Obowiązek informacyjny po wyroku NSA – wnioski dla administratorów danych

1 rok temu

Sprawa pierwszej administracyjnej kary pieniężnej nałożonej w Polsce na podstawie przepisów RODO[1], która toczy się od ponad 4 lat, doczekała się rozstrzygnięcia przez Naczelny Sąd Administracyjny[2]. NSA rozstrzygnął spór pomiędzy Prezesem UODO a administratorem, na którego organ nałożył karę w wysokości blisko 950 tysięcy złotych.

Choć postępowanie formalnie jeszcze się nie zakończyło, administratorzy mogą z niego wyciągnąć ważne wnioski dotyczące spełniania obowiązku informacyjnego.

Tło sprawy

Spółka w ramach swojej bieżącej działalności tworzyła raporty handlowe. W tym celu administrator zbierał i przetwarzał dane osobowe dostępne w publicznie dostępnych rejestrach (CEIDG, Baza REGON, MSiG).

Zakres przetwarzanych w tym celu danych obejmował m.in.: imię i nazwisko, nazwę przedsiębiorstwa, adresy, rodzaj działalności PKD, informacje o zakazach, uprawnieniach, ograniczeniach lub koncesjach, związane z przedsiębiorcą zdarzenia prawne, a także jako opcjonalne – numer telefonu, adres e-mail lub adres strony internetowej.

Przetwarzane przez spółkę dane osobowe w ramach stworzonych raportów handlowych udostępniane były jej klientom wyłącznie w celach komercyjnych, polegających m.in. na weryfikacji kontrahentów.

Wnioski dla administratorów danych

Zakwestionowana została praktyka administratora polegająca na utrwalaniu i przetwarzaniu danych osobowych znajdujących się w publicznych rejestrach dla własnych celów komercyjnych w sytuacji, gdy obowiązek informacyjny wobec tych osób został spełniony przez spółkę poprzez zamieszczenie klauzuli na stronie internetowej lub nie został spełniony w ogóle. W efekcie podważono w tym przypadku możliwość powołania się na tzw. niewspółmiernie duży wysiłek w spełnieniu indywidualnie obowiązku informacyjnego (o czym więcej poniżej).

Spełnianie obowiązku informacyjnego – o czym pamiętać?

  1. Jawność oraz możliwość przeglądania danych osobowych znajdujących się w powszechnie dostępnych źródłach (rejestrach, ale nie tylko) nie oznacza, iż można je zbierać i przetwarzać na własne komercyjne potrzeby w dowolny sposób.
  2. Publiczna dostępność danych nie stanowi o automatycznym wyłączeniu zasad i obowiązków związanych z ich ochroną wynikających z RODO – należy w tym kontekście pamiętać o spełnieniu obowiązku informacyjnego.
  3. Ograniczenie obowiązków z RODO powołując się na tzw. niewspółmiernie duży wysiłek musi zostać poprzedzone dokładną analizą oraz faktycznym i realnym brakiem możliwości spełnienia obowiązku informacyjnego.
  4. Nie jest wystarczające ograniczenie lub całkowita rezygnacja ze spełnienia obowiązku informacyjnego wyłącznie na skutek stwierdzenia, iż jego realizacja wiązałaby się dla administratora z:
  • znaczną wysokością kosztów niezbędnych do poniesienia w celu jego prawidłowej realizacji (m.in. koszty przesyłek pocztowych),
  • trudnościami technicznymi lub organizacyjnymi (m.in. konieczność zaangażowania dodatkowego personelu),
  • znaczną ilością podmiotów, które należy poinformować.

Działania związane z oceną zakresu obowiązków administratora, w tym ustalenie, kiedy bezpiecznie można ograniczyć obowiązek informacyjny lub uprościć komunikację z podmiotami danych, powinny być podjęte przed rozpoczęciem przetwarzania danych.

W przypadku pytań w zakresie możliwych rozwiązań, które mogą zabezpieczyć administratorów danych w tym obszarze, zachęcamy do kontaktu.


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,

[2] Wyrok NSA z dnia 19.09.2023 r., sygn. III OSK 2538/21.

Idź do oryginalnego materiału