Zasadą jest, że każdy, kto zbiera i przetwarza nasze dane, powinien nas o tym poinformować. To gwarancja autonomii informacyjnej jednostki, a w szczególności gwarancja dla wykonywania uprawnień kontrolnych związanych z przetwarzaniem danych osobowych. RODO to założenie tylko wzmocniło, z jednej strony zwiększając zakres informacji przekazywanych w ramach obowiązku informacyjnego, z drugiej przyznając osobom, których dane dotyczą, nowe, nieznane wcześniej prawa. Obowiązek informowania to fundament, na którym opiera się możliwość efektywnego korzystania z praw przyznanych przez RODO – jeżeli nie wiemy, że ktoś przetwarza nasze dane, to zwyczajnie nie możemy się temu sprzeciwić, nie możemy tych danych przenieść do innego administratora, nie możemy ich sprostować itd.

Czytaj również: Prawie milion złotych - pierwsza kara za naruszenie RODO >>

Nie ma znaczenia, że dane pochodzą z publicznych rejestrów

Trzeba też przypomnieć, że RODO zerwało ze słabszą ochroną informacji dotyczących osób prowadzących działalność gospodarczą, traktując takie informacje jak dane osobowe. Dla objęcia takich informacji ochroną przepisów RODO nie ma znaczenia źródło ich pozyskania, w szczególności fakt, że zostały zebrane ze źródeł powszechnie dostępnych, takich jak publiczne rejestry. Czy nam się to podoba, czy nie, informacje o osobach fizycznych prowadzących działalność gospodarczą należy od 25 maja 2018 r. traktować tak samo, jak inne dane osobowe. W tej sprawie stan faktyczny nie budzi wątpliwości, wątpliwości budzą wyłącznie kwestie prawne.

Spór o niewspółmierny wysiłek

Ukarana spółka twierdzi, że nie miała obowiązku informowania osób, których dane przetwarza i powołuje się przy tym na art. 14 ust. 5 lit. b RODO. Zgodnie z nim obowiązek przekazania informacji nie ma zastosowania, gdy udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. W tej sprawie udzielenie informacji było obiektywnie możliwe – ukarana spółka dysponowała adresami osób fizycznych prowadzących działalność gospodarczą. Jak jednak rozumieć drugą część przepisu, czyli niewspółmiernie duży wysiłek?  

Zobacz w LEX:
Praktyczne omówienie obowiązku informacyjnego w świetle RODO >
Jak przygotować się na kontrolę inspektorów UODO w zakresie zgodności wykorzystywanego monitoringu wizyjnego z przepisami RODO >

W polskiej literaturze za "niewspółmiernie duży wysiłek" uznaje przypadek, gdy wysiłek włożony w przekazanie informacji jest nieproporcjonalny i w danym przypadku nieuzasadniony względem celu, dla którego wysiłek ów miałby być podjęty (tak np. dr Sakowska w Komentarzu do RODO). W literaturze anglojęzycznej z kolei to sytuacja, gdy wysiłek włożony w przekazanie informacji jest nieproporcjonalny w stosunku do niedogodności spowodowanych brakiem tych informacji u osoby, której dane dotyczą (tak P. Carey w swoim Data Protection). Czy więc konieczność przekazania informacji kilku milionom przedsiębiorców była współmierna, czy niewspółmierna do ich sytuacji bez tych informacji? Przypominam, że dane tych ludzi znajdują się w bazie danych jawnej w Internecie, każdy może w dowolnym czasie i z dowolnego miejsca na świecie uzyskać dostęp do nich. Tego rodzaju rozważań niestety nie ma w uzasadnieniu decyzji.

Dokumentacja ochrony danych osobowych ze wzorami ebook

Mariusz Jagielski

Sprawdź  

Koszty obciążającą okolicznością

Analizując uzasadnienie wydaje się, że prezes UODO pominął najistotniejszą kwestię, czyli odpowiedź na pytanie o poziom wysiłku (koszty), jaki należy włożyć w przekazanie informacji osobom fizycznym prowadzącym działalność gospodarczą. Szkoda, bo na tych rozważaniach powinna się opierać cała konstrukcja nałożenia na Bisnode obowiązku przekazania informacji wraz z ukazaniem spółki za jego naruszenie. Uznano natomiast, że powołanie się na koszty przekazania informacji jako podstawę do skorzystania z art. 14 ust. 5 lit. b RODO stanowi okoliczność obciążającą ukaraną spółkę, co wydaje się być nieporozumieniem.

Potrzebna jednolita wykładnia

Tutaj też widać, jak istotne w tej sprawie może być zadanie prawnego do TSUE w kwestii interpretacji pojęcia niewspółmiernie dużego wysiłku. Takie pytanie mogłoby zmierzać w kierunku ustalenia, czy ocena niewspółmierności wysiłku na gruncie art. 14 ust. 5 lit. b RODO może być dokonywana w oderwaniu od kosztów przekazania informacji oraz bez uwzględnienia specyfiki grupy osób, których dane dotyczą i którym ma być przekazana informacja. Jest to też istotne z tego powodu, że – jak można przeczytać w wywiadzie prasowym prezesa ukaranej spółki Bisnode (Dziennik Gazeta Prawna z 28 marca 2019 r.) – działalność prowadzona w tym samym modelu przez ukaraną spółkę była przedmiotem kontroli organów nadzorczych w innych państwa Unii i nie została tam zakwestionowana. Mamy więc do czynienia z przykładem braku spójności w stosowaniu przepisów RODO, a przecież spójne stosowanie przepisów o ochronie danych osobowych było jednym z celów przyjęcia RODO.

Forum, na którym taka spójność powinna zostać zapewniona, jest Europejska Rada Ochrony Danych i tzw. procedura spójności (art. 63 i nast. RODO). I chociaż przedstawienie sprawy EROD w celu analizy nie było w tej sprawie obowiązkowe, to jednak wydaje się, że PUODO powinien – uwzględniając precedensowy charakter rozstrzygnięcia – skorzystać z art. 64 ust. 2 RODO i sprawę przedstawić Radzie. Tak się jednak nie stało, na co wskazuje uzasadnienie decyzji.