943 tys. zł – tyle wyniosła pierwsza kara z RODO nałożona przez Prezes Urzędu Ochrony Danych Osobowych.
Karę tę nałożono na firmę BisNode, za niedopełnienie obowiązku informacyjnego. Prócz nałożonej kary, spółka BisNode została zobowiązana do dopełnienia obowiązku informacyjnego wobec osób, których dane przetwarza w ciągu 3 miesięcy.

Skąd BisNode zbiera dane osobowe?

Pierwsza kara z RODO - ogłasza PUODO

Dr Edyta Bielak-Jomaa ogłasza pierwszą karę z RODO

Spółka BisNode jest wywiadownią gospodarczą. W ramach swojej działalności przetwarza różne dane ( w tym osobowe przedsiębiorców). Mamy tu na myśli przede wszystkim osoby prowadzące jednoosobową  działalność gospodarczą. nie jest to jedyna grupa. Dla Urzędu Ochrony Danych Osobowych jest ona jednak szczególnie ważna.
W zasobach BisNode znalazły się również dane osobowe członków zarządów spółek, stowarzyszeń i innych podmiotów rejestrowanych w Krajowym Rejestrze Sądowym.
Te dane spółka zbierała między innymi z KRS, GUS oraz Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG)

Dlaczego BisNode otrzymała karę z RODO?

RODO wymaga, aby osobom, których dane przetwarzamy, udzielić odpowiednich informacji. W zależności od tego jak dane pozyskaliśmy, informacje te należy przekazać w odpowiednim zakresie (i czasie). Potocznie nazywamy to obowiązkiem informacyjnym.
BisNode zrealizowała ten obowiązek częściowo. Można by rzec, że w małej części. Dopełniono go bowiem tyko wobec osób, który podały swój adres email do publicznej wiadomości.
W przypadku gdy BisNode nie dysponowała adresem email, a jedynie adresem korespondencyjnym lub numerem telefonu, nie dopełniania tego obowiązku.

Zwolnienie z obowiązku informacyjnego – czy ma tu zastosowanie?

Spółka  BisNode uzasadniała swoje postępowanie nadmiernymi kosztami. Obliczyli koszty wysłania listu poleconego do każdej osoby prowadzącej jednoosobową DG, którą mają w swojej bazie. Wyszła im kwota ok. 30 milionów złotych. Taka kwota jest w przybliżeniu równa ich rocznemu obrotowi.
BisNode uznała, że wydanie takiej kwoty, to “niewspółmiernie duży wysiłek” o którym mówi artykuł 14 ust. 5 lit b) RODO. Tym samym uznali, że są zwolnieni z konieczności dopełniania obowiązku informacyjnego.
PUODO miała inne zdanie. W swojej decyzji podkreślała między innymi, że w kategorii “niewspółmiernie dużego wysiłku” nie mieszczą się kwestie finansowe.
Z pełną treścią decyzji UODO zapoznasz się tutaj.

Co dalej w sprawie pierwszej kary z RODO?

Decyzja PUODO wywołała sporo kontrowersji w środowisku specjalistów ochrony danych osobowych. Zdanie na temat jej słuszności są podzielone. Ukarany podmiot nie zgadza się ze stanowiskiem UODO i zapewne sprawa znajdzie swój finał w sądzie.
Pozostaje więc nam czekać i śledzić bieg wydarzeń.