GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Kara za brak powołania IOD

Kara za brak powołania IOD

Hiszpański organ właściwy do spraw ochrony danych osobowych (Agencia Española de Protección de Datos – AEPD) nałożył karę na spółkę Glovoapp23 S.L., która jest właścicielem popularnej w ostatnim czasie aplikacji Glovo (aplikacja służąca m.in. do zamawiania jedzenia z dostawą). Kwota co prawda nie jest znaczna – 25 000 euro (ok. 111 000 zł), niemniej powód nałożenia kary wydaje się bardzo interesujący. Organ zarzucił hiszpańskiej spółce, że ta nie powołała inspektora ochrony danych (IOD), podczas gdy w świetle przepisów RODO miała taki obowiązek. Jest to pierwsza kara nałożona przez hiszpańskiego regulatora (ten dotychczas nałożył łącznie aż 91 kar) za nieprawidłowości związane z powoływaniem IOD.

IOD powołany, ale za późno

Przyczyną wszczęcia postępowania wyjaśniającego wobec ukaranej spółki były dwie skargi, złożone w lipcu 2019 r. przez osoby fizyczne. Skarżący zwrócili uwagę hiszpańskiego organu nadzorczego, że na stronie internetowej aplikacji Glovo nie ma możliwości znalezienia jakichkolwiek informacji o powołanym przez spółkę IOD.

Organ nadzorczy ustalił, że do czasu wszczęcia postępowania ukarana spółka w ogóle nie powołała IOD. W toku postępowania broniła się ona, że w świetle art. 37 RODO działalność spółki nie rodzi obowiązku jego powołania. Co ciekawe, pomimo takiego stanowiska, Glovoapp23 S.L. w 2018 r. utworzyła w ramach swojej organizacji Komitet ds. Ochrony Danych. Jego celem było zapewnienie bezpieczeństwa obszarom technicznym przedsiębiorstwa, ale także wykonywanie zadań IOD, wynikających z art. 39 RODO. Jednocześnie, w spółce został powołany Podkomitet ds. Ochrony Danych, który odpowiedzialny był za zapewnienie zgodności przetwarzania danych osobowych użytkowników z przepisami prawa.

Wydaje się, że sama spółka nie była przekonana co do swojej linii obrony. Po wszczęciu postępowania przez AEPD poinformowała ona bowiem hiszpańskiego regulatora o powołaniu IOD.

Przetwarzanie danych na dużą skalę

Organ nadzorczy podkreślił w swojej decyzji, że ukarana spółka – za pośrednictwem aplikacji Glovo – przetwarzała dane osobowe swoich użytkowników na dużą skalę. Ponadto proces przetwarzania tych danych osobowych wiązał się z koniecznością monitorowania użytkowników (geolokalizacja).

Zarówno w RODO, hiszpańskiej ustawie o ochronie danych osobowych, jak i w oficjalnych stanowiskach przyjętych przez AEPD, nie określono konkretnych limitów, których przekroczenie wiązałoby się z uznaniem, że w danym przypadku dochodzi do przetwarzania danych osobowych na dużą skalę (np. w Estonii limit ten został określony na poziomie 5 000 osób).

Ukarana spółka już zapowiedziała, że złoży odwołanie od decyzji hiszpańskiego regulatora. W jej ocenie, użytkownicy aplikacji Glovo zawsze mieli pełną gwarancję ochrony ich danych osobowych, na straży czego stał – działający w ramach organizacji – Komitet ds. Ochrony Danych. Spółka zadeklarowała dodatkowo, że skorzysta z wszystkich możliwych kroków sądowych, aby wykazać, że działała ona zgodnie z przepisami o ochronie danych osobowych.

Podobne kary w innych krajach

Warto zwrócić uwagę, że organy nadzorcze innych krajów członkowskich nakładały już kary za nieprawidłowości w zakresie powołania IOD w organizacji (przykładowo, na taki krok zdecydowali się regulatorzy z Belgii, Austrii i Niemiec). Dotychczas najsurowszą karę nałożyła Hamburska Komisja Ochrony Danych, która ukarała Grupę Facebook kwotą 51 000 euro (ok. 227 000 zł) za brak powołania IOD. Karę w podobnej wysokości nałożył także belgijski organ nadzorczy na operatora telekomunikacyjnego – Proximus SA. (o tej karze pisaliśmy TUTAJ – https://gdpr.pl/aktualnosci/kara-za-brak-niezaleznosci-iod).

Źródło:

https://www.expansion.com/juridico/actualidad-tendencias/2020/06/10/5ee0bc66468aeb756a8b45f2.html

Treść decyzji (w języku hiszpańskim):

https://www.aepd.es/es/documento/ps-00417-2019.pdf?fbclid=IwAR3sppcAxZ7J2Z7oSTL9lkBRirmGZnL25ss6Wv7esvWkEIO7JYo1eh_ia1E

 

Autor: Redakcja
Udostępnj publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter