Czy publiczna dostępność danych osobowych „zassanych” do prywatnego serwisu (np. jawne dane przedsiębiorców, które są udostępniane w CEIDG), zwalnia administratora z obowiązku informacyjnego wynikającego z art. 14 RODO? Czy „niewspółmiernie duży wysiłek” jako przesłanka zwalniająca z obowiązku informacyjnego może być rozumiany jako znaczne wydatki lub konieczność podjęcia ponadstandardowych działań? Czy nakładając karę pieniężną za naruszenie RODO organ może skupić się na funkcji odstraszającej sankcji — czy jednak zawsze musi uwzględnić też rozmiar naruszenia?
nieprawomocny wyrok WSA w Warszawie z 11 grudnia 2019 r. (II SA/Wa 1030/19)
1) Pojęcie niewspółmiernie dużego wysiłku ujęte jako przesłanka wyłączająca zastosowanie art. 14 ust. 1 i 2 rozporządzenia 2016/679 nie może być utożsamiane z wysokością kosztów, jakie administrator zmuszony będzie ponieść w związku z koniecznością dopełnienia obowiązku, który jest w pełni możliwy do realizacji.
2) Prawo do ochrony danych osobowych, o którym mowa w motywie 1 rozporządzenia 2016/679 może się realizować tylko, gdy wiemy m.in. kto przetwarza dane i w jakich celach, skąd je pozyskał, jak długo będzie je przetwarzał i komu je udostępnia. Jeśli podmiot danych tego nie wie — to nie wie też o możliwych naruszeniach jego praw.
Celem krótkiego przypomnienia: w zaskarżonej decyzji PUODO stwierdził, że prowadząca serwis internetowy (zawierający publicznie dostępne dane przedsiębiorców) spółka Bisnode nie poinformowała zainteresowanych o fakcie przetwarzania ich danych osobowych, w związku z czym nałożono na administratora karę pieniężną oraz nakazano dopełnić obowiązku określonego w art. 14 ust. 1-2 RODO (por. „Pierwsza kara za naruszenie RODO — 943 tys. złotych za brak wykonania obowiązku informacyjnego”).
artykuł 14 ust. 5 lit. a-b RODO
Ust. 1- 4 nie mają zastosowania, gdy – i w zakresie, w jakim:
a) osoba, której dane dotyczą, dysponuje już tymi informacjami;
b) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
W skardze na decyzję PUODO spółka powołała się m.in. na to, że nie posiadając danych teleadresowych osób nie można się z nimi skontaktować, co czyni decyzję niewykonalną, a przez to nieważną (art. 156 par. 1 pkt 5 kpa), zwłaszcza, że zastosowanie miał wyjątek w postaci niewspółmiernie dużego wysiłku organizacyjnego i finansowego (art. 14 ust. 5 lit. b RODO), zaś udostępniane w CEIDG dane przedsiębiorców są jawne i powszechnie dostępne (art. 45 ust. 1 i art. 50 ustawy o CEIDG; por. „Dane osobowe przedsiębiorców wpisanych w CEIDG”), zatem należy je traktować jako informacje informacje sektora publicznego podlegające prawu ponownym wykorzystywania. Co więcej zdaniem Bisnode organ celowo nałożył tak wysoką karę dla „zniechęcania” innych administratorów, przez co naruszono przepisy nakazujące jej zindywidualizowanie, w sytuacji, gdy dalsze przetwarzanie danych upublicznionych nie wyrządziło nikomu żadnej szkody.
art. 45 ust. 1 ustawy o CEIDG
Dane i informacje udostępniane przez CEIDG są jawne. Każdy ma prawo dostępu do tych danych i informacji.
WSA zauważył, że nakazując dopełnienia obowiązku informacyjnego PUODO w żaden sposób nie ustalił czy istnieje faktyczna możliwość dotarcia do wszystkich osób — zwłaszcza tych, którzy nie prowadzą już działalności gospodarczej — a których dane osobowe są nadal przetwarzane w serwisie Bisnode (co oznacza naruszenie zasady prawdy obiektywnej, art. 7 kpa). Owszem, spółka przyznaje, że przetwarza takie dane jak adres rejestrowy i inne adresy, a opcjonalnie numer telefonu — ale istnieje prawdopodobieństwo, że historyczny adres przedsiębiorców wykreślonych z CEIDG nadal może umożliwić realny kontakt z zainteresowaną osobą (por. art. 49 ust. 2 ustawy o CEIDG przewidujący 10-letnią retencję danych).
Prawidłowa ocena prawnych aspektów prowadzenia serwisów publikujących dane osobowe przedsiębiorców wymaga jednak uprzedniej analizy podstaw „przechowywania, wykorzystywania, ujawniania, udostępniania” danych w kontekście przepisów określających podstawowe zasady przetwarzania danych osobowych (art. 5 RODO) oraz zgodności przetwarzania z prawem (art. 6 RODO).
Niezależnie od tego WSA dopowiedział, iż:
- zamieszczenie informacji o przetwarzaniu danych osobowych na stronie internetowej nie jest wystarczające w świetle art. 14 ust. 1-2 RODO — bo nie każdy ma choćby wiedzę o istnieniu takiego podmiotu jak Bisnode, więc tym bardziej trudno się domyślić, że warto wejść na stronę www.bisnode.pl/rodo/;
- jawność danych zgromadzonych w CEIDG nie oznacza prawa do dowolnego ich przetwarzania przez inne podmioty w celach innych niż te dane zostały w CEIDG zgromadzone — owszem, jest całkiem możliwe, że podmioty prowadzące działalność w zakresie informacji gospodarczych mogą dane takie przetwarzać, ale w sposób zgodny z RODO, natomiast z pewnością art. 45 ust. 1 ustawy o CEIDG nie zwalnia administratora z obowiązku informacyjnego (tym bardziej podstawą nie może być art. 50 ustawy, który odnosił się do ustawy o ochronie danych osobowych z 1997 r.);
- przez niemożliwość lub niewspółmiernie duży wysiłek nie mona rozumieć kosztów lub trudności organizacyjnych — nieprzypadkowo art. 14 ust. 5 lit. b RODO odwołuje się do „przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych”, zaś wysłanie listu lub zatelefonowanie (w bazie Bisnode jest ileś tam numerów telefonów) do człowieka nie jest niemożliwe ani nie wymaga niewspółmiernie dużego wysiłku, a już na pewno nie zakłóciłoby działalności spółki w Polsce. Niewspółmiernie duży wysiłek zwalniający z obowiązku informacyjnego to raczej sytuacja, w której dotarcie do osoby jest obiektywnie niemożliwe lub niebywale utrudnione (graniczące z brakiem takiej możliwości), zaś zakres czynności umożliwiających dotarcie do osoby miałby olbrzymią skalę;
- ryzyko przetwarzania danych osobowych pozyskanych z publicznie dostępnych rejestrów nie może być oceniane przypadku jako bardzo niskie — fakt, że każdy może zapoznać się z danymi przetwarzanymi w CEIDG nie oznacza, że przedsiębiorcy prowadzący jednoosobową działalność gospodarczą nie mają prawa do ochrony danych osobowych;
- zaś prawo przetwarzania danych prowadzących działalność gospodarczą (oraz tych, które już ją zamknęły) nie może wynikać z przepisów regulujących dostęp do informacji publicznej (ponownego wykorzystywania informacji sektora publicznego (ustawy o ponownym wykorzystywaniu informacji sektora publicznego).
Dostrzeżone uchybienia proceduralne pozwoliły jednak na uchylenie zaskarżonej decyzji zarówno w zakresie nakazu poinformowania osób, których dane są przetwarzane, jak i w zakresie nałożonej na Bisnode kary pieniężnej (tu WSA przytomnie zauważył, że wysokość kary wynikała m.in. z objętości bazy danych — a przecież w serwisie przetwarzane były także dane osób będących „członkami organów spółek, fundacji lub stowarzyszeń, których przecież niniejsza decyzja nie dotyczy”). Taki błąd oznacza, że wysokość kary nie jest proporcjonalna do rozmiarów naruszenia (art. 83 ust. 1 RODO), co oznacza, że PUODO rzeczywiście postawił wyłącznie na jej odstraszający charakter. (Ponadto organ został zobowiązany do zwrócenia spółce kwoty 20,2 tys. złotych tytułem kosztów postępowania.)