De Poolse gegevensbeschermingsautoriteit (UODO) heeft op 26 maart 2019 een boete opgelegd van zł 943.000 (omgerekend €220.000) aan een onbekend Pools bedrijf dat de persoonsgegevens van ongeveer 6 miljoen betrokkenen onjuist heeft verwerkt. Het bedrijf verzamelde deze gegevens via publieke databanken, zoals de Pools Kamer van Koophandel. Deze betrokkenen hadden geen weet van de gegevensverwerking en het bedrijf had enkel de bedrijven op de hoogte gesteld waarvan het e-mailadres bekend was. Deze manier van werken is in strijd met artikel 14 van de AVG, waardoor de gegevensbeschermingsautoriteit besloot om hier handhavend tegen op te treden.
Handhaving
De AVG schrijft voor dat een betrokkene – van wie de persoonsgegevens worden verwerkt – op de hoogte moet zijn van het feit dat zijn of haar gegevens verwerkt worden. Ook in de situatie waarin de persoonsgegevens niet bij de betrokkene zelf zijn verkregen. De volgende informatie moet op grond van artikel 14 van de AVG aan de betrokkene worden verstrekt:
Deze informatie moet aan de betrokkene worden meegedeeld op het moment dat de verwerkingsverantwoordelijke zijn persoonsgegevens verkrijgt.
Boete
Omdat het bedrijf had nagelaten de betrokkenen te informeren over de gegevensbescherming, heeft zij een boete van €220.000 opgelegd gekregen. De Poolse gegevensbeschermingsautoriteit kwam tot de conclusie dat het bedrijf opzettelijk de AVG heeft overtreden, omdat het bedrijf in het voortraject dat tot de boete heeft geleid al aan heeft gegeven dat zij op de hoogte was van de wettelijke informatieplicht en de noodzaak om betrokkenen te informeren. De gegevensbeschermingsautoriteit heeft daarnaast meegenomen dat het bedrijf geen actie heeft ondernomen om de schending van de AVG te verhelpen.