Pierwsza kara za RODO w Polsce

Na dzisiejszej konferencji prasowej Prezes Urzędu Ochrony Danych Osobowych ogłosił nałożenie pierwszej w Polsce kary za naruszenie przepisów RODO. Jej wysokość wynosi € 220.000, czyli prawie 1 milion złotych. Powodem nałożenia kary jest nieprawidłowy sposób informowania o przetwarzaniu danych osobowych.

Pierwszym ukaranym podmiotem jest spółka (Prezes UODO zdecydował się nie ogłaszać jej nazwy), przygotowująca rejestry osób i podmiotów prowadzących działalność gospodarczą. Firma pozyskiwała dane ze źródeł publicznie dostępnych (z rejestrów publicznych takich jak: KRS, CEIDG, CEPiK) i przetwarzała je w celach zarobkowych – łącznie zgromadziła w swojej bazie 6 milionów rekordów. Problemem było jednak spełnienie obowiązku informacyjnego (zgodnie z art. 14 RODO osoba, której dane dotyczą, musi dowiedzieć się, kto wykorzystuje jej dane osobowe, do jakich celów i z jakich źródeł je uzyskał).

Spółka spełniła obowiązek tylko wobec tych przedsiębiorców, którzy podali publicznie swój kontaktowy adres e-mail. Obowiązek informacyjny wobec innych osób spełniono tylko przez komunikat na stronie internetowej firmy. Prezes UODO uznał, że jest to działanie niewystarczające i w związku z tym:

  • wezwał spółkę do należytego poinformowania wszystkich przedsiębiorców o prowadzeniu rejestrów,
  • nałożył na firmę karę finansową w wysokości € 220.000.

Tak wysoka kwota jest uzasadniona tym, że spółka podjęła świadomą decyzję o niespełnieniu obowiązku informacyjnego. Prezes UODO zwraca także uwagę, że kara miała być na tyle wysoka, by ukarany nie wkalkulował jej w koszty swojej działalności.