RODO w praktyce – pierwsza kara pieniężna nałożona!

26 marca 2019 r. Urząd Ochrony Danych Osobowych [dalej także: UODO] poinformował na swojej stronie internetowej o nałożeniu pierwszej kary pieniężnej na podstawie obowiązującego od maja ubiegłego roku tzw. ogólnego rozporządzenia o ochronie danych osobowych[1] [dalej także: RODO]

Wymierzona sankcja jest konsekwencją niedopełnienia przez przedsiębiorcę obowiązku informacyjnego wynikającego z art. 14 RODO, który dotyczy przypadków pozyskiwania danych w inny sposób aniżeli bezpośrednio od osoby, której dane dotyczą. W analizowanym przypadku ukarana spółka pozyskała dane prawie 6 mln osób korzystając z ogólnodostępnych źródeł, m.in. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej. Uzyskane w ten sposób dane były następnie przetwarzane w celach zarobkowych. Spośród wskazanej grupy osób administrator dopełnił obowiązku informacyjnego jedynie wobec około 90 tys. osób wykorzystując w tym celu posiadane adresy e-mail. Spółka motywując swoje postępowanie wskazała, że zaniechanie poinformowania pozostałej grupy osób wynikało z braku adresów e-mail, a skorzystanie z alternatywnych sposobów komunikacji uznała za niewspółmierne biorąc pod uwagę koszty związane z wysyłką listów. Nadmieniła jednak, że stosowna klauzula informacyjna została zamieszczona na stronie internetowej spółki.

Nakładanie kar za naruszenie przepisów rozporządzenia o ochronie danych osobowych w formie decyzji należy do kompetencji Prezesa UODO. W omawianym przypadku nałożona na przedsiębiorcę kara wyniosła ponad 943.000,00 złotych. Na gruncie przepisów rozporządzenia (art. 83 ust. 5) administracyjna kara pieniężna może sięgać kwoty 20 000 000 EUR, a w przypadku przedsiębiorstwa – wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym jeśli chodzi o naruszenie praw osób, których dane dotyczą zastosowanie ma kara surowsza.

Prezes UODO wyjaśniając motywy nałożenia kary wskazała, że zaniechanie obowiązku poinformowania przez spółkę o czynności przetwarzania danych należało zakwalifikować jako poważne naruszenie przepisów rozporządzenia, bowiem godzi ono w podstawowe wolności i prawa osób, których te dane dotyczą. Prezes UODO podkreśliła, że konsekwencją zachowania spółki było odebranie osobom, co do których zaniechano obowiązku informacyjnego, możliwości wniesienia sprzeciwu wobec czynności przetwarzania, żądania sprostowania danych lub ich usunięcia. Organ nadzorczy nie podzielił także argumentacji spółki dotyczącej niewspółmierności kosztów związanych z dopełnieniem czynności poinformowania.

Ukaranej Spółce przysługuje prawo wniesienia skargi do sądu administracyjnego.