Wysokość sankcji administracyjnej wynosi 220 tyś euro. Została ona nałożona na spółkę, która przetwarza dane osób pozyskane z baz publicznych rejestrów, tj. z CEiDG, KRS, GUS, CEPiK oraz Monitora Sądowego i Gospodarczego.

Podstawą dla ukarania zostało nie spełnienie obowiązku informacyjnego wobec osób, których danie spółka przetwarzała. Spółka drogą e-mailową przesłała klauzulę informacyjną do przedsiębiorców, którzy w oficjalnych rejestrach podali swój adres mailowy. W przypadku osób fizycznych, które nie podały swojego adresu e-mail, spółka  zdecydowała się skorzystać z uprawnienia wynikającego z art. 14 pkt 5 lit. b RODO o nie zastosowaniu obowiązku informacyjnego bo wymagałoby to "niewspółmiernie dużego wysiłku", powołując na duży koszty wysyłki listów poleconych do wszystkich osób.

Prezes UODO uznał, że naruszenie administratora miało charakter umyślny, podmiot dysponował adresami korespondencyjnymi i numerami telefonów, a zatem mógł spełnić obowiązek informacyjny wobec osób, których dane przetwarza. 

Treść decyzji PUODO znajduje się w poniższym linku https://odoserwis.pl/j/878/decyzja-puodo-nakazujaca-dopelnienie-obowiazku-informacyjnego-oraz-nakladajaca-karel