Naczelny Sąd Administracyjny podzielił stanowisko UODO dotyczące niedopełniania przez firmy obowiązków informacyjnych związanych z ochroną danych osobowych
Po ponad czterech latach swój finał ma sprawa związana z nałożeniem pierwszej kary pieniężnej przez polski organ nadzorczy. Tyle czasu minęło od nałożenia kary w wysokości nieco ponad 943 tys. zł na spółkę Bisnode, która pozyskiwała dane z ogólnodostępnych rejestrów publicznych, ale nie poinformowała ona osób, których dane przetwarzała.
Przez to osoby te nawet nie wiedziały, że administrator ten przetwarza ich dane osobowe i tym samym nie mogły skorzystać z przysługujących im praw np. sprostowania danych, sprzeciwu wobec dalszego ich przetwarzania.
Obowiązkowa informacja o przetwarzaniu danych
Sprawa ta od początku budziła wielkie emocje. Niektórzy zarzucali UODO, że decyzją tą uderza w brokerów danych, zajmujących się pozyskiwaniem i przetwarzaniem danych w celu ich dalszej odsprzedaży – czytamy w informacji na stronach Urzędu Ochrony Danych Osobowych.
UODO nie kwestionował jednak samego pozyskiwania danych z ogólnodostępnych rejestrów publicznych, ale po przeprowadzeniu postępowania administracyjnego uznał, że spółka nie poinformowała zdecydowanej większości osób, których dane pozyskała o tym, że stała się administratorem ich danych oraz o tym jak dalej zamierza je przetwarzać. Takie informacje otrzymali jedynie ci, do których spółka miała adresy e-mail.
Zdaniem UODO spółka pozyskując dane osobowe z ogólnodostępnych rejestrów publicznych (np. KRS, CEIDG, REGON) musi spełnić obowiązek informacyjny wobec tych osób określony w art. 14 RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych poprzez bezpośrednie przekazanie informacji osobie, której dane dotyczą.
Czytaj także: Raport Specjalny | Forum Bezpieczeństwa Banków | Trzy lata z RODO
Bisnode zaskarża decyzję UODO – stanowisko WSA
Spółka zaskarżyła tę decyzję do WSA w Warszawie, który częściowo przyznał rację organowi (sygn. II SA/Wa 1030/19). Sąd uznał, że spółka była zobligowana do spełnienia obowiązku informacyjnego wynikającego z art. 14 RODO, ale tylko wobec osób, które w momencie jej wydania aktywnie prowadziły działalność gospodarczą lub ją zawiesiły.
Decyzja UODO odnosiła się jednak nie tylko do tych osób, ale także osób, które prowadziły w przeszłości taką działalność i WSA uchylił decyzję w zakresie nakazu spełnienia obowiązku informacyjnego wobec tej grupy osób. Ponieważ liczba osób, których prawa naruszono, miała wpływ na wymiar kary, Sąd uchylił decyzję także w części dotyczącej nałożenia kary administracyjnej.
Sąd wskazał w szczególności, że w kontekście okoliczności podniesionej przez Spółkę w skardze, co do braku dysponowania aktualnymi adresami osób fizycznych, które w przeszłości prowadziły jednoosobową działalność gospodarczą (zaprzestały wykonywania działalności), ustalenia organu, co do możliwości realizacji obowiązku przekazania tym osobom stosownej informacji wymagały będą wcześniejszego dokonania przez organ ustaleń co do zgodności przetwarzania (przechowywania, wykorzystywania, ujawniania, udostępniania) tych danych z prawem unijnym, tj. RODO.
Skoro Spółka twierdzi, że nie posiada aktualnych adresów tych osób fizycznych, których dane przetwarza, to trzeba wziąć pod uwagę, że RODO wymaga w szczególności, by dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą, oraz by były prawidłowe i w razie potrzeby uaktualniane.
Zdaniem Sądu powyższe jest ściśle powiązane z obowiązkiem informacyjnym, a organ ponownie rozpoznając sprawę zobowiązany będzie uwzględnić te wskazania Sądu.
Czytaj także: Powstał Instytut Prawa Ochrony Danych Osobowych
Bisnode wnosi skargę kasacyjną do NSA
Spółka wniosła jednak skargę kasacyjną od tego wyroku akcentując, że nie musiała spełniać obowiązku informacyjnego z wykorzystaniem tradycyjnej korespondencji lub telefonów z uwagi na wyłączenie z tego obowiązku ze względu na „niewspółmiernie duży wysiłek”.
NSA jednak potwierdził słuszność stanowiska przedstawionego w decyzji Prezesa UODO, jak i wyroku WSA, zgodnie z którym spółka powinna spełnić obowiązek informacyjny wobec osób prowadzących działalność gospodarczą których dane pozyskała.
NSA podkreślił, że na gruncie RODO zasadą jest transparentność przetwarzania, a wszelkie wyjątki od tej zasady, w tym wyjątek dotyczący zwolnienia z obowiązku poinformowania osób z uwagi na „niewspółmiernie duży wysiłek” należy interpretować zawężająco, i co do zasady powinien być stosowany przy przetwarzaniu danych dla celów publicznych, w szczególności statystycznych, badawczych, archiwalnych czy historycznych.
Obecnie Prezes UODO zobowiązany jest ponownie rozpatrzyć sprawę w zakresie w jakim Sąd uchylił decyzję administracyjną, tj. w zakresie dotyczącym przetwarzania danych osób prowadzących w przeszłości działalność gospodarczą oraz w zakresie wysokości nałożonej kary administracyjnej.
* Sygnatura akt: III OSK 2538/21