Obowiązek informacyjny RODO ma zastosowanie względem przetwarzania danych osobowych pochodzących z rejestrów publicznych
31.10.2023 | OCHRONA DANYCH OSOBOWYCH I CYBERBEZPIECZEŃSTWO
W dniu 19 września 2023 r. Naczelny Sąd Administracyjny w Warszawie oddalił skargę kasacyjną spółki Bisnode Polska (obecnie Dun & Bradstreet) od wyroku WSA w Warszawie w sprawie dotyczącej przetwarzania danych osobowych pozyskanych z publicznie dostępnych rejestrów. NSA podtrzymał stanowisko Prezesa Urzędu Danych Osobowych, zgodnie z którym pozyskiwanie danych osobowych pochodzących z takich rejestrów i ich późniejsze przetwarzanie w celach komercyjnych wymaga poinformowania o tym fakcie osób, których dane dotyczą.
Czego dotyczyła sprawa?
Decyzją z marca 2019 r. Prezes Urzędu Ochrony Danych Osobowych stwierdził, że spółka Bisnode Polska, przetwarzając w celach zarobkowych dane osób fizycznych pochodzące z publicznych rejestrów (m.in. z CEIDG, bazy REGON, MSiG), tj.: imię i nazwisko, firmę, nazwę przedsiębiorstwa, adres rejestrowy oraz inne adresy, rodzaj działalności PKD, numer telefonu, adres e-mail, adres strony internetowej oraz informacje dotyczące zakazów, uprawnień, ograniczeń lub koncesji na prowadzenie określonej działalności, czy związanymi z przedsiębiorcą zdarzeniami prawnymi, nie informowała wszystkich osób o tym fakcie (spółka realizowała obowiązek informacyjny wyłącznie względem osób, które w CEIDG podały swoje adresy e-mail). Dane zbierane przez spółkę były przetwarzane w celach związanych z opracowywaniem raportów handlowych. Prezes UODO dopatrzył się wówczas naruszenia przez spółkę zasad ochrony danych osobowych i nakazał jej dopełnienie obowiązku informacyjnego RODO w stosunku do osób fizycznych, które w dniu wydania decyzji prowadziły działalność gospodarczą, zawiesiły prowadzenie takiej działalności lub prowadziły ją w przeszłości oraz nałożył na nią administracyjną karę pieniężną w wysokości 943.470,00 złotych. Była to pierwsza nałożona w Polsce kara od momentu wejścia w życie RODO.
Od powyższej decyzji spółka złożyła skargę do WSA w Warszawie. Wyrokiem z dnia 10 grudnia 2019 r. (sygn. akt. II SA/Wa 1030/19) WSA w Warszawie częściowo uwzględnił skargę i uchylił nałożoną na spółkę karę pieniężną. Zdaniem WSA, spółka powinna zrealizować obowiązki informacyjne wynikające z przepisów RODO - jednak wyłącznie w stosunku do osób, które w dniu wydania decyzji prowadziły działalność gospodarczą lub ją zawiesiły. WSA uchylił również nałożoną na spółkę karę.
Spółka wniosła jednak skargę kasacyjną do NSA, powołując się na możliwość skorzystania z wyjątku przewidzianego w art. 14 ust. 5 lit b) RODO. Jej zdaniem w omawianym przypadku wykonanie obowiązku informacyjnego wymagałoby niewspółmiernie dużego wysiłku. NSA, wyrokiem z 19 września 2023 r., sygn. akt. III OSK 2538/21, oddalił skargę kasacyjną spółki, podzielając jednocześnie argumentację Prezesa UODO. Zdaniem NSA obowiązek informacyjny należy realizować również w stosunku do osób, których dane pozyskano z publicznie dostępnych baz danych, a przesłankę niewspółmiernie dużego wysiłku zwalniającego z obowiązku informacyjnego należy interpretować zawężająco.
Jakie wnioski dla administratorów danych płyną z omawianej sprawy?
- Przetwarzanie danych osobowych w celach komercyjnych nie jest tożsame z przetwarzaniem danych osobowych w celach związanych z wykonaniem obowiązków wynikających z powszechnie obowiązujących przepisów prawa.
- Pozyskanie danych z publicznie dostępnych rejestrów nie zwalnia administratora danych z obowiązku informacyjnego RODO.
- Niewykonanie lub ograniczenie obowiązku informacyjnego wynikającego z RODO wymaga szczegółowej analizy i powinno wynikać z faktycznego braku możliwości spełnienia tego obowiązku.
- Niewspółmiernie duży wysiłek, o którym mowa w przepisach RODO, nie może być utożsamiany z:
- wysokością kosztów, jakie administrator będzie zobowiązany ponieść w celu wykonania obowiązku informacyjnego RODO;
- ilością osób, względem których należy wykonać obowiązek informacyjny;
- obciążeniami organizacyjnymi wymagającymi oddelegowania pracowników i zasobów rzeczowych.
Jak możemy pomóc?
Jeśli nie są Państwo pewni, czy dane osobowe w Waszych przedsiębiorstwach i organizacjach są przetwarzane zgodnie z przepisami RODO w szczególności, czy prawidłowo wywiązują się Państwo z obowiązku informacyjnego względem podmiotów danych, zapraszamy do kontaktu z naszymi ekspertami, którzy:
- zweryfikują sposób realizacji obowiązku informacyjnego
- sprawdzą, czy prawidłowo przetwarzają Państwo dane osobowe
- przygotują niezbędne dokumenty
- wprowadzą zmiany w dokumentacji regulującej kwestie związane z przetwarzaniem danych osobowych
- pomogą ułożyć procesy przetwarzania danych zgodnie z obowiązującymi regulacjami prawnymi.