Kara za brak powołania Inspektora Ochrony Danych

Hiszpański organ właściwy do spraw ochrony danych osobowych (Agencia Española de Protección de Datos – AEPD) nałożył karę na spółkę Glovoapp23 S.L., która jest właścicielem popularnej w ostatnim czasie aplikacji Glovo (aplikacja służąca m.in. do zamawiania jedzenia z dostawą). Kwota co prawda nie jest znaczna – 25 000 euro (ok. 111 000 zł), niemniej powód nałożenia kary wydaje się bardzo interesujący. Organ zarzucił hiszpańskiej spółce, że ta nie powołała inspektora ochrony danych (IOD), podczas gdy w świetle przepisów RODO miała taki obowiązek. Jest to pierwsza kara nałożona przez hiszpańskiego regulatora (ten dotychczas nałożył łącznie aż 91 kar) za nieprawidłowości związane z powoływaniem Inspektora Ochrony Danych.

Inspektor Ochrony Danych powołany, ale za późno

Przyczyną wszczęcia postępowania wyjaśniającego wobec ukaranej spółki były dwie skargi, złożone w lipcu 2019 r. przez osoby fizyczne. Skarżący zwrócili uwagę hiszpańskiego organu nadzorczego, że na stronie internetowej aplikacji Glovo nie ma możliwości znalezienia jakichkolwiek informacji o powołanym przez spółkę IOD.

Organ nadzorczy ustalił, że do czasu wszczęcia postępowania ukarana spółka w ogóle nie powołała Inspektora Ochrony Danych. W toku postępowania broniła się ona, że w świetle art. 37 RODO działalność spółki nie rodzi obowiązku jego powołania. Co ciekawe, pomimo takiego stanowiska, Glovoapp23 S.L. w 2018 r. utworzyła w ramach swojej organizacji Komitet ds. Ochrony Danych. Jego celem było zapewnienie bezpieczeństwa obszarom technicznym przedsiębiorstwa, ale także wykonywanie zadań Inspektora Ochrony Danych, wynikających z art. 39 RODO. Jednocześnie, w spółce został powołany Podkomitet ds. Ochrony Danych, który odpowiedzialny był za zapewnienie zgodności przetwarzania danych osobowych użytkowników z przepisami prawa.

Wydaje się, że sama spółka nie była przekonana co do swojej linii obrony. Po wszczęciu postępowania przez AEPD poinformowała ona bowiem hiszpańskiego regulatora o powołaniu Inspektora Ochrony Danych.

Przetwarzanie danych na dużą skalę

Organ nadzorczy podkreślił w swojej decyzji, że ukarana spółka – za pośrednictwem aplikacji Glovo – przetwarzała dane osobowe swoich użytkowników na dużą skalę. Ponadto proces przetwarzania tych danych osobowych wiązał się z koniecznością monitorowania użytkowników (geolokalizacja).

Zarówno w RODO, hiszpańskiej ustawie o ochronie danych osobowych, jak i w oficjalnych stanowiskach przyjętych przez AEPD, nie określono konkretnych limitów, których przekroczenie wiązałoby się z uznaniem, że w danym przypadku dochodzi do przetwarzania danych osobowych na dużą skalę (np. w Estonii limit ten został określony na poziomie 5 000 osób).

Ukarana spółka już zapowiedziała, że złoży odwołanie od decyzji hiszpańskiego regulatora. W jej ocenie, użytkownicy aplikacji Glovo zawsze mieli pełną gwarancję ochrony ich danych osobowych, na straży czego stał – działający w ramach organizacji – Komitet ds. Ochrony Danych. Spółka zadeklarowała dodatkowo, że skorzysta z wszystkich możliwych kroków sądowych, aby wykazać, że działała ona zgodnie z przepisami o ochronie danych osobowych.

Podobne kary w innych krajach

Warto zwrócić uwagę, że organy nadzorcze innych krajów członkowskich nakładały już kary za nieprawidłowości w zakresie powołania Inspektora Ochrony Danych w organizacji (przykładowo, na taki krok zdecydowali się regulatorzy z Belgii, Austrii i Niemiec). Dotychczas najsurowszą karę nałożyła Hamburska Komisja Ochrony Danych, która ukarała Grupę Facebook kwotą 51 000 euro (ok. 227 000 zł) za brak powołania Inspektora Ochrony Danych. Karę w podobnej wysokości nałożył także belgijski organ nadzorczy na operatora telekomunikacyjnego – Proximus SA. (o tej karze pisaliśmy TUTAJ – https://gdpr.pl/kara-za-brak-niezaleznosci-iod