Szankcionálja a lengyel hatóság a nem együttműködő adatkezelőket
A Lengyel Adatvédelmi Hatóság (UODO) az utóbbi időben keményen fellép azok ellen a cégek ellen, akik semmibe veszik utasításait. Nemrég számoltunk be egy esetről, amikor 80 millió forintnyi bírságot szabtak ki egy cégre, mert az figyelmen kívül hagyta figyelmeztetéseit. A mai ügyek is elsősorban a hatóság munkájának nehezítéséhez kapcsolódnak, úgy tűnik ugyanis, hogy a lengyel hatóság nem szereti, ha nem veszik komolyan.
6,8M bírság egy meg nem nevezett cégnek
2021. februárjában számolt be az UODO egy olyan esetről, amikor ismét bírságolni kényszerült. 85.000 zlotyi (6,8M Ft) összegű bírságot kell a meg nem nevezett adatkezelőnek befizetnie, mivel az nem tett eleget kötelezettségeinek egy adatvédelmi incidenst követően, melyre egyébként a hatóság is kifejezetten kötelezte.
Pontosabban, elmulasztott az incidensben érintettek számára szükséges tájékoztatást nyújtani, melyet bizonyos esetekben kötelezően előír a GDPR, illetve, mellyel mérsékelhető lett volna az incidens által okozott kár. A hatóság megállapította, hogy a cég ezen kötelezettségének részben sem tett eleget, annak ellenére sem, hogy erre kifejezetten kötelezte a hatóság.
A vizsgálat arra is rámutatott, hogy az incidensben érintetteknek egyáltalán nem is volt tudomása arról, hogy érintettek benne. A tájékoztatásnak a következőket kellett volna tartalmaznia:
- az adatvédelmi incidens természetének leírását,
- az adatvédelmi hatóság elérhetőségét,
- az incidens lehetséges következményeit, illetve
- az adatkezelő által javasolt intézkedések felsorolását és leírását, mellyel az incidens negatív hatásai minimalizálhatók lehettek volna.
Mivel a cég figyelmen kívül hagyta a Hatóság korábbi döntését, melyben utasította az érintettek tájékoztatására, ezért az hivatalból eljárást indított az ügyben és a GDPR 58. cikk (2) bekezdése alapján bírság kiszabását kezdeményezte. Döntésében kiemelte, hogy a cég annak ellenére nem tett eleget kötelezettségének, hogy a Hatóság minden ehhez szükséges segítséggel ellátta; többek között részletes utasításokat adott a tájékoztatások megfogalmazására, azok elküldésére, továbbá mindezen tevékenységek dokumentálására.
Ennek ellenére a cég nem volt képes bemutatni semmilyen olyan intézkedést, mely bizonyította volna, hogy kötelezettségeinek eleget tett. A bírság kiszabásakor súlyosbító körülményként értékelte a Hatóság, hogy:
- a jogszegés hosszú ideig tartott, ezért jelentősen nőtt az abban érintetteket érő kockázat, illetve, hogy
- a cég szándékosan elfogadhatatlanul alacsony mértékű együttműködést tanúsított a Hatósággal szemben az incidens kezelésével kapcsolatban, annak utasításait figyelmen kívül hagyta.
1 milliós bírság megválaszolatlan levelek miatt
Szintén a témába vág a hatóság egy másik ügye, melyben egy varsói adatkezelő is megnevezésre került (Smart Cities), amellyel szemben 12.000 zlotyi (~960e Ft) bírságot szabott ki „mindössze” azért, mert az nem válaszolt időben megkereséseire.
A Hatóság a GDPR 51. cikke szerinti felügyeleti hatáskörét teljesítette, amikor felkérte a Smart Cities-t, hogy az adjon hozzáférést belső adatkezeléséhez, hogy annak jogszerűsége bizonyítható legyen. A cég elmulasztotta ezen hozzáférést megadni és ennek indoklására sem hozott fel mentséget, ezért a Hatóság együttműködés elmulasztásáért közigazgatási bírság kiszabása mellett döntött.