GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Najwyższa w Niemczech kara za RODO

Najwyższa kara za RODO

Najwyższa kara za RODO

Na stronie internetowej Berlińskiego Rzecznika ds. Ochrony Danych oraz Wolności Informacji (tj. organu nadzorczego w rozumieniu RODO właściwego dla miasta Berlin) pojawiła się informacja o nałożeniu najwyższej jak dotąd kary w Niemczech. Wyniosła ona blisko 15 milionów euro, a została nałożona za przechowywanie danych osobowych mimo tego, że nie były już one niezbędne. Jest to w sumie pierwsza w Europie i do tego tak wysoka kara za naruszenie zasad retencji danych, tym bardziej warto zapoznać się ze szczegółami.

Poniżej znajduje się tłumaczenie obszernych fragmentów oświadczenia Rzecznika, które w języku niemieckim jest dostępne tutaj.

W dniu 30 października 2019 r., Berliński Rzecznik ds. Ochrony Danych oraz Wolności Informacji wydał decyzję o nałożeniu kary pieniężnej w wysokości około 14,5 miliona Euro na Deutsche Wohnen SE za naruszenie Ogólnego Rozporządzenia o Ochronie Danych (RODO).

W trakcie kontroli na miejscu w czerwcu 2017 r. oraz marcu 2019 r. organ nadzorczy ustalił, że przedsiębiorstwo wykorzystywało do przechowywania danych osobowych najemców takiego systemu archiwizacyjnego, który nie przewidywał możliwości usunięcia danych, które nie były już niezbędne.  Dane osobowe najemców były przechowywane bez sprawdzenia czy ich przechowywanie jest dopuszczalne, a nawet czy jest konieczne. W poddanych analizie pojedynczych przypadkach można było stamtąd uzyskać prywatne informacje o najemcach, których to dotyczyło, chociaż nie służyły już one pierwotnemu celowi, dla którego zostały zebrane. Chodziło przy tym o dane dotyczące sytuacji osobistej oraz finansowej, jak np.: zaświadczenia o zarobkach, oświadczenia, wyciągi z umów o pracę oraz umów o naukę zawodu, dane podatkowe oraz dotyczące ubezpieczenia społecznego oraz chorobowego, jak również wyciągi z konta.

Po tym gdy Berliński Rzecznik ds. Ochrony Danych sformułował pilne zalecenia w trakcie pierwszej kontroli w 2017 r., przedsiębiorstwo w marcu 2019 r., a więc ponad półtora roku po pierwszym terminie kontroli oraz dziewięć miesięcy po wejściu w życie Ogólnego Rozporządzenia o Ochronie Danych, nie było w stanie wykazać ani poprawienia posiadanych danych ani posiadania podstaw prawnych do ich dalszego przechowywania. Przedsiębiorstwo podjęło wprawdzie przygotowania do usunięcia zidentyfikowanych błędów, jednak środki te nie doprowadziły do ustanowienia zgodnego z prawem stanu w odniesieniu do przechowania danych osobowych. Z tego względu konieczne było nałożenie kary pieniężnej za okres od maja 2018 r. do marca 2019 r. za naruszenie art. 25 ust. 1, jak również art. 5 RODO.

Ogólne Rozporządzenie o Ochronie Danych nakłada na organy nadzorcze obowiązek zapewnienia, że kary pieniężne są w każdym przypadku nie tylko skuteczne i proporcjonalne ale również odstraszające. W związku z tym, punktem wyjścia dla określenia wysokości kary pieniężnej jest m. in. ubiegłoroczny, światowy obrót przedsiębiorstwa. Na podstawie obrotu rocznego, określonego w sprawozdaniu z działalności Deutsche Wohnen SE za 2018 rok na ponad miliard euro, prawnie ustanowiona granica wysokości kary pieniężnej za ustalone naruszenie ochrony danych wynosiła około 28 milionów EURO.

Przy określaniu konkretnej wysokości kary, Berliński Rzecznik ds. Ochrony Danych uwzględnił wszystkie ustawowe aspekty obciążające i łagodzące. Obciążające było przede wszystkim to, że Deutsche Wohnen SE świadomie utworzyło niewłaściwą strukturę archiwum i przetwarzało dane osób, których dane dotyczą w niewłaściwy sposób przez długi okres. Natomiast na złagodzenie kary wpłynęło to, że przedsiębiorstwo podjęło pierwsze środki w celu poprawienia stanu niezgodności z prawem i dobrze współpracowało z organem nadzorczym. Wpływ na to, że kara pieniężna mieści się pośrodku przewidzianych ram wynika również z tego, że przedsiębiorstwo wykazało, że nie uzyskiwało niezgodnego z prawem dostępu do przechowywanych niezgodnie z prawem danych (prawdopodobnie chodzi o to, że spółka nie przetwarzała tych danych w aktywny sposób, ponieważ samo ich przechowywanie oznacza, że spółka ma do nich dostęp – tłum.).

Poza nałożeniem sankcji za to strukturalne naruszenie, Berliński Rzecznik ds. Ochrony Danych nałożył jeszcze na przedsiębiorstwo dalsze kary pieniężne w wysokości pomiędzy 6 000, a 17 000 Euro za niezgodne z prawem przechowywanie danych osobowych najemców w 15 konkretnych przypadkach.

Decyzja w sprawie nałożenia kary pieniężnej nie jest prawomocna. Deutsche Wohnen SE może odwołać się od tej decyzji.

[…]