7 miesięcy temu
Sprawa pierwszej administracyjnej kary pieniężnej nałożonej w Polsce na podstawie przepisów RODO[1], która toczy się od ponad 4 lat, doczekała się rozstrzygnięcia przez Naczelny Sąd Administracyjny[2]. NSA rozstrzygnął spór pomiędzy Prezesem UODO a administratorem, na którego organ nałożył karę w wysokości blisko 950 tysięcy złotych.
Choć postępowanie formalnie jeszcze się nie zakończyło, administratorzy mogą z niego wyciągnąć ważne wnioski dotyczące spełniania obowiązku informacyjnego.
Tło sprawy
Spółka w ramach swojej bieżącej działalności tworzyła raporty handlowe. W tym celu administrator zbierał i przetwarzał dane osobowe dostępne w publicznie dostępnych rejestrach (CEIDG, Baza REGON, MSiG).
Zakres przetwarzanych w tym celu danych obejmował m.in.: imię i nazwisko, nazwę przedsiębiorstwa, adresy, rodzaj działalności PKD, informacje o zakazach, uprawnieniach, ograniczeniach lub koncesjach, związane z przedsiębiorcą zdarzenia prawne, a także jako opcjonalne – numer telefonu, adres e-mail lub adres strony internetowej.
Przetwarzane przez spółkę dane osobowe w ramach stworzonych raportów handlowych udostępniane były jej klientom wyłącznie w celach komercyjnych, polegających m.in. na weryfikacji kontrahentów.
Wnioski dla administratorów danych
Zakwestionowana została praktyka administratora polegająca na utrwalaniu i przetwarzaniu danych osobowych znajdujących się w publicznych rejestrach dla własnych celów komercyjnych w sytuacji, gdy obowiązek informacyjny wobec tych osób został spełniony przez spółkę poprzez zamieszczenie klauzuli na stronie internetowej lub nie został spełniony w ogóle. W efekcie podważono w tym przypadku możliwość powołania się na tzw. niewspółmiernie duży wysiłek w spełnieniu indywidualnie obowiązku informacyjnego (o czym więcej poniżej).
Spełnianie obowiązku informacyjnego – o czym pamiętać?
- Jawność oraz możliwość przeglądania danych osobowych znajdujących się w powszechnie dostępnych źródłach (rejestrach, ale nie tylko) nie oznacza, iż można je zbierać i przetwarzać na własne komercyjne potrzeby w dowolny sposób.
- Publiczna dostępność danych nie stanowi o automatycznym wyłączeniu zasad i obowiązków związanych z ich ochroną wynikających z RODO – należy w tym kontekście pamiętać o spełnieniu obowiązku informacyjnego.
- Ograniczenie obowiązków z RODO powołując się na tzw. niewspółmiernie duży wysiłek musi zostać poprzedzone dokładną analizą oraz faktycznym i realnym brakiem możliwości spełnienia obowiązku informacyjnego.
- Nie jest wystarczające ograniczenie lub całkowita rezygnacja ze spełnienia obowiązku informacyjnego wyłącznie na skutek stwierdzenia, iż jego realizacja wiązałaby się dla administratora z:
- znaczną wysokością kosztów niezbędnych do poniesienia w celu jego prawidłowej realizacji (m.in. koszty przesyłek pocztowych),
- trudnościami technicznymi lub organizacyjnymi (m.in. konieczność zaangażowania dodatkowego personelu),
- znaczną ilością podmiotów, które należy poinformować.
Działania związane z oceną zakresu obowiązków administratora, w tym ustalenie, kiedy bezpiecznie można ograniczyć obowiązek informacyjny lub uprościć komunikację z podmiotami danych, powinny być podjęte przed rozpoczęciem przetwarzania danych.
W przypadku pytań w zakresie możliwych rozwiązań, które mogą zabezpieczyć administratorów danych w tym obszarze, zachęcamy do kontaktu.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,
[2] Wyrok NSA z dnia 19.09.2023 r., sygn. III OSK 2538/21.
