Brytyjski odpowiednik PUODO – Information Commissioner’s Office (ICO) – poinformował o nałożeniu kary pieniężnej w wysokości 400 000 £, czyli ok. 2 mln złotych.

Ukarana w ten sposób została spółka Bounty (UK) Ltd, która zajmuje się doradztwem z zakresu ciąży i rodzicielstwa. Powodem nałożenia kary było nielegalne ujawnienie danych osobowych ponad 14 mln osób, w tym nowo narodzonych dzieci.

Firma ta aż do 30 kwietnia 2018 r. prowadziła działalność brokera danych (tak jak pierwsza polska spółka ukarana przez PUODO) i dostarczała dane swoich klientów / członków klubu rodzica innym podmiotom dla celów prowadzenia marketingu bezpośredniego drogą elektroniczną. Potwierdziła, że udostępniła dane 39 innym podmiotom.

ICO uznało, że Bounty naruszyła brytyjską ustawę o ochronie danych z 1998 r., ponieważ osoby, których przekazanie danych dotyczyło, nie były o tym poinformowane. Dodatkowo, okolicznością obciążającą było w tym przypadku ujawnienie danych kobiet w ciąży, młodych matek oraz niemowląt.

Warto zaznaczyć, że kara została nałożona za działania podjęte przez ukaraną firmę jeszcze przed rozpoczęciem stosowania RODO, w okresie obowiązywania dyrektywy 95/46/WE.

Wydaje się, że nieprzypadkowo firma zakończyła swoją działalność w charakterze brokera danych przed rozpoczęciem stosowania RODO w maju 2018 r. Gdyby naruszenie dotyczyło działań podjętych już po unijnej reformie, kara mogłaby być wyższa.

Powyższa decyzja brytyjskiego organu ochrony danych to kolejny sygnał dla administratorów, że udostępnianie danych osobowych innemu podmiotowi wymaga podstawy prawnej i należytego poinformowania osób, których to dotyczy. Firma, która ujawnia dane osobowe niezgodnie z RODO, ryzykuje nie tylko nałożenie kary pieniężnej, ale także utratę zaufania swoich klientów.