane (w niektórych przypadkach wcale) o fakcie zainstalowania na ich urządzeniach plików cookie.

Google i Amazon surowo ukarani za pliki cookie

Spółka również pod lupą organu ds. konkurencji

Informacje o postępowaniu prowadzonym przez luksemburski organ nadzorczy wobec giganta ujrzały światło dzienne niedługo po tym, jak brytyjski organ do spraw konkurencji (Competition and Markets Authority – CMA) poinformował, że od dłuższego czasu prowadzi postępowanie przeciwko Amazon (sprawa dotyczyć ma sklepu internetowego giganta). Wskazuje się, że organ wziął pod lupę, w jaki sposób spółka wykorzystuje dane zebrane na swojej platformie i jak podejmuje decyzje, którzy sprzedawcy pojawiają się w tzw. „buy box” (jest to panel umieszczony przy danym produkcie, którego kliknięcie powoduje dodanie produktu do koszyka zakupowego). Według doniesień, postępowanie CMA ma na celu ustalenie, czy spółka nie faworyzuje sprzedawców korzystających z jej usług logistycznych i dostawczych.

Będziemy monitorować tę sprawę.

Źródła:

https://www.marketwatch.com/story/amazon-may-face-425-million-fine-over-alleged-eu-privacy-violations-report-11623339505

https://www.wsj.com/articles/amazon-faces-possible-425-million-eu-privacy-fine-11623332987

https://www.cityam.com/uk-competition-watchdog-to-probe-amazon-buy-box/