Dnia 15 marca Prezes UODO nałożył karę pieniężną w wysokości blisko miliona złotych na firmę zbierającą dane o przedsiębiorcach z powszechnie dostępnych źródeł (CEIDG, KRS etc.) – organ nadzorczy uznał, że spółka powinna poinformować osoby, których dane przetwarza w formie listów wysłanych pocztą tradycyjną (w tych przypadkach, w których nie dysponuje ona adresami mailowymi lub numerami telefonów).
Spółka z pewnością będzie się jeszcze odwoływać do sądu administracyjnego – a do czasu prawomocnego rozpatrzenia sprawy przez sąd konieczność zapłaty kary będzie wstrzymana.
Warto jednak pamiętać, że kary pieniężne związane ze stosowaniem RODO mogą myć nałożone także za inne, znacznie bardziej prozaiczne naruszenia np. z powodu kamer monitoringu które zostały skierowane tak, by obejmowały swoim zakresem zbyt szeroki obszar, lub braku oznaczenia obszaru monitorowanego.
Naruszeniem przepisów może być też np. pozyskiwanie zbyt dużego zakresu informacji o pracownikach, błędne wskazanie podstaw prawnych, nieodpowiednie posługiwanie się zgodą w ramach procesu rekrutacji pracowników, przechowywanie danych przez zbyt długi okres lub brak wyznaczonych okresów retencji danych.
Warto także sprawdzić treść zawartych umów powierzenia przetwarzania, sposób udokumentowania oszacowania ryzyka oraz sposób sformułowania upoważnień do przetwarzania.
To wszystko to jedynie przykłady – RODO wpływa bardzo często całość codziennych czynności, codzienną praktykę działania całego przedsiębiorstwa – taki całościowy przegląd zgodności z RODO powinien być przeprowadzony przynajmniej na początku procedury dostosowania się do nowych przepisów.