. Jest to pierwsza kara nałożona przez polski organ nadzoru za nieprzestrzeganie postanowień RODO. Pierwsza, i do tego tak wysoka kara jest z pewnością złą prognozą nie tylko dla podmiotów, które pomimo upływu kilku miesięcy od dnia wejścia w życie RODO nadal nie przygotowały organizacji do ww. przepisów ale również dla podmiotów, które co prawda przygotowały się do RODO jednak nie wypełniły wstecz obowiązku informacyjnego.
Czytaj także: Pierwsza kara za RODO – milion złotych
Pierwsza „ofiara" za nieprzestrzeganie RODO
Pierwszą „ofiarą" RODO padł podmiot przetwarzający dane osobowe w celach zarobkowych, które dostępne były w publicznych rejestrach tj. Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG), Rejestru Przedsiębiorców Krajowego Rejestru Sądowego oraz Bazy REGON Głównego Urzędu Statystycznego. Pomimo przetwarzania danych osobowych, podmiot ten nie wypełnił – zdaniem organu nadzorczego - zgodnie z RODO obowiązku informacyjnego wobec osób, których dane przetwarzał. Administrator wypełnił obowiązek informacyjny jedynie wobec osób, których posiadał adres e-mail, natomiast obowiązek informacyjny – jak wskazano w Decyzji - nie został wypełniony wobec osób fizycznych prowadzących działalność gospodarczą, co do których Spółka nie posiadała adresu e-mail w swojej bazie danych, przy czym dotyczy to zarówno przedsiębiorców, którzy aktualnie prowadzą działalność gospodarczą bądź tę działalność zawiesili jak i tych, którzy tej działalności już nie prowadzą, lecz prowadzili ją w przeszłości. Prezes UODO w uzasadnieniu podjętej decyzji wskazała m.in., że podmiot miał świadomość o ciążącym na nim obowiązku informacyjnym, jednak z uwagi na wysokie koszty tego obowiązku nie wypełnił. Istotne w niniejszej sprawie są liczby – podmiot przetwarzał w dedykowanym systemie dane ok. 6 mln osób tj. 3.59 mln osób fizycznych prowadzących aktualnie jednoosobową działalność i 2,33 mln osób fizycznych prowadzących w przeszłości działalność gospodarczą. Obowiązek informacyjny został wypełniony jedynie wobec ok. 682 tys. osób, odnośnie których spółka posiadała adresy e-mail (spółka przesłała treść obowiązku informacyjnego na podane adresy e-mail). Wobec pozostałych osób, obowiązek nie został wypełniony. Z uwagi na skalę przetwarzania danych, UODO zdecydował się podjąć decyzję o nałożeniu na ten podmiot kary w postaci: dopełnienia przez podmiot obowiązku podania informacji określonych w art. 14 ust 1 i 2 RODO również wobec osób, których danych podmiot nie posiadał oraz administracyjnej kary pieniężnej w wysokości 943 tys. zł.
Dlaczego podmiot pomimo tego, że – jak wskazał UODO - wiedział o ciążącym na nim obowiązku informacyjnym postanowił go nie wypełnić? Jak wynika z treści decyzji podmiot powoływał w toku postępowania kontrolnego prowadzonego przez UODO następujące argumenty:
1) informacje o przetwarzaniu danych osobowych znajdowały się na stronie internetowej podmiotu,