Aż cztery lata minęły od nałożenia przez UODO kary w wysokość nieco ponad 943 tys. zł na spółkę, która pozyskiwała dane z ogólnodostępnych rejestrów publicznych, ale nie poinformowała osób, których dane przetwarzała. Przez to osoby te nawet nie wiedziały, że administrator ten przetwarza ich dane osobowe i tym samym nie mogły skorzystać z przysługujących im praw np. sprostowania danych, sprzeciwu wobec dalszego ich przetwarzania.

Czytaj też: Realizacja obowiązku informacyjnego nie musi być skomplikowana

Sprawa ta od początku budziła wielkie emocje. Niektórzy zarzucali UODO, że decyzją tą uderza w brokerów danych, zajmujących się pozyskiwaniem i przetwarzaniem danych w celu ich dalszej odsprzedaży. UODO nie kwestionował jednak samego pozyskiwania danych z ogólnodostępnych rejestrów publicznych, ale po przeprowadzeniu postępowania administracyjnego uznał, że spółka nie poinformowała zdecydowanej większości osób, których dane pozyskała o tym, że stała się administratorem ich danych oraz o tym, jak dalej zamierza je przetwarzać. Takie informacje otrzymali jedynie ci, do których spółka miała adresy e-mail.

Obowiązek informacyjny: Jest czy nie 

Zdaniem UODO spółka, pozyskując dane osobowe z ogólnodostępnych rejestrów publicznych (np. KRS, CEIDG, REGON), musi spełnić obowiązek informacyjny wobec tych osób określony w art. 14 RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych poprzez bezpośrednie przekazanie informacji osobie, której dane dotyczą.

Spółka zaskarżyła tę decyzję do WSA w Warszawie, który częściowo przyznał rację organowi (sygn. II SA/Wa 1030/19). Sąd uznał, że spółka była zobligowana do spełnienia obowiązku informacyjnego wynikającego z art. 14 RODO, ale tylko wobec osób, które w momencie jej wydania aktywnie prowadziły działalność gospodarczą lub ją zawiesiły.

Decyzja UODO odnosiła się jednak nie tylko do tych osób, ale także osób, które prowadziły w przeszłości taką działalność i WSA uchylił decyzję w zakresie nakazu spełnienia  obowiązku informacyjnego wobec tej grupy osób. Ponieważ liczba osób, których prawa naruszono, miała wpływ na wymiar kary, sąd uchylił decyzję także w części dotyczącej nałożenia kary administracyjnej.

Sąd wskazał w szczególności, że w kontekście okoliczności podniesionej przez spółkę w skardze, co do braku dysponowania aktualnymi adresami osób fizycznych, które w przeszłości prowadziły jednoosobową działalność gospodarczą (zaprzestały wykonywania działalności), ustalenia organu, co do możliwości realizacji obowiązku przekazania tym osobom stosownej informacji  wymagały będą wcześniejszego dokonania przez organ ustaleń co do zgodności przetwarzania (przechowywania, wykorzystywania, ujawniania, udostępniania) tych danych z prawem unijnym, tj. RODO. Skoro spółka twierdzi, że nie posiada aktualnych adresów tych osób fizycznych, których dane przetwarza, to trzeba wziąć pod uwagę, że RODO wymaga w szczególności, by dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą, oraz by były prawidłowe i w razie potrzeby uaktualniane. Zdaniem sądu powyższe jest ściśle powiązane z obowiązkiem informacyjnym, a organ ponownie rozpoznając sprawę zobowiązany będzie uwzględnić te wskazania sądu.

Spółka wniosła jednak skargę kasacyjną od tego wyroku akcentując, że nie musiała spełniać obowiązku informacyjnego z wykorzystaniem tradycyjnej korespondencji lub telefonów z uwagi na wyłączenie z tego obowiązku ze względu na „niewspółmiernie duży wysiłek”.

To nie jest "niewspółmiernie duży wysiłek" 

NSA jednak potwierdził słuszność stanowiska przedstawionego w decyzji prezesa UODO, jak i wyroku WSA, zgodnie z którym spółka powinna spełnić obowiązek informacyjny wobec osób prowadzących działalność gospodarczą których dane pozyskała. Podkreślił, że na gruncie RODO zasadą jest transparentność przetwarzania, a wszelkie wyjątki od tej zasady, w tym  wyjątek dotyczący zwolnienia z obowiązku poinformowania osób z uwagi na „niewspółmiernie duży wysiłek” należy interpretować zawężająco i co do zasady powinien być stosowany przy przetwarzaniu danych dla celów publicznych, w szczególności statystycznych, badawczych, archiwalnych czy historycznych.

Obecnie prezes UODO zobowiązany jest ponownie rozpatrzyć sprawę w zakresie w jakim sąd uchylił decyzję administracyjną, tj. w zakresie dotyczącym przetwarzania danych osób prowadzących w przeszłości działalność gospodarczą  oraz w zakresie wysokości nałożonej kary administracyjnej.

Sygnatura akt: III OSK 2538/21