Urząd Ochrony Danych Osobowych nałożył 943 tys. zł kary na spółkę, która przetwarzała w celach zarobkowych dane osób pozyskane ze źródeł publicznie dostępnych, m.in. z CEiDG. Nazwa firmy nie została ujawniona.

Prezes UODO Elżbieta Bielak-Jomaa wyjaśnia, że przedsiębiorca został ukarany za niespełnienie obowiązku informacyjnego wynikającego z przepisów RODO (art 14.). Przez to zaniedbanie zainteresowane osoby nie mogły żądać usunięcia albo sprostowania danych. Szefowa urzędu przekonuje, że problem jest poważny – dotyczy ponad 6 mln osób. Ukarana firma wprawdzie zamieściła informację dotyczącą przetwarzania na swojej stronie internetowej, ale zdaniem prezes to za mało. Poinformowała bezpośrednio e-mailem tylko 90 tys. osób, z tego aż 12 tys. sprzeciwiło się przetwarzaniu danych.

"Administrator miał świadomość ciążącego na nim obowiązku informacyjnego. Stąd decyzja o nałożeniu na ten podmiot kary w tej wysokości" – podkreśliła prezes UODO.

 

UODO: umyślne naruszenie, a administrator nic nie zrobił

Wyjaśnia, że uznała, że stwierdzone naruszenie ma charakter umyślny, a przede wszystkim poważny, bo dotyczy podstawowych praw i wolności osób.

Ponadto wymierzając karę UODO wzięło pod uwagę fakt, że administrator nie podjął żadnych działań zmierzających do usunięcia naruszenia ani nie zadeklarował takiego zamiaru.

Urząd podkreśla, że bardzo wiele osób, których dane przetwarzała ukarana spółka, nie miało o tym pojęcia. Administrator ich o tym nie powiadomił. Tym samym odebrał im możliwość skorzystania z praw wynikających z RODO. Nie mogły więc one np. sprzeciwić się dalszemu przetwarzaniu ich danych, żądać ich sprostowania czy usunięcia.

Przepisy RODO nie nakładają na administratora obowiązku wysłania korespondencji listem poleconym (co argumentowała spółka jako usprawiedliwienie niewykonania kosztownego obowiązku), jednak zdaniem szefowej UODO skoro firma miała adresy korespondencyjne i telefony do konkretnych osób, mogła spełnić wobec nich obowiązek informacyjny dotyczący przetwarzania danych. Nie zrobiła tego, więc została ukarana. Przedsiębiorca ma prawo odwołać się do sądu.

Rozporządzenie RODO (o ochronie danych osobowych) weszło w życie 25 maja 2018 r. Za naruszenie jego zapisów grożą kary do 20 mln euro lub 4 proc. rocznego obrotu przedsiębiorstwa.