Nazwa ukaranej firmy nie została podana; jest to spółka pozyskująca dane ze źródeł publicznie dostępnych m.in. z Centralnej Ewidencji i Informacji Działalności Gospodarczej (CEiDG). Firmie przysługuje odwołanie od decyzji UODO do sądu.
"Kara w wysokości ponad 943 tys. zł została nałożona za niespełnienie obowiązku informacyjnego wynikającego z rozporządzenia o ochronie danych. (...) Brak spełnienia tego obowiązku spowodował, że osoby, których dane były przetwarzane, nie mogły zrealizować praw wynikających z przepisów RODO, choćby żądania usunięcia danych czy też sprostowania danych osobowych" - powiedziała prezes UODO Edyta Bielak-Jomaa, przedstawiając uzasadnienie tej decyzji. Jak mówiła, z postępowania wynika, że firma miała świadomość konieczności poinformowania osób, których dane przetwarzała, o tym fakcie; miała też możliwość spełnienia tego obowiązku.
"W przypadku spółki, o której dzisiaj mówimy, sprawa dotyczy ponad 6 mln rekordów, a obowiązek informacyjny został spełniony wobec ok. 90 tys. osób, do których spółka wysłała korespondencję drogą elektroniczną" - podkreślił Piotr Drobek z UODO. Według UODO, firma nie kontaktowała się bezpośrednio z osobami, których adresu mailowego nie miała, zamieściła tylko informację na swojej stronie internetowej, co zdaniem Urzędu jest niewystarczające. Jak mówili przedstawiciele UODO, w toku postępowania spółka broniła się, że koszt listów poleconych, jakie musiałaby wysłać do pozostałych osób, byłby bardzo wysoki. Jednak zdaniem Prezes UODO przepisy nie nakładają na administratora obowiązku wysyłania listów poleconych.
"W odniesieniu do 90 tys. osób, które zostały poinformowane, ponad 12 tys. osób w reakcji na przesłaną informację złożyło sprzeciw wobec przetwarzania danych w celach marketingowych. To pokazuje, jak ważne jest spełnienie obowiązku informacyjnego" - podkreślił Piotr Drobek. Jak dodał, RODO nie dopuszcza wyłączeń odnośnie ochrony danych osobowych dotyczących osób fizycznych prowadzących działalność gospodarczą i wobec nich także należy spełnić obowiązek informacyjny. "W tej konkretnej sprawie ok. 3 mln rekordów dotyczyło osób, które nie prowadzą już działalności gospodarczej, czyli osób, które już nie są aktywnymi przedsiębiorcami" - powiedział.
Jak mówili przedstawiciele Urzędu, Prezes UODO, podejmując decyzję o nałożeniu kary i ustalając jej wysokość, musi wziąć pod uwagę 11 czynników. Znaczenie ma więc m.in. liczba poszkodowanych osób, rozmiar poniesionej przez nie szkody, cel i zakres przetwarzania danych, których dotyczyło naruszenie, nieumyślny lub umyślny jego charakter, działania naprawcze, współpraca z Urzędem, a także czy ochrona danych jest brana pod uwagę już na etapie projektowania produktu czy usługi oraz czy dane były chronione zarówno od strony technicznej, jak proceduralnej.
Ustawa o ochronie danych osobowych, dostosowująca polskie prawo do przyjętego w maju 2016 r. przez UE ogólnego rozporządzenia o ochronie danych osobowych (RODO), weszła w życie 25 maja 2018 r. RODO przewiduje kary za naruszenie prawa do ochrony danych - do 20 mln euro lub 4 proc. całego obrotu firmy. Europejscy odpowiednicy UODO nałożyli już wysokie kary na firmy naruszające dane osobowe: np. w styczniu tego roku francuski organ ochrony danych osobowych CNIL nałożył na Google grzywnę w wysokości 50 mln euro za naruszanie przepisów RODO przy pozyskiwaniu zgody użytkowników na profilowanie marketingowe w oparciu o ich dane.