Krótko i na temat, bo i tak troszkę nie rozumiem: opublikowana kilka dni temu nowelizacja z jednej strony umożliwia pobranie danych z Krajowego Rejestru Sądowego poprzez interfejs API, z drugiej strony jako przęstepstwo traktuje nieuprawniony dostęp do informacji zgromadzonych w KRS — ale moim skromnym w nie dość jasny sposób wyjaśnia komu dokładnie wolno ubiegać się o zgodę na pobieranie danych via API (ustawa z 26 września 2025 r. o zmianie ustawy o Krajowym Rejestrze Sądowym oraz niektórych innych ustaw, Dz.U. z 2025 r. poz. 1556).
A mianowicie, w mocnym skrócie:
- Krajowy Rejestr Sądowy jest jawny i dostępny dla każdego, przez internet, za darmo, po to, żeby każdy miał jasność kto jest kim i kto może co w czyim imieniu;
- informatyzacja KRS poszła tak daleko, że dostęp do danych o wpisanych podmiotach jest możliwy — na wniosek, złożony w trybie ustawy o otwartych danych i ponownym wykorzystaniu informacji sektora publicznego — poprzez interfejs API;
- zaczynając od początku: jak rozumiem aktualnie API może posłużyć tylko do ściągnięcia danych konkretnego podmiotu, aczkolwiek bez danych osobowych osób fizycznych — nie mam bladego pojęcia czy jest jakiś trik na pobranie całości danych z rejestru…
- …i przechodząc od razu od końca: oto już za kilkanaście dni bezprawne pobranie danych z Krajowego Rejestru Sądowego — uzyskanie informacji poprzez interfejs API przez osobę nieuprawnioną — będzie przestępstwem;
art. 60a ustawy o Krajowym Rejestrze Sądowym
Kto bez uprawnienia uzyskuje z Rejestru informację za pośrednictwem usług sieciowych,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
- upraszczając: jeśli nie jesteś przekonany, iż jesteś uprawniony do uzyskiwania informacji z KRS, to nie rób tego; jeśli zatem trick na zassanie danych via API istnieje, to doradzałbym zapomnieć o nim — można myśleć o nim jako o podatności, ale budować modelu biznesowego nie ma co;
- sankcja do 2 lat więzienia odpowiada zagrożeniu za przęstepstwo przełamania lub ominięcia zabezpieczeń informacji lub nieuprawnionego dostępu do systemu teleinformatycznego (art. 267 par. 1-2 kk), więc w sumie chodzi o to samo… ale godzi się zatem zadać pytanie: co zrobić, żeby uzyskać legalny dostęp do API KRS — i jaki dokładnie czyn podlega penalizacji na podstawie nowego prawa?
- początek poszukiwania odpowiedzi na tak postawione pytanie jest łatwy: zgodnie z nowelizacją ustawy informacje z KRS będą udostępnianie „podmiotom”, poprzez interfejs sieciowy, na podstawie zgody Ministra Sprawiedliwości;
art. 4 ust. 4c-4d ustawy o Krajowym Rejestrze Sądowym
art. 4c. Centralna Informacja [Krajowego Rejestru Sądowego] udostępnia podmiotom, które uzyskały zgodę, o której mowa w ust. 4d, bezpłatnie informacje z Rejestru za pośrednictwem usług sieciowych.
4d. Minister Sprawiedliwości, w drodze decyzji administracyjnej, wyraża zgodę na udostępnianie informacji z Rejestru za pośrednictwem usług sieciowych.
- wniosek jest prosty: uprawniony dostęp do informacji z KRS wymaga zgody wyrażonej w formie decyzji…
- …ale czy to oznacza, że każdy — dowolny — podmiot będzie miał prawo zwrócić się do resortu sprawiedliwości o zgodę na dostęp do API?
- cytowane powyżej przepisy nie pozostawiają wątpliwości: jeśli „podmiot” (bezprzymiotnikowy) złoży wniosek, a minister wyda decyzję, to dane z KRS będą udostępniane;
- ale oto mamy kolejny przepis, który warunkuje — w przypadku podmiotów publicznych i podmiotów niepublicznych realizujących zadania publiczne — prawo do uzyskania zgody na dostęp do danych z KRS poprzez interfejs API od spełnienia określonych przesłanek;
art. 4 ust. 4e ustawy o Krajowym Rejestrze Sądowym
Podmiot publiczny w rozumieniu […] ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne albo podmiot niebędący podmiotem publicznym, który realizuje zadania publiczne na podstawie odrębnych przepisów albo na skutek powierzenia lub zlecenia przez podmiot publiczny ich realizacji, może wystąpić z wnioskiem o wyrażenie zgody, o której mowa w ust. 4d, jeżeli:
1) jest to niezbędne do realizacji przez ten podmiot zadań publicznych;
2) podmiot posiada i stosuje urządzenia lub systemy teleinformatyczne umożliwiające identyfikację osoby uzyskującej informacje z Rejestru, zakresu informacji oraz daty ich uzyskania;
3) podmiot ma wdrożone zabezpieczenia techniczne i organizacyjne adekwatne do oszacowanego ryzyka, zapewniające poufność, integralność, dostępność i autentyczność przetwarzanych danych.
- do tego momentu jest to całkiem logiczne: skoro władzy wolno tylko tyle, ile pozwala jej prawo, to niechaj podmioty jakkolwiek powiązane z tą władzą (nawet te, które realizują zadania publiczne) nie wściubiają nosa tam, gdzie nie trzeba, w tym niech nie zbierają i nie klonują danych, choćby były one przetwarzane w publicznie dostępnych rejestrach;
- proste i łatwe? dalej jest tylko gorzej, bo oto dalsza część nowelizacji — określająca m.in. treść wniosku o udzielenie zgody, w tym wykazanie przesłanek pozwalających na dostęp do informacji (włącznie z prawem żądania przez ministra „szczegółowego wykazania” ich spełnienia), wymóg złożenia oświadczenia, iż ściągnięte dane będą prawidłowo zabezpieczone, a także o możliwości odmowy udzielenia i cofnięcia zgody dostępu — odnosi się tylko do podmiotów publicznych oraz podmiotów niepublicznych wykonujących zadania publiczne (tj. art. 4 ust. 4g-4i oraz 4l-4m uKRS);
- natomiast przepis, zgodnie z którym podmiot, który zgodę ma, musi niezwłocznie poinformować resort sprawiedliwości o tym, że właściwie nie spełnia już przesłanek pozwalających na dostęp do informacji z KRS mówi już o „podmiocie” ogółem — acz w jego treści jest i o realizacji zadań, i o zabezpieczeniach (art. 4 ust. 4j uKRS);
- co by oznaczało, że każdy podmiot może zawnioskować, zgoda MS jest bezprzesłankowa, zaś pobrane dane nie muszą być zabezpieczone, ale już podmioty publiczne lub wykonujące zadania publiczne muszą się czymś tam powykazywać… ale jak czytam uzasadnienie projektu, to widzę, że mowa jest tylko o tym drugim przypadku;
- zmierzam do tego, że mamy średnio-długą nowelizację, która rozpisuje się tam, gdzie trzeba, ale pomija to, czego nie trzeba było pomijać — albo też niepotrzebnie rozpisuje się tam, gdzie nie trzeba, przez co unormowanie (moim skromnym zdaniem!) nie staje się przejrzyste, precyzyjne i spójne — tyle dobrego, że raczej jest jasne za co jest sankcja…
- (jakby ktoś pytał: to jest ta ustawa, z której wynika koniec obowiązku przepisywania z KRS do MSiG — i to jest dobra zmiana).
Bądźcie czujni: nowelizacja ustawy o Krajowym Rejestrze Sądowym wchodzi w życie po 14-dniowym vacatio legis, ten termin już leci.