Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożyła pierwszą karę pieniężną za niedopełnienie obowiązku informacyjnego. Kara ta wyniosła ponad 943 tys. zł! Administrator miał świadomość ciążącym na nim obowiązku informacyjnym. Stąd decyzja o nałożeniu na ten podmiot kary, w takiej wysokości - podkreśliła Prezes UODO.
Bardzo wiele osób, których dane przetwarzała ukarana spółka, nie miało o tym pojęcia. Administrator ich o tym nie powiadomił. Tym samym odebrał im możliwość skorzystania z praw, jakie przysługują im na gruncie RODO, czyli ogólnego rozporządzenia o ochronie danych. Nie mogły więc one np. sprzeciwić się dalszemu przetwarzaniu ich danych, żądać ich sprostowania czy usunięcia. Prezes UODO uznała, że stwierdzone naruszenie ma poważny charakter, gdyż dotyczy podstawowych praw i wolności osób, których dane przetwarza spółka, jak również dotyczy jednej z podstawowych kwestii, jaką jest informacja o tym, że dane są przetwarzane. Nałożenie kary pieniężnej jest niezbędne, gdyż administrator nie przestrzega przepisów prawa.
Spółka nie dopełniła obowiązku informacyjnego w stosunku do ponad 6 mln osób. Spośród około 90 tys. osób, których spółka poinformowała o przetwarzaniu danych, ponad 12 tys. osób wniosło sprzeciw wobec przetwarzania ich danych.
Decyzja Prezes UODO dotyczyła postępowania związanego z działalnością spółki, która przetwarzała dane osób pozyskane ze źródeł publicznie dostępnych, m.in. z CEiDG i przetwarzała je w celach zarobkowych. Organ weryfikował niedopełnienie obowiązku informacyjnego wobec osób fizycznych prowadzących działalność gospodarczą – przedsiębiorców, którzy aktualnie ją prowadzą bądź tę działalność zawiesili, jak i o tych, którzy prowadzili ją w przeszłości. Administrator spełnił obowiązek informacyjny, podając informacje wymagane przepisami art. 14 ust. 1-3 RODO jedynie wobec tych osób, do których miał adresy e-mail. W przypadku pozostałych osób tego nie zrobił z uwagi na wysokie koszty takiej operacji. Dlatego jedynie na swojej stronie internetowej zamieścił klauzulę informacyjną.
W ocenie Prezes UODO takie działanie było niewystarczające – mając dane kontaktowe do poszczególnych osób powinien spełnić wobec nich obowiązek informacyjny. Zdaniem Prezes UODO, przepisy nie nakładają na administratora obowiązku wysłania takiej korespondencji listem poleconym, co argumentowała spółka jako usprawiedliwienie niewykonania kosztownego obowiązku. W niniejszej sprawie podmiot dysponował adresami korespondencyjnymi i numerami telefonów, a zatem mógł spełnić obowiązek informacyjny wobec osób, których dane przetwarza.
Prezes UODO uznała, że naruszenie administratora miało charakter umyślny, ponieważ spółka miała świadomość istnienia obowiązku podania stosownych informacji, jak i konieczności bezpośredniego informowania osób. Wymierzając karę, organ wziął pod uwagę również fakt, że administrator nie podjął żadnych działań zmierzających do usunięcia naruszenia ani nie zadeklarował takiego zamiaru.
Źródło: UODO
