TSUE wyjaśnił kolejne zasady nakładania kar za naruszenia RODO
Już samo zlecenie stworzenia aplikacji oraz określenie celów i sposobów przetwarzania danych osobowych może przesądzać o statusie administratora. Ewentualna kara za naruszenia musi jednak wiązać się z winą, choćby nawet nieumyślną – orzekł Trybunał Sprawiedliwości Unii Europejskiej w dwóch wyrokach mających znaczenie dla interpretowania przepisów RODO.
Pierwszy z wyroków dotyczył kary nałożonej na litewskie krajowe centrum zdrowia publicznego (NVSC), które wstępnie zleciło napisanie aplikacji mobilnej, za pomocą której przez dwa miesiące 2020 r. zbierano dane osobowe osób, które miały kontakt z pacjentami zakażonymi SARS-CoV-2. Aplikacja powstała i została udostępniona, ostatecznie jednak – z powodu braku środków – nie zawarto na nią umowy. Z powodu nieprawidłowości w przetwarzaniu danych litewski organ nałożył karę finansową zarówno na NVSC, jak i na firmę, która stworzyła aplikację.
Sąd, do którego odwołało się od kary NVSC, nabrał wątpliwości, czy rzeczywiście można było uznać je za administratora danych. Zdaniem TSUE nie ma tu znaczenia, że ostatecznie nie doszło do zawarcia umowy. Już sam fakt, że publiczny urząd zlecił stworzenie aplikacji oraz wskazał cele i sposoby przetwarzania danych osobowych wystarczy do tego, by uznać go za administratora (chyba że publicznym udostępnieniem aplikacji wyraźnie sprzeciwiłby się przetwarzaniu danych).
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.