Prawo w biznesie
Jest już uzasadnienie wyroku w sprawie Bisnode

Jest już uzasadnienie wyroku w sprawie Bisnode

Jolanta Ojczyk

RODO

Orzeczenia

Data dodania: 10.01.2020

Źródło: iStock

Jawność rejestru nie daje prawa do dowolnego przetwarzania danych z niego, w tym nie wyłącza obowiązku informacyjnego. Co więcej powinien on zostać spełniony niezależnie od daty pozyskania danych. Niewspółmiernie duży wysiłek nie może być utożsamiany z wysokością kosztów. To wnioski z opublikowanego właśnie uzasadnienia wyroku Wojewódzkiego Sądu Administracyjnego w sprawie Bisnode.

W bazie orzeczeń sądów administracyjnych został opublikowany wraz z uzasadnieniem wyrok z 11 grudnia 2019 r. w sprawie pierwszej kary prezesa Urzędu Ochrony Danych Osobowych dla spółki Bisnode za nieprzestrzeganie RODO. (sygn. II SA/Wa 1030/19), dostępny również w bazie LEX. Liczy ponad 70 tys. znaków, które zapełniają 29 stron. Prawnicy po zapoznaniu się z nim, m.in. dr Jan Byrski, adwokat i partner w kancelarii Traple Konarski Podrecki i Wspólnicy, liczą, że sprawa trafi do sądu. Z sondy przeprowadzonej przez Prawo.pl wynika bowiem, że wyrok nie jest zadowalający ani dla spółki, ani dla prezesa UODO. Andrzej Osiński, prezes Bisnode, powiedział Prawo.pl, że na chwilę obecną spółka jest w trakcie procesu przygotowania skargi kasacyjnej do Najwyższego Sądu Administracyjnego. - Wszystko wskazuje na to, że apelacja zostanie złożona w styczniu 2020 roku – dodaje. UODO nie odpowiedziało jeszcze na nasze pytanie, czy odwoła się od wyroku WSA. Z uzasadnienia wynika zaś, że choć sąd uchylił decyzję prezesa UODO, to podzielił wiele jego poglądów.

Czytaj również: UODO skontroluje ochronę danych w bankach >>

Co wynika z uzasadnienia

Co do zasady - jak pisaliśmy na Prawo.pl - Wojewódzki Sąd Administracyjny w Warszawie w składzie Iwona Maciejuk (przewodnicząca i sędzia sprawozdawca), Andrzej Góraj i Danuta Kania częściowo uchylił decyzję prezesa Urzędu Ochrony Danych Osobowych, w tym karę w wysokości 943 tysięcy złotych dla firmy Bisnode, bo UODO nie ustalił, czy istnieje możliwość faktycznego dotarcia informacji o przetwarzaniu danych do osób fizycznych, które nie prowadzą już działalności gospodarczej. Fakt nie spełnienia wobec nich obowiązku był bowiem podstawą nałożenia kary. Sąd zaś nie miał podstaw, aby przyjąć, że nałożona kara pieniężna jest proporcjonalna do stwierdzonego naruszenia.

Jawność rejestru nie wyłącza obowiązku informacyjnego

Ponadto WSA uznał za odpowiadające prawu postanowienie prezesa UODO nakazujące spółce dopełnienie obowiązku wobec osób fizycznych aktualnie prowadzących jednoosobową działalność gospodarczą oraz tych, które zawiesiły jej wykonywanie. Sąd podkreślił, że nie sposób przyjąć, że mają one wiedzę choćby o nazwie spółki i o tym, że przetwrza ona ich dane dla celów komercyjnych, a zatem innych niż cel ujawnienia ich w publicznie dostępnych rejestrach, z których zostały pozyskane. - A jeśli nie wie się o przetwarzaniu swoich danych przez określony podmiot, to trudno jest domyślić się, że należy poszukiwać strony internetowej tej właśnie konkretnej spółki, żeby dowiedzieć się o tym i przysługujących prawach - podkreślił sąd. Okoliczność, że informacje udostępniane przez CEIDG są jawne i każdy ma prawo dostępu do nich nie jest równoznaczna z możliwością dowolnego ich przetwarzania przez inne podmioty w celach innych niż te dla których zostały w CEIDG zgromadzone.

Ochrona danych osobowych. Kontrola i postępowanie w sprawie naruszenia przepisów. Poradnik ze wzorami

Mirosław Gumularz, Patrycja Kozik
Sprawdź

Koszt to nie jest niewspółmierny wysiłek

Sąd podzielił pogląd UODO, że spełnienie obowiązku informacyjnego przez wysłanie tradycyjną pocztą listu lub w drodze kontaktu telefonicznego, nie jest czynnością niemożliwą oraz nie wymaga niewspółmiernie dużego wysiłku. Spółka wskazała, że niewspółmiernie duży wysiłek, o którym mowa w art. 14 ust. 5 lit. b RODO rozumie jako obciążenie organizacyjne (konieczność oddelegowania pracowników i zasobów rzeczowych - komputerów, urządzeń biurowych - do realizacji wyłącznie tego zadania) oraz finansowe (koszt druku, przygotowania do wysyłki i nadania, w tym papieru, tonerów, kopert i znaczków pocztowych, obsługi zwrotów korespondencji, ewentualnie wynagrodzenie podmiotów, którym skarżąca mogłaby zlecić wykonanie tego zadania), nieadekwatne do ryzyka dla osób, których dane dotyczą, które jednocześnie w krytyczny sposób zakłóciłoby funkcjonowanie przedsiębiorstwa skarżącej w stopniu, który mógłby wiązać się z koniecznością zakończenia prowadzenia przez nią działalności w Polsce. W ocenie Sądu pojęcie niewspółmiernie dużego wysiłku nie może być jednak utożsamiane z wysokością kosztów. Sąd nie zgadza się również z poglądem, że ryzyko dla osób, których dane zostały pozyskane jest w "najgorszym wypadku" bardzo niskie. Co więcej sąd uznał, że obowiązek informacyjny należy też spełnić wobec osób, których dane zostały pozyskane przed 25 maja 2018 roku, a więc przed dniem w którym zaczęto stosować RODO>

Ustawa o o ponownym wykorzystywaniu informacji sektora publicznego nie wyłącza RODO

Za nietrafne sąd uznał także odwołanie się do ustawy o ponownym wykorzystywaniu informacji sektora publicznego, jako aktu prawnego, który w ocenie spółki miałby ograniczać prawo podmiotu danych do informacji. Prawo do ponownego wykorzystywania informacji sektora publicznego nie oznacza, że dane osób fizycznych prowadzących aktualnie jednoosobową działalność gospodarczą oraz osób fizycznych, które zawiesiły jej wykonywanie wyłączone są z zakresu stosowania RODO. Wniosek taki jest nieuprawniony. Sąd wskazał, że zgodnie z motywem 171 RODO przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów.

Wyrok WSA w Warszawie z 11 grudnia 2019 r., sygn. II SA/WA 1030/19.

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.

RODO

Orzeczenia

Data dodania: 2020-01-10

Żeby widzieć komentarze musisz:

być zalogowanym do Facebooka
mieć zaakceptowaną politykę prywatności (pliki cookies)
korzystać z przeglądarki Chrome

Czytaj także

Prezes Bisnode: Przez internet też można powiadomić o przetwarzaniu danych

Prawo gospodarcze Małe i średnie firmy RODO

Wysłanie listów o przetwarzaniu danych do wszystkich osób z bazy, z której korzysta firma, mogłoby kosztować nawet 33 mln zł - mówi Andrzej Osiński, prezes zarządu Bisnode Polska. I dodaje, że już w kilku krajach Unii Europejskiej organy ochrony danych za dobrą praktykę uznały brak konieczności wysyłki listu w wersji papierowej do każdej osoby, a uznają komunikację internetową.

Jolanta Ojczyk

19.12.2019

UODO: Sąd przyznał nam rację

RODO

Urząd Ochrony Danych Osobowych wydał stanowisko po wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie w sprawie decyzji dotyczącej spółki Bisnode. Przede wszystkim zwraca w nim uwagę, że co do zasady sąd przyznał mu rację, a uchylenie kary związane jest jedynie ze zmianą liczby podmiotów danych dotkniętych naruszeniem. Wszystko wskazuje, że prezes UODO nie odwoła się.

Jolanta Ojczyk

12.12.2019

Prawie milion złotych - pierwsza kara za naruszenie RODO

RODO

Pierwsza kara nałożona przez Edytę Bielak-Jomaa, prezes UODO, wynosi 943 tysiące złotych. Spółka Bisnode ma zapłacić za to, że nie wysłała do każdej osoby prowadzącej działalność gospodarczą informacji o tym, że przetwarza jej dane. Decyzja już wzbudza kontrowersje wśród prawników, bo chodzi o dane pozyskane z jawnych rejestrów, a spełnienie obowiązku informacyjnego może kosztować spółkę miliony złotych.

Jolanta Ojczyk

25.03.2019