W dniu 26 marca 2019 r. Prezes UODO wydała decyzję dotycząca nałożenia kary na spółkę, która nie dopełniła obowiązku informacyjnego nałożonego przez rozporządzenie RODO .
6 maja 2019
Jedną z materii, które reguluje RODO są warunki nakładania administracyjnych kar pieniężnych w razie naruszenia przepisów rozporządzenia. Organ ochrony danych osobowych może nałożyć na administratora, tak jak w opisywanej sprawie, sankcję za niewywiązanie się z obowiązku informacyjnego, za co przewidziane są kary w wysokości do 10 mln euro.
W tym przypadku postępowanie UODO dotyczyło spółki, która przetwarzała dane osób pozyskiwane ze źródeł publicznie dostępnych (z Centralnej Ewidencji i Informacji Działalności Gospodarczej - CEIDG) i przetwarzała je w celach zarobkowych. Weryfikowane było niedopełnienie obowiązku informacyjnego wobec osób fizycznych prowadzących działalność gospodarczą (obecnie lub w przeszłości). Spółka wybiórczo spełniła obowiązek informacyjny jedynie wobec tych osób, do których adresy e-mail posiadała. W przypadku pozostałych z uwagi na wysokie koszty wysyłki zdecydowała się jedynie na zamieszczenie klauzuli informacyjnej stronie internetowej.
Zwracamy uwagę, że takie działanie uznano za niewystarczające. Spółka mając dane kontaktowe do poszczególnych osób była obowiązana spełnić obowiązek informacyjny w wybranej przez siebie formie zgodnej z przepisami RODO. Prezes UODO podważyła w tym zakresie argumenty spółki, która wskazywała, iż przyczyną niewykonania obowiązku była kwestia kosztowności wysyłania takich informacji listem poleconym.
Sytuację administratora pogarsza fakt, iż naruszenie cechowało się umyślnością, gdyż spółka miała świadomość istnienia obowiązku, jak i konieczności bezpośredniego informowania, ale administrator nie podjął jakichkolwiek działań zmierzających do usunięcia naruszenia, ani nie zadeklarował nawet takiego zamiaru.
Głównym czynnikiem wpływającym na decyzję była powaga naruszenia, gdyż administrator wskutek zaniechania w zakresie obowiązku informacyjnego odebrał osobom, których dane były przetwarzane, m.in. możliwość sprzeciwu przeciwko dalszemu przetwarzaniu ich danych, żądania ich sprostowania czy usunięcia. Stoi to w sprzeczności z przepisami RODO o podstawowych prawach i wolnościach osób, których dane podlegają przetwarzaniu. Prezes UODO nałożyła zatem pierwszą karę pieniężną w reżimie RODO, w kwocie ponad 943 tys. zł. Wskazany wymiar kary wynika z art. 83 RODO stanowiącego, że organ nadzorczy przy podejmowaniu decyzji o nałożeniu kary i ustalaniu jej wysokości dokłada starań, aby stosowane kary pieniężne mogły być w indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.
KRWLEGAL wyróżnione w rankingu „Rzeczpospolita”
8 maja 2019
30 kwietnia 2019
ul. Wojciecha Górskiego 9
00-033 Warszawa
tel.: 22 295 09 40,
tel./fax: 22 692 44 74
e-mail: biuro@krwlegal.pl
Numer rachunku bankowego:
45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP