Nawet osoby, których dane widnieją w publicznych rejestrach muszą być informowane o ich ponownym przetwarzaniu – uznała prezes Urzędu Ochrony Danych Osobowych nakładając pierwszą karę finansową na podstawie RODO. Jeszcze bardziej kosztowne może być konieczność poinformowania ok. 6 mln osób o ich prawach, do czego również zobowiązuje decyzja.





Chodzi o firmę, która zajmuje się przygotowywaniem dla przedsiębiorców profesjonalnych raportów na temat potencjalnych kontrahentów. W swej działalności przetwarza również dane osobowe z publicznie dostępnych rejestrów, takich jak Centralna Ewidencja i Informacja o Działalności Gospodarczej. W sumie, jak wynika z postępowania UODO, ok. 6 mln osób, z czego połowa to dane historyczne o ludziach, którzy już nie prowadzą działalności gospodarczej.
Kara nałożona na firmę nie dotyczy braku podstaw prawnych do przetwarzania tych danych. Podstawy takie są, bo chodzi o ponowne wykorzystanie informacji z dostępnych publicznie rejestrów. Zdaniem UODO administrator nie dopełnił natomiast obowiązku informacyjnego. Mówiąc wprost – nie przekazał osobom, które widnieją w jego bazie, informacji o tym, że przetwarza ich dane, w jakim celu to robi, jak się z nim skontaktować i skąd czerpie swe dane. Nie powiadomił także o przysługujących im prawach.
– Kara w wysokości ponad 943 tys. zł została nałożona za niespełnienie obowiązku informacyjnego. Bez tego osoby, których dane były przetwarzane, nie mogły zrealizować praw wynikających z przepisów RODO, choćby żądania usunięcia danych czy też sprostowania danych osobowych – mówiła podczas wczorajszej konferencji prasowej dr Edyta Bielak-Jomaa, prezes UODO.
Firma przesłała wymagane prawem informacje, ale wyłącznie osobom, których adres e-mail miała w swej bazie. Tych jednak nie było zbyt wiele. Zdecydowana większość nic nie dostała. Firma uznała bowiem, że przesłanie listów oznaczałoby zbyt duże koszty i poprzestała na opublikowaniu wymaganych informacji na swej stronie internetowej.
– Administrator po prostu zdecydował, że wobec znacznej części osób, których dane przetwarza, nie spełni obowiązku informacyjnego. Przy czym chodzi nie tylko o ostatnie 10 miesięcy, podczas których stosuje się RODO. Firma przez 25 lat prowadzenia swej działalności nie informowała osób o przetwarzaniu ich danych – zauważył Piotr Drobek, dyrektor Zespołu Strategii i Analiz w UODO.
Ukarany może zaskarżyć decyzję do sądu administracyjnego. Część prawników uważa, że w jego przypadku są podstawy do skorzystania z wyjątku, jakie daje 14 ust. 5 pkt b RODO. Pozwala nie spełniać obowiązku informacyjnego, jeśli „wymagałoby niewspółmiernie dużego wysiłku”.
UODO podkreśla, że ukarana firma posiada adresy i numery telefonów osób, których dane przetwarza, oraz ich adresy. Mogła więc skorzystać z alternatywnych form kontaktu.
Jak zapewniła dr Edyta Bielak-Jomaa, pierwsza nałożona przez nią kara nie była efektem chęci szczególnego piętnowania takiego, a nie innego naruszenia. Po prostu to postępowanie jako pierwsze zostało zakończone.
– Trwają kolejne, z których kilka prawdopodobnie też zakończy się nałożeniem kary finansowej – zapowiedziała prezes UODO.