GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Kara za drobne przewinienie

Flaga Hiszpanii na tle banknotów EURO

Kara za rozpoznawanie twarzy

Hiszpański organ właściwy do spraw ochrony danych osobowych (Agencia Española de Protección de Datos – AEPD) nałożył karę na właściciela punktu handlowego Chenming Ye (Bazar real), w związku z drobnymi nieprawidłowościami związanymi z zainstalowanym systemem monitoringu. Co ciekawe, ostateczna kwota zapłaconej kary wyniosła jedynie symboliczne 540 euro (ok. 2400 zł). Decyzja ta pokazuje jednak, że administratorzy mogą nie uniknąć kary nawet w przypadku drobnych uchybień w zakresie ochrony danych osobowych. Jest to jedna z kilku kar nałożonych przez hiszpański organ nadzorczy, który ostatnio jest bardzo aktywny w tym obszarze.

Brak informacji

AEPD wszczął postępowanie wyjaśniające w tej sprawie 7 stycznia br. Organ nadzorczy ustalił w jego toku, że administrator – pomimo zainstalowania kamer monitoringu w punkcie handlowym – nie zamieścił stosownego plakatu informacyjnego w widocznym miejscu.

Regulator uznał, że administrator naruszył w związku z tą sytuacją art. 12 RODO. Nie podjął on bowiem niezbędnych środków w celu poinformowania klientów o zainstalowaniu systemu monitoringu, a konsekwentnie o przetwarzaniu ich danych osobowych i sposobie, w jaki mogą oni skorzystać z uprawnień przysługujących im na mocy RODO. Organ nadzorczy podkreślił w decyzji, że właściciel punktu handlowego – poprzez niezamieszczenie stosownych informacji – dopuścił się naruszenia, o którym mowa w art. 83 ust. 5 lit. b RODO, które podlega karze na podstawie art. 58 ust. 2 RODO.

AEPD podkreślił w decyzji, że zgodnie z hiszpańską ustawą o ochronie danych osobowych, obowiązek informacyjny przewidziany w art. 12 RODO uznaje się za spełniony, gdy administrator umieści stosowne informacje w widocznym miejscu oraz poinformuje co najmniej o fakcie przetwarzania danych osobowych, tożsamości administratora oraz możliwości skorzystania z praw przewidzianych w art. 15-22 RODO. Co ciekawe, hiszpańskie przepisy z zakresu ochrony danych osobowych zezwalają również na spełnienie tego obowiązku poprzez zamieszczenie takiej informacji w formie np. adresu strony internetowej.

Niskie dochody nie uchronią przed karą

Organ nadzorczy wskazał w swojej decyzji, że wymierzając karę wziął pod uwagę, że administrator jest przedsiębiorcą działającym na małą skalę. Nie ma on doświadczenia w dziedzinie ochrony danych osobowych, jak również uzyskuje niski poziom dochodów. Zdaniem regulatora okoliczności te nie były jednak wystarczające do odstąpienia od ukarania przedsiębiorcy. Jego zdaniem, administrator działał w sposób umyślny (art. 83 ust. 2 lit. b RODO). Na jego niekorzyść – w ocenie organu nadzorczego – przemawiało również to, że od początku obowiązywania RODO minął długi czas, a informacje o jego obowiązywaniu były bardzo szeroko rozpowszechnione. Co ciekawe, nakładając karę, AEPD wziął pod uwagę również fakt, że o naruszeniu przepisów o ochronie danych osobowych dowiedział się od podmiotu trzeciego, który złożył skargę (83 ust. 2 lit. h RODO).

Administrator mógł liczyć na zniżki

Pomimo tak symbolicznego wymiaru kary, administrator w przypadku współpracy – korzystając z przepisów prawa hiszpańskiego – mógł liczyć na jej złagodzenie. Początkowo organ nadzorczy nałożył na właściciela punktu handlowego karę w wysokości 900 euro (ok. 4000 zł). Zgodnie jednak z przepisami hiszpańskiej ustawy dotyczącej wspólnej procedury administracyjnej dla administracji publicznej, w przypadku nałożenia kary (grzywny) strona (w tym przypadku administrator) może uznać swoją odpowiedzialność w terminie przewidzianym na ewentualne odwołanie się od decyzji. Wówczas może on liczyć na obniżenie kary o 20%. Dodatkowa obniżka możliwa jest w przypadku dokonania przez ukaranego dobrowolnej wpłaty kary w ustalonej wysokości, przed zakończeniem postępowania w sprawie.

W niniejszej sprawie ukarany administrator zdecydował się skorzystać ze wszystkich możliwych obniżek wymiaru kary. Ostatecznie jej wysokość została ustalona na 540 euro (ok. 2400 zł) i została w całości zapłacona 28 stycznia br.

Treść decyzji (w języku hiszpańskim):

https://www.aepd.es/es/documento/ps-00433-2019.pdf