Posiadasz bazę danych, której nie używasz? Wywiąż się z obowiązku informacyjnego zanim do Twoich drzwi zapuka kontrola UODO. Polski Urząd Ochrony Danych Osobowych nałożył właśnie karę w wysokości miliona złotych na firmę, która złamała art. 14 RODO.
Warszawska spółka pozyskiwała dane osobowe przez KRS, GUS, CEPiK, CEiDG oraz Monitor Sądowy i Gospodarczy i nie wywiązała się przy tym z obowiązku informacyjnego.
O przetwarzaniu danych poinformowała jedynie podmioty, które w publicznych rejestrach podały również swoje adresy mailowe. Do pozostałych firma powinna wysłać informację listownie. Jednak w opinii warszawskiej spółki generowałoby dla niej zbyt duże koszty, które można podpiąć pod wyjątek opisany w art. 14 pkt 5 lit. b RODO. Przepis ten mówi o możliwości odejścia od obowiązku informacyjnego, jeżeli wymaga on niewspółmiernie dużego wysiłku, w związku z tym warszawska firma opublikowała jedynie informacje o przetwarzaniu danych osobowych na swojej stronie internetowej.
Jednak jak widać w praktyce udowodnienie wpisywania się wyjątek z art. 14 RODO nie jest wcale takie łatwe. UODO szybko odrzuciło powyższą argumentację spółki, a oprócz milionowej kary nakazało również wysyłkę listów do podmiotów, które nie zostały poinformowane o fakcie, że ich dane są przetwarzane. Nadanie listów generuje natomiast dodatkowe koszty.