Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia 15 marca 2019 r. nałożył na spółkę, która naruszyła przepisy RODO, administracyjną karę pieniężną w wysokości prawie miliona złotych. Prezes UODO pozyskał informację o niedopełnieniu przez spółkę obowiązków w trakcie kontroli przeprowadzanej w spółce z urzędu oraz zapowiada dalsze kontrole.

Spółka na dużą skalę przetwarzała dane osobowe osób fizycznych prowadzących działalność gospodarczą (aktualnie lub w przeszłości), pochodzące z publicznie dostępnych źródeł informacji. Nie wobec wszystkich jednak osób, których dane dotyczyły, zrealizowała obowiązek informacyjny wynikający z RODO. Spółka prawidłowo poinformowała tylko osoby, których adres e-mail posiadała. Zdaniem Prezesa UODO wobec pozostałych osób obowiązek informacyjny nie został spełniony, mimo że spółka na swojej stronie internetowej zamieściła informację o przetwarzaniu danych osobowych. Spółka dysponowała danymi adresowymi, które umożliwiały przesłanie informacji pocztą tradycyjną, a więc spełnienie obowiązku informacyjnego nie było niemożliwe ani nie wymagałoby niewspółmiernie dużego wysiłku. Działania podjęte przez spółkę Prezes UODO ocenił jako niewystarczające. Naruszenie obowiązku podania podstawowych informacji o przetwarzaniu oraz pouczenia o przysługujących podmiotom danych prawach z tym związanych ma charakter poważny, ponieważ dotyczy podstawowych praw i wolności osób, których dane są przetwarzane. Naruszone zostały jednocześnie podstawowe zasady przetwarzania danych osobowych: rzetelności i przejrzystości.

Wysokość kary ma mieć skutek odstraszający, a została ona podyktowana tym, że spółka umyślnie naruszyła RODO, uzasadniając naruszenie kalkulacją kosztów oraz że naruszenie to dotyczyło znacznej liczby osób.

To pierwsza w Polsce kara za niedopełnienie obowiązków wynikających z RODO. Fakt jej nałożenia podkreśla, jak istotne jest bieżące weryfikowanie wszystkich procedur wewnętrznych, zaś jej wysokość wskazuje, jak dotkliwe finansowo mogą być sankcje w przypadku niedopełnienia obowiązków wynikających z RODO. Poza aspektem wypełnienia obowiązku informacyjnego warto zwrócić uwagę również na to, czy osoby przetwarzające dane osobowe zostały odpowiednio przeszkolone w tym zakresie, bowiem z naszego doświadczenia wynika, że również ta kwestia jest w toku kontroli szczegółowo weryfikowana.