Pomimo przetwarzania danych osobowych, ukarany podmiot nie wypełnił zgodnie z RODO obowiązku informacyjnego wobec osób, których dane przetwarzał.
Czytaj także: Pierwsza kara za RODO – milion złotych
Prezes Urzędu Ochrony Danych Osobowych dr Edyta Bielak-Jomaa poinformowała o nałożeniu na podmiot przetwarzający dane osobowe dostępne z publicznych rejestrów m.in. CEIDG oraz KRS, kary za nieprzestrzeganie RODO w wysokości 943 tys. zł. Jest to pierwsza kara nałożona przez polski organ nadzoru za nieprzestrzeganie postanowień RODO. Pierwsza, i do tego tak wysoka kara jest z pewnością złą prognozą nie tylko dla podmiotów, które pomimo upływu kilku miesięcy od dnia wejścia w życie RODO nadal nie przygotowały organizacji do nowych przepisów, ale również dla podmiotów, które co prawda przygotowały się do RODO jednak nie wypełniły wstecz obowiązku informacyjnego.
Pierwsza „ofiara"
Pomimo przetwarzania danych osobowych, podmiot nie wypełnił – zdaniem organu nadzorczego – zgodnie z RODO obowiązku informacyjnego wobec osób, których dane przetwarzał. Administrator wypełnił obowiązek informacyjny jedynie wobec osób, których posiadał adres e-mail, natomiast obowiązek informacyjny – jak wskazano w decyzji – nie został wypełniony wobec osób fizycznych prowadzących działalność gospodarczą, co do których spółka nie posiadała adresu e-mail w swojej bazie danych, przy czym dotyczy to zarówno przedsiębiorców, którzy aktualnie prowadzą działalność gospodarczą bądź tę działalność zawiesili jak i tych, którzy tej działalności już nie prowadzą, lecz prowadzili ją w przeszłości.
Prezes UODO w uzasadnieniu podjętej decyzji wskazała m.in., że podmiot miał świadomość o ciążącym na nim obowiązku informacyjnym, jednak z uwagi na wysokie koszty tego obowiązku nie wypełnił go. Istotne w sprawie są liczby – podmiot przetwarzał w dedykowanym systemie dane ok. 6 mln osób tj. 3,59 mln osób fizycznych prowadzących aktualnie jednoosobową działalność i 2,33 mln osób fizycznych prowadzących w przeszłości działalność gospodarczą. Obowiązek informacyjny został wypełniony jedynie wobec ok. 682 tys. osób, odnośnie których spółka posiadała adresy e-mail (spółka przesłała treść obowiązku informacyjnego na podane adresy e-mail). Wobec pozostałych osób, obowiązek nie został wypełniony. Z uwagi na skalę przetwarzania danych, UODO zdecydował się podjąć decyzję o nałożeniu na ten podmiot kary w postaci: dopełnienia przez podmiot obowiązku podania informacji określonych w art. 14 ust 1 i 2 RODO również wobec osób, których danych podmiot nie posiadał oraz administracyjnej kary pieniężnej w wysokości 943 tys. zł.