Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wiadomo na jaką spółkę UODO nałożył niemal milionową karę za naruszenie RODO
Łukasz Olejnik wykonał prywatne dochodzenie, ale spółka Bisnode sama opublikowała komentarz do decyzji Urzędu (nałożona kara to niemal milion złotych), nie zgadzając się z nią:
Żądanie dodatkowego wysłania informacji do 5,7 miliona adresów właścicieli spółek jednoosobowych oraz członków zarządów między innymi pocztą tradycyjną lub telefonicznie nie może być postrzegane jako podejmowanie proporcjonalnych starań.
Naszym zdaniem, udzielanie informacji poprzez kanały cyfrowe, pocztą elektroniczną lub umieszczanie ogłoszeń w ogólnopolskich portalach informacyjnych jest bardziej pożądane zarówno przez odbiorców, jak i wysyłających.
Swoją drogą w samym oświadczeniu Bisnode znaleźliśmy małego buga – Urzedu -> Urzędu ;-)
Jak z kolei podaje serwis prawo.pl – spółka zamierza się odwołać od decyzji do Wojewódzkiego Sądu Administracyjnego, a w razie potrzeby do Trybunału Sprawiedliwości UE.
Co ciekawe, niektóre osoby związane ze środowiskami prawnymi uważają brak wypełnienia obowiązku informacyjnego jako „nad-naruszenie”. Naszym (nieprawniczym, a technicznym) zdaniem jest trochę odwrotnie – jako „nad-naruszenie” traktujemy np. umożliwienie wycieku danych w niepowołane ręce (realne konsekwencje – to np. możliwość przejmowania naszych kont, zaciągania kredytów, kradzież tożsamości, itp).
Innymi słowy – z dwóch (kiepskich) sytuacji:
- nie jestem poinformowany, że ktoś przetwarza moje dane osobowe (np. sklep internetowy gdzie robię zakupy),
- ktoś nie ochronił swojej bazy przed wyciekiem (patrz przykład Morele.net)
Wolę jednak ten pierwszy przypadek, co oczywiście nie oznacza, że pierwszy wariant „to nic”.
–ms
Akurat wyciek oraz przetwarzanie danych („na czarno”) też uważam za nad-naruszenie.
Brak spełnienia obowiązku informacyjnego też jest nad-naruszeniem, bo nie pozwala nam już na samiuśkim początku przypilnowania tego, co się z naszymi danymi dzieje (kto je ma, co z nimi robi, jakie są jego zamiary, komu je opchnie).
To w dużej mierze może zależeć od kontekstu. Ciekawym przypadkiem jest Google, który też zbiera dane (m.in. przedsiębiorców, ale i osób) z ogólnodostępnych źródeł. I co więcej zarabia na przetwarzaniu danych (reklamy na wynikach wyszukiwania). Czy Google powinien teraz do każdego przedsiębiorcy wysłać list polecony ze stosowną informacją? Bo jeśli nie, to mega (lepiej tera ;) kara?
PS
Za każdym razem będziemy pisać, że nie bronimy tutaj braku spełnienia obowiązku informacyjnego (to jest naruszenie przetwarzania). Ale raz uznajemy to jako +- 'spoko’ (Google), a raz jako „nad-naruszenie”?
Informowanie tych osób czy też firm byłoby naruszaniem ich prywatności – zaśmiecaniem skrzynek. Nie chcę być informowany!
Ale łunia ma Cię za ciemnego i musisz być informowany.
Za niedługo, zanim się wejdzie na jakąś stronę to będzie trzeba odklikać 30 zdód i potwierdzeń, że wiemy co robimy.
Maile z rodo były tak irytujące, że szok. Co śmieszniejsze spamerzy nie by.li łaskawi mnie poinformować, że są w posaidaniu moich danych w inny sposób niż spamując. Wypisywanie się przynosi skutek podobny do zapisania się….
Rodo, jest wynaturzeniem, bo zostało stworzone przy idiotycznych założeniach, że przepis cokolwiek zmieni. Sam zapis o informowaniu jest absurdalny. Poza tym powinien być doprecyzowany, bo znowu mamy swego rodzaju dowolność interpretacji.
Ale cóż. Urzędnicy się nudzą… Mają kupę kasy oderwani są od realiów i się nudzą.
Nie :)
Niedługo wchodząc na jakąś stronę będzie można raz kliknąć „nie, dzięki” — dopiero na drugim planie będzie 30 ewentualnych zgód „a może jednak tak” (por. informacja o ciastkach na https://www.theatlantic.com/world/ — koniecznie rozwinąć).
Obowiązek informacyjny jest. Zawieranie umowy nie może być warunkowane zgodą na dostarczanie treści marketingowych. Jeżeli ktoś wykorzystuje dane z rejestrów państwowych do wysyłania spamu czyli materiałów marketingowych nie zamawianych i bez zgody właściciela danych, musi być to traktowane jako sprzeczne z wolą posiadacza tych danych. Dla mnie jeżeli dotyczy to prawie 6 mln rekordów, kara jest adekwatna.
Nie, nie jest adekwatna, bo dzieląc karę przez liczbę poszkodowanych wychodzi zbyt tanio za jeden rekord. Powinna być jakaś minimalna kwota za każdy rekord, i jakby tak przy dużych wyciekach pozamiatało duży koncern to może by się reszta opamiętała – a tak, duży nawet jak zapłaci 1mln kary to się to na nich odbije tak, że co najwyżej pracownicy dostaną o 50zł mniejszy bon na święta, i nic więcej.
Mandaty za piractwo drogowe też powinny zaczynać się od 5k. Jak za granicą mandaty tak bolą to nagle polscy kierowcy umieją jechać przepisowo, a u nas? Przy okazji dziurę w budżecie by załatali.
Szczerze życzę im aby sąd odwołał karę. Przetwarzane przez nich dane były publiczne i znajdowały się w rejestrze CEIDG, do którego każdy ma dostęp i może sobie pobrać dane i je przetwarzać, robić statystyki, mapy, cokolwiek, co potem może sprzedać … Idąc tym tropem można dojść do wniosku, że całe CEIDG łamie prawo :)
„spółki, która przetwarzała dane osób pozyskane ze źródeł publicznie dostępnych, m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG), i przetwarzała je w celach zarobkowych. Organ weryfikował niedopełnienie obowiązku informacyjnego wobec osób fizycznych prowadzących działalność gospodarczą – przedsiębiorców, którzy aktualnie ją prowadzą bądź tę działalność zawiesili, jak i o tych, którzy prowadzili ją w przeszłości.”