Finał sądowy pierwszej w Polsce kary za naruszenie przepisów RODO

Temat dnia

Agnieszka Matłacz

RODO

Aktualności

Data dodania: 20.09.2023

Źródło: iStock

Po ponad czterech latach swój finał ma sprawa związana z nałożeniem pierwszej kary pieniężnej przez polski organ nadzorczy. Tyle czasu minęło od nałożenia kary w wysokości nieco ponad 943 tys. zł na spółkę Bisnode, która pozyskiwała dane z ogólnodostępnych rejestrów publicznych, ale nie poinformowała osób, których dane przetwarzała. Przez to osoby te nawet nie wiedziały, że administrator ten przetwarza ich dane osobowe i tym samym nie mogły skorzystać z przysługujących im praw np. sprostowania danych, sprzeciwu wobec dalszego ich przetwarzania.

Naczelny Sąd Administracyjny 19 września oddalił skargę kasacyjną spółki Bisnode (obecnie Dun & Bradstreet) od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie. Uznał tym samym, że pozyskanie danych z ogólnodostępnych rejestrów publicznych nie zwalnia spółki z obowiązku poinformowania o ich przetwarzaniu.

UODO ukarał za naruszenie obowiązku informacyjnego

Sprawa ta od początku budziła wielkie emocje. Niektórzy zarzucali UODO, że decyzją tą uderza w brokerów danych, zajmujących się pozyskiwaniem i przetwarzaniem danych w celu ich dalszej odsprzedaży. UODO nie kwestionował jednak samego pozyskiwania danych z ogólnodostępnych rejestrów publicznych, ale po przeprowadzeniu postępowania administracyjnego uznał, że spółka nie poinformowała zdecydowanej większości osób, których dane pozyskała o tym, że stała się administratorem ich danych oraz o tym jak dalej zamierza je przetwarzać. Takie informacje otrzymali jedynie ci, do których spółka miała adresy e-mail.

Zdaniem UODO spółka pozyskując dane osobowe z ogólnodostępnych rejestrów publicznych (np. KRS, CEIDG, REGON) musi spełnić obowiązek informacyjny wobec tych osób określony w art. 14 RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych poprzez bezpośrednie przekazanie informacji osobie, której dane dotyczą.

Zobacz procedurę: Realizacja obowiązku informacyjnego przy gromadzeniu danych osobowych >

Ochrona danych osobowych. Poradnik praktyczny [PRZEDSPRZEDAŻ] ebook

Dominik Lubasz, Adam Szkurłat

Sprawdź

Spółka zaskarżyła tę decyzję do WSA

Spółka zaskarżyła tę decyzję do WSA w Warszawie, który częściowo przyznał rację organowi (sygn. II SA/Wa 1030/19). Sąd uznał, że spółka była zobligowana do spełnienia obowiązku informacyjnego wynikającego z art. 14 RODO, ale tylko wobec osób, które w momencie jej wydania aktywnie prowadziły działalność gospodarczą lub ją zawiesiły. Decyzja UODO odnosiła się jednak nie tylko do tych osób, ale także osób, które prowadziły w przeszłości taką działalność i WSA uchylił decyzję w zakresie nakazu spełnienia obowiązku informacyjnego wobec tej grupy osób. Ponieważ liczba osób, których prawa naruszono, miała wpływ na wymiar kary, sąd uchylił decyzję także w części dotyczącej nałożenia kary administracyjnej.

Czytaj też w LEX: Obowiązki dokumentacyjne w przetwarzaniu danych osobowych >

Sąd wskazał w szczególności, że w kontekście okoliczności podniesionej przez Spółkę w skardze, co do braku dysponowania aktualnymi adresami osób fizycznych, które w przeszłości prowadziły jednoosobową działalność gospodarczą (zaprzestały wykonywania działalności), ustalenia organu, co do możliwości realizacji obowiązku przekazania tym osobom stosownej informacji wymagały będą wcześniejszego dokonania przez organ ustaleń co do zgodności przetwarzania (przechowywania, wykorzystywania, ujawniania, udostępniania) tych danych z prawem unijnym, tj. RODO. Skoro Spółka twierdzi, że nie posiada aktualnych adresów tych osób fizycznych, których dane przetwarza, to trzeba wziąć pod uwagę, że RODO wymaga w szczególności, by dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą, oraz by były prawidłowe i w razie potrzeby uaktualniane. Zdaniem sądu powyższe jest ściśle powiązane z obowiązkiem informacyjnym, a organ ponownie rozpoznając sprawę zobowiązany będzie uwzględnić te wskazania sądu.

Czytaj też w LEX: Obowiązki informacyjne i sposób komunikacji w stosunku do podmiotu danych >

NSA oddalił skargę kasacyjną

Spółka wniosła jednak skargę kasacyjną od tego wyroku akcentując, że nie musiała spełniać obowiązku informacyjnego z wykorzystaniem tradycyjnej korespondencji lub telefonów z uwagi na wyłączenie z tego obowiązku ze względu na „niewspółmiernie duży wysiłek”. NSA jednak potwierdził słuszność stanowiska przedstawionego w decyzji Prezesa UODO, jak i wyroku WSA, zgodnie z którym spółka powinna spełnić obowiązek informacyjny wobec osób prowadzących działalność gospodarczą których dane pozyskała. NSA podkreślił, że na gruncie RODO zasadą jest transparentność przetwarzania, a wszelkie wyjątki od tej zasady, w tym wyjątek dotyczący zwolnienia z obowiązku poinformowania osób z uwagi na „niewspółmiernie duży wysiłek” należy interpretować zawężająco i co do zasady powinien być stosowany przy przetwarzaniu danych dla celów publicznych, w szczególności statystycznych, badawczych, archiwalnych czy historycznych.

Czytaj też: Mimo upływu czasu, stosowanie przepisów RODO cały czas problematyczne >

Co dalej?

Obecnie Prezes UODO zobowiązany jest ponownie rozpatrzyć sprawę w zakresie w jakim sąd uchylił decyzję administracyjną, tj. w zakresie dotyczącym przetwarzania danych osób prowadzących w przeszłości działalność gospodarczą oraz w zakresie wysokości nałożonej kary administracyjnej.

Sygnatura akt: III OSK 2538/21

Zobacz też w LEX: Przegląd administracyjnych kar pieniężnych nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych >

RODO

Aktualności

Data dodania: 2023-09-20

Żeby widzieć komentarze musisz:

być zalogowanym do Facebooka
mieć zaakceptowaną politykę prywatności (pliki cookies)
korzystać z przeglądarki Chrome