26 marca we wtorek poinformowano o pierwszej w Polsce znaczącej karze dotyczącej RODO. Co wiadomo o tej sprawie?
Urząd Ochrony Danych Osobowych (UODO) nałożył karę w wysokości 943 tys. zł na pewną firmę za nieinformowanie o przetwarzaniu danych przedsiębiorców. Nazwy ukaranej spółki nie podano.
Wiadomo jedynie, że firma tworzyła bazę danych osób prowadzących działalność gospodarczą na podstawie ogólnodostępnych informacji zawartych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG), Krajowym Rejestrze Sądowym (KRS), Centralnej Ewidencji Pojazdów i Kierowców, Monitorze Sądowym i Gospodarczym (MSIG) oraz zestawieniach Głównego Urzędu Statystycznego (GUS). Dane te były oferowane użytkownikom, którzy chcieli łatwo zweryfikować wiarygodność tych przedsiębiorców. W ramach postępowania UODO ustalono, że ukarana firma o zbieraniu i przetwarzaniu danych poinformowała tylko tych przedsiębiorców, którzy w którymś z tych rejestrów podali swoje adresy mailowe. W innych przypadkach spółka powołała się na przepis RODO, według którego nie trzeba informować o przetwarzaniu danych, jeżeli wymagałoby to niewspółmiernie dużego wysiłku w porównaniu do zysków z takiej działalności. W związku z tym, że udzielenie stosownej informacji przedsiębiorcom bez podanego adresu mailowego było tak kłopotliwe, spółka zamiast tego zamieściła na swojej stronie internetowej informację o przetwarzaniu danych. Według Urzędu Ochrony Danych Osobowych, nie było to jednak wystarczające.
Sprawa dotyczy ponad 6 mln rekordów z danymi. Połowa z tych osób nie prowadzi już działalności gospodarczej. Spółka poinformowała o zbieraniu danych ok. 90 tys. przedsiębiorców, spośród których ok. 12 tys. w odpowiedzi nie wyraziło zgody na przetwarzanie ich danych.
Prezes Urzędu Ochrony Danych Osobowych - Edyta Bielak-Jomaa w uzasadnieniu podała, że kara w wysokości ponad 943 tys. zł została nałożona za niespełnienie obowiązku informacyjnego wynikającego z rozporządzenia o ochronie danych. Brak spełnienia tego obowiązku spowodował, że osoby, których dane były przetwarzane, nie mogły zrealizować praw wynikających z przepisów RODO, choćby żądania usunięcia danych czy też sprostowania danych osobowych.
Warto wspomnieć, że RODO obowiązuje w Polsce od maja 2018 r.
