GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Kosztowny finał postępowania przed Europejską Radą Ochrony Danych

Aplikacja Twitter na ekranie telefonu

Kosztowny finał postępowania przed Europejską Radą Ochrony Danych

Głośne postępowanie irlandzkiego organu właściwego ds. ochrony danych osobowych (The Data Protection Commission – DPC) znalazło swój finał. DPC ukarał spółkę Twitter International Company kwotą w wysokości 450 000 euro (ok. 2 000 000 złotych) za naruszenia przepisów o ochronie danych osobowych. Kara ta wydaje się co prawda wysoka, niemniej  administrator może jednak mówić o sporym szczęściu. Niektóre podmioty apelowały bowiem o ukaranie giganta w maksymalnej dopuszczalnej wysokości, tj. 4% globalnego rocznego obrotu spółki.

Postępowanie w tej sprawie było wyjątkowe pod wieloma względami. DPC po raz pierwszy w historii skorzystał w jego toku z procedury rozstrzygania sporu przez Europejską Radę Ochrony Danych (EROD) (art. 65 RODO). Dodatkowo, jest to pierwsze rozstrzygnięcie irlandzkiego regulatora w sprawie transgranicznej, prowadzonej na podstawie przepisów RODO.

Postępowanie przed organem krajowym

DPC wszczął postępowanie kontrolne w tej sprawie jeszcze w 2019 r. Wówczas spółka zawiadomiła DPC o naruszeniu ochrony danych osobowych związanym z funkcjonowaniem mechanizmu tzw. prywatnych tweetów (prywatnych wiadomości wysyłanych do wybranych osób). W toku postępowania organ nadzorczy ustalił, że niektóre prywatne tweety, przesyłane w latach 2014-2019 za pośrednictwem urządzeń z systemem operacyjnym Android, mogły zostać upublicznione. Organ nadzorczy zakończył postępowanie w tej sprawie na początku bieżącego roku.

EROD rozstrzyga spór pomiędzy organami nadzorczymi

Decyzja EROD

W ramach prowadzonego postępowania DPC skorzystał z mechanizmu współpracy, w ramach którego przekazał projekt swojej decyzji innym organom nadzorczym z UE do zaopiniowania (art. 60 ust. 3 RODO). Projekt ten nie spotkał się z aprobatą innych regulatorów. DPC odrzucił jednak otrzymane sprzeciwy, uznając, że nie są one istotne i uzasadnione.

Wobec braku porozumienia pomiędzy organami nadzorczymi, DPC zwrócił się o pomoc do EROD, inicjując tym samym po raz pierwszy w historii procedurę rozstrzygania sporu (art. 65 RODO). Zgodnie z tą procedurą, EROD rozstrzyga zaistniały spór w formie decyzji, która dla swej skuteczności wymaga poparcia większości 2/3 swoich członków (organów nadzorczych UE). EROD poinformował, że przyjął wiążącą decyzję w tej sprawie 9 listopada br., rozstrzygając tym samym spór pomiędzy organami nadzorczymi.

Decyzja DPC

Zgodnie z przepisami RODO, irlandzki regulator zobowiązany był podjąć ostateczną decyzję wobec Twitter International Company w przeciągu miesiąca od otrzymania od EROD powiadomienia o wydaniu wiążącej decyzji i tak też uczynił.

DPC wskazał w swoim rozstrzygnięciu, że ukarany administrator naruszył art. 33 ust 1 i 5 RODO. Nie zawiadomił on bowiem w odpowiednim czasie organu nadzorczego o dostrzeżonym naruszeniu ochrony danych osobowych, jak również nie udokumentował on odpowiednio przedmiotowego naruszenia, w tym w zakresie okoliczności jego wystąpienia, skutków oraz podjętych działań naprawczych.

W ocenie irlandzkiego organu nadzorczego, nałożona kara pieniężna jest skuteczna, proporcjonalna i pełni funkcję odstraszającą, w tym dla innych administratorów.

Kara mogła być znacznie wyższa

Kwota, którą zobowiązany jest zapłacić administrator odpowiada jedynie około 0,1 % jego rocznych przychodów w skali globalnej. Okoliczność ta wywołała szeroką falę krytyki w środowisku aktywistów, którzy podnosili, że DPC powinien nałożyć na spółkę karę w maksymalnej wysokości, tj. 4% jej globalnego rocznego obrotu.

Zastrzeżenia co do wysokości planowanej kary napływały również od innych organów nadzorczych. Podnoszony był argument, że kwota ta jest zbyt niska, a konsekwentnie niezgodna z art. 83 ust. 1 RODO. Co ciekawe, zagraniczne media donoszą, że niemiecki regulator zaproponował, aby DPC nałożył na spółkę karę w wysokości od 7 000 000 do 22 000 000 milionów euro (od ok. 31 600 000 do ok. 99 300 000 złotych). W jego ocenie, tak wysoka kara pieniężna spowodowałaby, że bezprawne przetwarzanie danych osobowych byłoby nieopłacalne.

Kolejna kara irlandzkiego regulatora

Administrator komentuje

Przedstawiciele Twitter International Company poinformowali, że spółka będzie ściśle współpracować z irlandzkim organem nadzorczym. Podkreślili jednocześnie, że dba ona o bezpieczeństwo oraz prywatność użytkowników w Internecie, dlatego też szanuje decyzję regulatora. Z oświadczenia ukaranego administratora wynika, że naruszenie w niniejszej sprawie było nieoczekiwaną konsekwencją zatrudnienia nowych pracowników w okresie między Bożym Narodzeniem w 2018 r., a Nowym Rokiem. To spowodowało, że Spółka zawiadomiła organ nadzorczy o naruszeniu ochrony danych osobowych po upływie 72-godzinnego terminu, wynikającego z RODO.

Gigant wskazał, że w pełni odpowiada za stwierdzone naruszenia. Aktualnie, podejmuje on szereg działań mających na celu szybkie i przejrzyste informowanie opinii publicznej o występujących problemach. Spółka wprowadziła już odpowiednie zmiany, aby uniknąć podobnych naruszeń w przyszłości.

Źródło:

https://gdpr.report/news/2020/12/16/irish-watchdog-fines-twitter-e450000-in-first-cross-border-gdpr-penalty/