Po ponad 10 miesiącach od rozpoczęcia stosowania RODO dowiadujemy się o pierwszej nałożonej przez polski organ nadzoru karze za naruszenie postanowień RODO.
W dniu 15 marca br. Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą pieniężną karę administracyjną w wysokości ponad 943 tyś zł. (€ 220.000). Powodem nałożenia kary było świadome niedopełnienie przez administratora danych obowiązku informacyjnego w stosunku do osób fizycznych prowadzących jednoosobową działalność gospodarczą pozyskanych z publicznie dostępnych rejestrów.
Warszawska spółka pozyskała dane osobowe ok. 6 mln osób ze źródeł powszechnie dostępnych, takich jak np. CEIDG, REGON. W stosunku do 90 tyś. osób spółka posiadała m.in. dane kontaktowe (adres, numer telefonu)- osoby te zostały poinformowane o przetwarzaniu ich danych osobowych.
W stosunku do reszty osób, których spółka nie posiadała tych danych (a tylko adres korespondencyjny), spółka podjęta decyzję o nie przesyłaniu obowiązku informacyjnego określonego przez art. 14 RODO bezpośrednio do osób, a spełnienie go poprzez komunikat na stronie internetowej firmy. Spółka powołuje się przy tym na wyłączenie określone w art. 14 ust. 5 pkt b) RODO zgodnie z którym obowiązek informacyjny może być niewykonany, jeżeli jego wykonanie jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.
Zdaniem organu w tym przypadku spółka nie może się powoływać na to wyłączenie, ponieważ miała możliwość kontaktu z tymi osobami np. poprzez przesłanie im listu, którego przesłanie do ok. 5 mln osób mogło kosztować spółkę nawet do 30 mln złotych. Nadmierny koszt nie stanowił również okoliczności łagodzącej przy nałożeniu kary. Dodatkowo spółka został zobowiązana do spełnienia obowiązku w stosunku do osób, które nie zostały wcześniej poinformowane.
Na tak wysoką karę złożyło się również to, że spółka podjęła świadomą decyzję o niespełnieniu obowiązku informacyjnego. Prezes UODO zwrócił przy tym uwagę na to, że kara miała być na tyle wysoka, by ukarany nie wkalkulował jej w koszty swojej działalności. W obecnej chwili spółka ma możliwość odwołania się od decyzji PUODO do Wojewódzkiego Sądu Administracyjnego, co też zapewne zrobi.
