Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą administracyjną karę pieniężna za naruszenie RODO. Organ uznał, że firma pozyskująca dane z publicznie dostępnych rejestrów nie spełniła obowiązku informacyjnego wynikającego z rozporządzenia ogólnego o ochronie danych osobowych.
Prezes UODO wymierzył karę w wysokości ponad 943 tys. zł spółce z branży doradczej. Firma, wobec której zastosowano sankcję, to podmiot pozyskujący dane ze źródeł publicznie dostępnych, m.in. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEiDG). Z ustaleń organu wynika, że pozyskiwane dane przetwarzane były w celach zarobkowych.
Organ zweryfikował niedopełnienie obowiązku informacyjnego wobec osób fizycznych prowadzących działalność gospodarczą – przedsiębiorców, którzy aktualnie ją prowadzą bądź tę działalność zawiesili, jak i względem tych, którzy prowadzili ją w przeszłości. Administrator spełnił jedynie w wąskim zakresie ciążący na nim obowiązek informacyjny, podając informacje wymagane przepisami art. 14 ust. 1-3 RODO jedynie tym osobom, do których miał adresy e-mail. W przypadku pozostałych osób tego nie zrobił – jak sam to wyjaśniał w toku postępowania – z uwagi na wysokie koszty takiej operacji (wysokie koszty korespondencji).
W ocenie organu taka argumentacja nie była uzasadniona. Zdaniem Prezesa UODO ukarana firma powinna poinformować wszystkie osoby, których dane zbiera i przetwarza m.in. o: swoich danych, skąd ma dane tych osób, w jakim celu i jak długo zamierza je przetwarzać oraz o przysługujących osobom prawach na gruncie RODO (choćby możliwości żądania usunięcia danych czy też sprostowania danych osobowych). Jak wyjaśnił Piotr Drobek - Dyrektor Zespołu Analiz i Strategii w UODO - spółka nie dopełniała obowiązku informacyjnego w stosunku do ponad 6 mln osób. Spośród około 90 tys. osób, które spółka (za pośrednictwem wiadomości e-mial) poinformowała o przetwarzaniu zebranych danych, ponad 12 tys. wniosło sprzeciw wobec przetwarzania ich danych.
W ocenie organu naruszenie miało charakter umyślny, ponieważ spółka miała świadomość istnienia obowiązku podania stosownych informacji, jak i konieczności bezpośredniego informowania osób, których dane dotyczą. Okoliczność ta wpłynęła na wymiar kary. Ponadto na jej wysokość wpływ miał fakt, iż administrator prezentował w toku postępowania bierną postawę - nie podjął żadnych działań zmierzających do usunięcia naruszenia ani nie zadeklarował takiego zamiaru.
Z analizy uzasadnienia decyzji wynika, że organ wymierzając pieniężną karę administracyjną odwołał się zasady przejrzystości, zgodnie z którą dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą. Zdaniem Prezesa UODO zasada ta ma kluczowe znaczenie dla rzetelnego przetwarzania danych osobowych, zwłaszcza w kontekście istotnego rozbudowania, mocą przepisów rozporządzenia ogólnego o ochronie danych osobowych, obowiązków dotyczących informowania podmiotów i umożliwienia osobom, których dane dotyczą realizacji ich uprawnień.
Decyzja jest ostateczna, jednakże ukaranej spółce przysługuje prawo złożenia skargi na decyzję Prezesa UODO do Wojewódzkiego Sądu Administracyjnego w Warszawie.
