Bøde efter Databeskyttelsesforordningen udstedt af den polske databeskyttelsesmyndighed
Den polske databeskyttelsesmyndighed (UODO) har den 26. marts 2019 udstedt sin første administrative bøde efter Databeskyttelsesforordningen. Bøden lyder på ca. 230.000 euro og er pålagt en data- og analysevirksomhed, som ifølge UODO har tilsidesat sin oplysningspligt ifølge Databeskyttelsesforordningens art. 14.
Virksomheden har indsamlet personoplysninger vedrørende over 7 mio. polske statsborgere fra offentlige registre med henblik på kommerciel brug.
Virksomheden har forsømt at give størstedelen af de registrerede meddelelser indeholdende de oplysninger, som art. 14 foreskriver i et tilfælde som her, hvor der er indsamlet personoplysninger hos andre end de registrerede. Manglen på sådan meddelelse medfører, at de berørte borgere ikke har kendskab til behandlingen af deres personoplysninger og som følge heraf heller ikke har mulighed for at udøve deres rettigheder i henhold til Databeskyttelsesforordningen – såsom eksempelvis retten til berigtigelse eller sletning – hvilket er særdeles problematisk.
Virksomhedens dataansvarlige har alene givet besked til de borgere, hvis e-mailadresser virksomheden havde til rådighed (ca. 90.000). For så vidt angår disse borgere, har virksomheden således opfyldt sin oplysningspligt. Den dataansvarlige har derimod undladt at give meddelelse til de øvrige berørte borgere (over 6 mio.) med henvisning til, at det, henset til de omkostninger, som var forbundet hermed (ifølge virksomheden næsten 8 mio. euro, hvilket svarer til 97% af selskabets omsætning) ville kræve uforholdsmæssig stor indsats at give sådanne meddelelser. Virksomheden mener derfor, at forholdet er omfattet af art. 14, stk. 5, hvorefter oplysningspligten ikke kræves iagttaget i visse situationer, herunder når det er umuligt eller vil kræve en uforholdsmæssigt stor indsats. Den dataansvarlige valgte i stedet at offentliggøre meddelelsen på virksomhedens hjemmeside.
UODO har udtalt, at offentliggørelse af meddelelsen på virksomhedens hjemmeside ikke er tilstrækkeligt til at opfylde informationspligten ifølge art. 14, men at virksomheden derimod også skulle have kontaktet de resterende borgere, som virksomheden i øvrigt havde anden kontaktinformation på.
UODO udtalte i den forbindelse, at der ikke for opfyldelse af oplysningspligten i art. 14 stilles krav om, at meddelelserne sendes med anbefalet brev, men at det havde været tilstrækkeligt at kontakte de berørte borgere gennem en af de andre kontaktinformationer, som virksomheden havde til rådighed – eksempelvis telefonnumre eller adresser. Der stilles således ikke krav om anvendelse af et specifikt kommunikations-medium for overholdelse af art. 14. Derfor blev virksomhedens påstand om, at det ville kræve en uforholdsmæssig stor indsats at give meddelelserne, ikke taget i betragtning af UODO, idet anvendelse af mindre omkostningsfulde kommunikationsmåder var både muligt og tilstrækkeligt.
I forbindelse med fastlæggelse af bødens størrelse har UODO lagt vægt på, at virksomheden var bekendt med oplysningspligten ifølge art. 14 og på trods heraf undlod at opfylde den, samt at den dataansvarlige hverken havde taget skridt til, eller havde planer om, at bringe overtrædelsen til ophør.
UODOs beslutning indikerer, at også de polske databeskyttelsesmyndigheder tager Databeskyttelsesforordningen alvorligt og er klar til at sætte ind med bøder i højere størrelsesordener end hidtil set.