אירופה: יש ליידע משתמשים באופן יזום על מדיניות הפרטיות

רשות הגנת המידע בפולין (UODO) הטילה קנס של כ- 220,000 אירו על חברה שהפרה את חובת הידוע לפי תקנות הגנת המידע האירופאיות (GDPR), בכך שפרסמה את מדיניות הפרטיות שלה באתר אך נמנעה מפניה פרטנית ליידע עליה את כל נושאי המידע.

ההחלטה של הרשות עוסקת בחברה שעיבדה מידע שזמין לציבור בין היתר ממרשם ממוחשב של נתוני פעילות כלכלית. המידע שעובד נוגע ל-6 מליון איש המקיימים פעילות עסקית עצמאית - יזמים בהווה ובעבר. החברה יידעה באופן אישי רק את אלו שכתובות הדואר האלקטרוני שלהם היו ברשותה, למרות שהיתה מודעת לכתובת הדואר הפיזי ומספר הטלפון של שאר נושאי המידע. לטעם הרשות להגנת הפרטיות בפולין, העובדה כי 12,000 איש מתוך 90,000 שהחברה יידעה באמצעות דואר אלקטרוני הביעו את התנגדותם לעיבוד מלמדת על חשיבות חובת הידוע.

הרשות בפולין קבעה כי בהתאם לחובת הידוע בסעיף 14 ל- GDPR על החברה היה ליידע באופן פרטני את כלל נושאי המידע, בין היתר במטרת העיבוד, מקורות המידע, משך העיבוד וזכויותיהם. החברה נימקה את מחדלה בנטל הכספי הכרוך בשליחת דואר רשום. על פי החלטת הרשות בפולין, לחברה עמדו מספר דרכים לעשות זאת - לאו דווקא במשלוח דואר רשום - אך פרסום באתר אינו מספק. החברה נמנעה מיידוע כל נושאי המידע למרות שהיתה מודעת לחובתה בעניין, מה שגרם לרשות לראות בכך הפרה מכוונת המחייבת הטלת הקנס.