Stało się, po raz pierwszy Urząd Ochrony Danych Osobowych ukarał polską firmę za złamanie zasad RODO – Rozporządzenia o Ochronie Danych Osobowych. Firma przetwarzała dane niemalże sześciu milionów podmiotów, informując o tym fakcie jedynie 90 tysięcy z nich. Urząd Ochrony Danych Osobowych ukarał przedsiębiorstwo karą finansową w wysokości niemalże miliona złotych, ponadto zobligował je do powiadomienia pozostałych podmiotów o fakcie przetwarzania ich danych.

Kim jest ukarany podmiot gospodarczy?

Podczas konferencji zorganizowanej dla prasy szefowa UODO – Edyta Bielak-Jomaa – podała do wiadomości publicznej szczegóły dotyczące decyzji wydanej 15 marca 2019 roku, nie padła jednak nazwa ukaranej spółki. O przedsiębiorstwie wiadomo wyłącznie tyle, iż posiada siedzibę w Warszawie i zajmuje się gromadzeniem ogólnodostępnych danych osób prowadzących działalność gospodarczą, znajdujących się w GUS, CEPiK, CeiDG, KRS oraz Monitorze Sądowym i Gospodarczym. Na podstawie wyżej wymienionych ogólnodostępnych baz przedsiębiorstwo stworzyło bazę danych umożliwiającą weryfikację wiarygodności podmiotów gospodarczych.

Wysokość kary i jej przyczyny

Nałożona przez UODO kara obejmuje grzywnę finansową w wysokości 943 tysięcy złotych oraz nakaz poinformowania wszystkich figurujących w bazie firmy podmiotów o przetwarzaniu i posiadaniu ich danych, tak aby mogły one wyrazić na to zgodę lub sprzeciw.

Przedsiębiorstwo było w posiadaniu i przetwarzało dane około 6 milionów podmiotów. W związku zatwierdzeniem w Polsce w maju 2018 roku  europejskiego Rozporządzenia o Ochronie Danych Osobowych (RODO) firma była zobligowana do powiadomienia zainteresowanych o fakcie zgromadzenia i przetwarzania ich danych. Przedsiębiorstwo poinformowało drogą mailową jedynie 90 tysięcy z niemal 6 mln podmiotów. Dla tych, którzy nie otrzymali wiadomości, jedynym źródłem informacji było oświadczenie, widniejące na stronie internetowej ukaranej firmy. Przedsiębiorstwo przez 25 lat swojej działalności nigdy nie wykonało skutecznie obowiązku informacyjnego wobec właścicieli udostępnianych danych, w związku z czym firmy figurujące w rejestrze nie posiadały wiedzy odnośnie wykorzystania ich danych. Nie miały zatem możliwości sprzeciwienia się temu procederowi.

Edyta Bielak-Jomaa wyjaśniła podczas konferencji prasowej, iż wysokość kary ustalona została przez specjalnie powołany w tej sprawie komitet. Pod uwagę wzięto 11 przesłanek dotyczących skali zaniechania. Ponadto, na wysokość kary finansowej wpłynęła także postawa ukaranego przedsiębiorstwa w trakcie postępowania – przedstawiciel firmy tłumaczył, iż obowiązek informacyjny nie został dopełniony ze względu na wysoki koszt przeprowadzenia tego typu operacji. Na pytanie dziennikarzy, jak powinno wyglądać wykonanie przez firmę obowiązku informacyjnego, nie padła jednoznaczna odpowiedź – według przedstawiciela UODO nie da się udzielać tego typu jednoznacznych wskazówek, a wykonanie obowiązku informacyjnego np. poprzez reklamę należałoby ocenić na podstawie jej skuteczności czy zasięgu.