Pierwsza kara za naruszenie przepisów RODO

Prezes UODO Edyta Bielak-Jooma poinformowała dzisiaj o nałożeniu kary w wysokości ponad 943 tysięcy złotych, za niespełnienie obowiązku informacyjnego. Nazwa ukaranej spółki nie została podana. Z doniesień prasowych wynika, że jest to warszawska spółka zajmująca się tworzeniem baz danych na podstawie publicznych rejestrów, w tym CEIDG, KRS i GUS.

Podczas dzisiejszego briefingu Dyrektor zespołu analiz i strategii UODO Piotr Drobek wskazał, że „W przypadku spółki, o której dzisiaj mówimy, sprawa dotyczy ponad 6 mln rekordów, a obowiązek informacyjny został spełniony wobec ok. 90 tys. osób, do których spółka wysłała korespondencję drogą elektroniczną”. Podkreślił również, że ponad 3 miliony osób których dane były przetwarzane nie prowadziło już działalności gospodarczej.

Spółka spełniła obowiązek informacyjny jedynie wobec przedsiębiorców, którzy udostępnili w rejestrze adres e-mail. Wobec pozostałych przedsiębiorców zrezygnowała z informowania ponieważ wiązałoby się to z ogromnymi kosztami wysłania wszystkich informacji listownie. Spółka powołała się na przepis art. 14 ust. 5 lit. b) RODO, który dopuszcza odstępstwo od obowiązku informacyjnego, gdy wiąże się to z niewspółmiernie dużym wysiłkiem.

Decyzja wzbudziła już wiele kontrowersji, zarówno co do kwoty jak i zasadności samej kary. W praktyce stanowisko Prezesa UODO oznacza duże koszty dla przedsiębiorców, których działalność wiąże się z wykorzystaniem danych rejestrowych, może też skutkować istotnym ograniczeniem ich działalności. Ukarana spółka prawdopodobnie zaskarży decyzję UODO, natomiast Sąd będzie musiał podjąć się interpretacji pojęcia niewspółmiernie dużego wysiłku.