Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą karę za naruszenie przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenie o ochronie danych) znanego powszechnie jako RODO. Jedną z warszawskich spółek ukarano karą pieniężną w wysokości ponad 934 000,00 tys. zł za niedopełnienie obowiązku informacyjnego wynikającego z przepisów RODO.
Decyzja Prezesa UODO dotyczyła działania Spółki polegającego na pozyskiwaniu danych dostępnych na stronie Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) i przetwarzaniu w celach zarobkowych. Spółka pozyskała wprawdzie dane osobowe z ogólnodostępnego rejestru, lecz pomimo tego zgodnie z przepisami RODO – powinna ona (jako administrator pobranych danych osobowych) poinformować przedsiębiorców o przetwarzaniu ich danych osobowych. Przepis art. 14 RODO wskazuje bowiem, że w przypadku, gdy danych osobowych nie pozyskano bezpośrednio od osoby, której dane dotyczą, administrator zobowiązany jest poinformować osobę o przetwarzaniu jej danych i podać tej osobie szereg informacji, w tym w szczególności swoje dane, cel przetwarzania i podstawę prawną przetwarzania, kategorie odnośnych danych osobowych oraz informacje o odbiorcach danych osobowych lub kategoriach odbiorców. Spółka przekazała co prawda te informacje, ale tylko tym przedsiębiorcom, którzy podali w CEIDG swój adres e-mail (wysyłając im wiadomości e-mail). Natomiast w stosunku do osób, które nie podały w CEIDG swojego adresu e-mail, Spółka ograniczyła się jedynie do zamieszczenia odpowiednich informacji na swojej stronie internetowej. Sprawa była w ocenie organu poważna, gdyż chodziło o przetwarzanie danych około 6 milionów przedsiębiorców. W postępowaniu przed UODO, Spółka argumentowała, że zaniechała tych czynności z uwagi na znaczne koszty, które wiązałyby się z poinformowaniem osób,
które nie podały swojego adresu e-mail. Wymagałoby to bowiem wysłania powiadomień dotyczących przetwarzania danych osobowych drogą tradycyjną (poprzez wysłanie listów poleconych). Jak wyliczono, byłby to koszt sięgający 30 milionów złotych. Prezes UODO, argumentując wymierzenie przedmiotowej kary, wskazał że administrator miał świadomość o ciążącym na nim obowiązku informacyjnym, a samo naruszenie ma poważny charakter, gdyż dotyczy podstawowych praw i wolności osób, których dane przetwarzała Spółka. Osoby te nie mogły z tego względu skorzystać chociażby z prawa do usunięcia ich danych bądź ich sprostowania.
Decyzja Prezesa UODO jest nieprawomocna. Ukaranej Spółce przysługuje bowiem jeszcze odwołanie do organu drugiej instancji, następnie skarga do Wojewódzkiego Sądu Administracyjnego, a finalnie – skarga kasacyjna do Naczelnego Sądu Administracyjnego.