Spółka Bisnode (obecnie Dun & Bradstreet) jako pierwsza doświadczyła funkcji represyjnej rodo w postaci administracyjnej kary pieniężnej. Powodem kary był brak spełnienia obowiązku informacyjnego z art. 14 rodo. Spółka oczywiście wniosła skargę do WSA a następnie skargę kasacyjną do NSA. Zobaczmy jakie racje przedstawiane były w toku sprawy, która trwała ponad 4 lata. Poniżej najciekawsze fragmenty rozstrzygnięć.

• Decyzja UODO
• Wyrok WSA
• Wyrok NSA
• Decyzja UODO w sprawie ePaństwo
• Komentarz

Decyzja z dnia 15 marca 2019 r. sygn. ZSPR.421.3.2018

(…) Kontrolą objęto przetwarzanie przez Spółkę danych osobowych pozyskiwanych ze źródeł publicznie dostępnych, w tym z rejestrów publicznych (m.in. Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, Centralnej Ewidencji i Informacji o Działalności Gospodarczej, Bazy REGON Głównego Urzędu Statystycznego). (…)

(…) W ramach swojej działalności Spółka oferuje w szczególności raporty handlowe […]. (…)

(…) W systemie informatycznym o nazwie „N[…]” (zwanym dalej: „system N[…]”) Spółka przetwarza dane osobowe osób fizycznych prowadzących działalność gospodarczą, które zostały pozyskane ze źródeł ogólnie dostępnych, w tym z rejestrów publicznych, m.in. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, z Bazy REGON Głównego Urzędu Statystycznego, z Monitora Sądowego i Gospodarczego ([…]). (…)

(…) Spółka podjęła decyzję, aby nie realizować obowiązku informacyjnego, poprzez wysłanie krótkich wiadomości tekstowych (SMS) wobec osób, których dane pozyskała ze źródeł publicznie dostępnych (w tym osób fizycznych prowadzących działalność gospodarczą), ponieważ nie posiada numerów telefonów w odniesieniu do każdej z tych osób, a także ze względu na wysokie koszty takiej akcji. Ze względu na wysokie koszty Spółka nie zdecydowała się również na spełnienie tego obowiązku drogą tradycyjnej korespondencji wysłanej do osób, których dane przetwarza ([…]).

Z wyjaśnień Spółki przedstawionych w piśmie z dnia […] lutego 2019 r. wynika, że dane przez nią przetwarzane są danymi dostępnymi publicznie, zgromadzonymi w oficjalnych, publicznych rejestrach, zakres tych danych jest stosunkowo wąski, a ryzyko dla praw i wolności osób, których dane dotyczą, związane z ich przetwarzaniem – niskie. (…)

(…) Ponadto, z wyjaśnień Spółki wynika, że realizacja obowiązku informacyjnego w jego podstawowej formie (tj. indywidualnego kontaktu z każdą osobą, której dane dotyczą) powodowałaby po stronie Spółki „niewspółmierny wysiłek”, o którym mowa w art. 14 ust. 5 lit. b rozporządzenia 2016/679, rozumiany jako obciążenie organizacyjne (tzn. konieczność oddelegowania pracowników i zasobów rzeczowych – komputerów, urządzeń biurowych – do realizacji wyłącznie tego zadania) oraz finansowe (tzn. koszt druku, przygotowania do wysyłki i nadania, w tym papieru, tonera, kopert, znaczków pocztowych, obsługi zwrotów korespondencji, ewentualnie wynagrodzenie podmiotów, którym Spółka mogłaby zlecić wykonanie tego zadania), które w krytyczny sposób zakłóciłyby funkcjonowanie Spółki w stopniu, który mógłby wiązać się z koniecznością zakończenia prowadzenia działalności w Polsce. (…)

(…) W kontekście powyższego Prezes UODO stwierdza, że samo umieszczenie informacji, wymaganych w art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679, na stronie internetowej Spółki, w sytuacji posiadania przez Spółkę danych adresowych (a niekiedy również numerów telefonów) osób fizycznych prowadzących jednoosobową działalność gospodarczą (aktualnie lub w przeszłości), umożliwiających przesłanie pocztą tradycyjną korespondencji zawierającej wymagane tym przepisem informacje (lub przekazanie ich drogą kontaktu telefonicznego), nie może być uznane za wystarczające spełnienie przez Spółkę obowiązku, o którym mowa w art. 14 ust. 1-3 rozporządzenia 2016/679. (…)

(…) W ocenie Prezesa UODO wysłanie bowiem informacji, o których mowa w art. 14 rozporządzenia 2016/679 pocztą tradycyjną, na adres osoby fizycznej prowadzącej działalność gospodarczą, lub w drodze kontaktu telefonicznego, nie jest czynnością „niemożliwą” oraz nie wymaga „niewspółmiernie dużego wysiłku”, w sytuacji posiadania przez Spółkę w bazie systemu informatycznego N[…] danych adresowych, w odniesieniu do osób fizycznych prowadzących jednoosobową działalność gospodarczą (aktualnie lub w przeszłości), a także dodatkowo – numerów telefonów – w odniesieniu do części tych osób. Wskazać w tym miejscu należy, że w odróżnieniu do ww. osób fizycznych, odmienna jest sytuacja osób będących udziałowcami lub członkami organów spółek i innych osób prawnych, których dane Spółka przetwarza. W rejestrach publicznych (w szczególności w Rejestrach KRS) brak jest bowiem danych teleadresowych tych osób, w związku z czym Spółka musiałaby poszukiwać tych danych w innych źródłach, co już mogłoby stanowić dla Spółki „niewspółmiernie duży wysiłek. (…)

(…) Prezes UODO zauważa zatem, że rozpatrywana sytuacja Spółki nie jest analogiczna do tej, która była przedmiotem oceny Naczelnego Sądu Administracyjnego w wyroku z dnia 24 stycznia 2013 r. (o sygn. akt I OSK 1827/11) ani w zakresie ilości danych, które Spółka pozyskuje z publicznie dostępnych źródeł, ani spełnienia obowiązku informacyjnego. W sprawie tamtej NSA wskazał: „Z ustaleń dokonanych przez organ wynika, iż skarżąca spółka w ramach prowadzonej działalności komercyjnej świadczenia usług polegających na udzielaniu informacji przetwarza dane o osobach prawnych oraz jednostkach organizacyjnych nieposiadających osobowości prawnej, których dane są ujawnione w Krajowym Rejestrze Sądowym (Monitor Sądowy i Gospodarczy). W zbiorach tych znajdują się również dane osobowe osób fizycznych w zakresie: imię, nazwisko, nr PESEL, pełniona funkcja, rok urodzenia. Monitory Sądowy i Gospodarczy nie zawierają danych o adresach osób fizycznych. Zasadnie skarżąca spółka podważa w tej sytuacji nałożenie przez organ ogólnie obowiązku spełnienia obowiązku informacyjnego, bez wskazania w jaki sposób i jakimi środkami administrator danych winien je uzyskać.” Natomiast, w niniejszej sprawie Spółka dysponuje znacznie szerszym zakresem danych osobowych, w tym adresami korespondencyjnymi osób fizycznych i numerami telefonów, co oznacza, że mogła spełnić obowiązek podania danych, o których mowa w art. 14 ust. 1 i 2 rozporządzenia 2016/679, wobec osób fizycznych, których dane przetwarza. (…)

II SA/Wa 1030/19 – Wyrok WSA 2019-12-11

(…) Prezes UODO ustalił m.in., że w ramach swojej działalności Spółka oferuje w szczególności raporty handlowe obejmujące m.in. dane finansowe i rejestrowe firm, opis działalności przedsiębiorstwa, jego kondycji finansowej, powiązania kapitałowe i osobowe. Spółka świadczy też usługi w zakresie udostępniania i uzupełniania baz danych swoich klientów np. marketingowych, baz danych dłużników, kontrahentów. (…)

(…) Zasadnie Prezes UODO stwierdził – w stanie faktycznym niniejszej sprawy – w odniesieniu do tych osób, że samo umieszczenie informacji, wymaganych w art. 14 ust. 1 i ust. 2 rozporządzenia 2016/679, na stronie internetowej Spółki, nie może być uznane za wystarczające spełnienie obowiązku, o którym mowa w art. 14 ust. 1 i 2 rozporządzenia 2016/679.

Nie sposób przyjąć założenie, aby każda osoba fizyczna prowadząca jednoosobową działalność gospodarczą oraz osoba fizyczna, która zawiesiła prowadzenie jednoosobowej działalności gospodarczej, których dane osobowe Spółka przetwarza, miała wiedzę choćby o nazwie Spółki […] Sp. z o.o. z siedzibą w […] i o możliwości przetwarzania swoich danych osobowych przez tę Spółkę dla celów komercyjnych (a zatem celów innych niż cel ujawnienia danych w publicznie dostępnych rejestrach, z których dane pozyskano). Trzeba podkreślić, że jeśli nie wie się o przetwarzaniu swoich danych osobowych przez określony podmiot (pozyskanych z jawnych rejestrów, ale rejestrów prowadzonych w innych celach, niż cel działalności Spółki […] Sp. z o.o.), to trudno jest takim osobom fizycznym domyślić się, że powinny poszukiwać strony internetowej tej właśnie konkretnej Spółki, żeby dowiedzieć się o przetwarzaniu swoich danych osobowych, celach tego przetwarzania i przysługujących prawach. W rozporządzeniu 2016/679 w art. 14 ust. 2 lit. f wyraźnie wskazano zresztą, że poza informacjami, o których mowa w ust. 1 (m.in. o tożsamości administratora danych, celu przetwarzania danych, podstawie prawnej przetwarzania, o odbiorcach danych osobowych, o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim), administrator danych podaje osobie, której dane dotyczą informacje niezbędne dla zapewnienia rzetelności i przejrzystości ich przetwarzania wobec osoby której dotyczą, informacje o źródle pochodzenia danych, a gdy ma to zastosowanie (jak ma to miejsce w niniejszej sprawie) czy pochodzą one ze źródeł powszechnie dostępnych.

Okoliczność bowiem, że dane i informacje udostępniane przez CEIDG są jawne i każdy ma prawo dostępu do tych danych i informacji ujawnionych w rejestrze (art. 45 ust. 1 ustawy o CEIDG) nie jest równoznaczna z możliwością dowolnego ich przetwarzania przez inne podmioty w celach innych niż te dane zostały w CEIDG zgromadzone. Rozporządzenie 2016/679 absolutnie nie wyłącza w odniesieniu do administratora takich danych osobowych, przetwarzanych dla osiągnięcia określonych celów komercyjnych, stosowania zasad i obowiązków wynikających z tego rozporządzenia, w tym właśnie obowiązku podania informacji określonych w art. 14 ust. 1 i 2 rozporządzenia 2016/679, co prawidłowo stwierdził Prezes UODO. (…)

(…) Sąd podziela twierdzenie organu, że wysłanie informacji, o których mowa w art. 14 rozporządzenia 2016/679 pocztą tradycyjną, na adres osoby fizycznej prowadzącej aktualnie jednoosobową działalność gospodarczą, adres osoby, która zawiesiła wykonywanie działalności gospodarczej lub w drodze kontaktu telefonicznego, nie jest czynnością niemożliwą oraz nie wymaga niewspółmiernie dużego wysiłku, w sytuacji posiadania przez Spółkę danych adresowych, a nadto także dodatkowo w odniesieniu do części tych osób – numerów telefonów. Zarzut naruszenia art. 14 ust. 5 lit.b) rozporządzenia 2016/679 nie jest zatem trafny. Skarżąca Spółka wskazała, że niewspółmiernie duży wysiłek, o którym mowa w art. 14 ust. 5 lit. b) rozporządzenia rozumie jako obciążenie organizacyjne (konieczność oddelegowania pracowników i zasobów rzeczowych – komputerów, urządzeń biurowych – do realizacji wyłącznie tego zadania) oraz finansowe (koszt druku, przygotowania do wysyłki i nadania, w tym papieru, tonerów, kopert i znaczków pocztowych, obsługi zwrotów korespondencji, ewentualnie wynagrodzenie podmiotów, którym skarżąca mogłaby zlecić wykonanie tego zadania), nieadekwatne do ryzyka dla osób, których dane dotyczą, które jednocześnie w krytyczny sposób zakłóciłoby funkcjonowanie przedsiębiorstwa skarżącej w stopniu, który mógłby wiązać się z koniecznością zakończenia prowadzenia przez nią działalności w Polsce.

W ocenie Sądu pojęcie niewspółmiernie dużego wysiłku ujęte jako przesłanka wyłączająca zastosowanie art. 14 ust. 1 i 2 rozporządzenia 2016/679 nie może być utożsamiane z wysokością kosztów, jakie administrator zmuszony będzie ponieść w związku z koniecznością dopełnienia obowiązku, który jest w pełni możliwy do realizacji, tak jak ma to miejsce w tym przypadku. Zarówno kwestie organizacyjne w zakresie realizacji obowiązku z art. 14 ust. 1 i 2 rozporządzenia, jak i kwestie finansowe nie przeważają nad prawami osób fizycznych, których dane osobowe przetwarzane są przez administratora, w tym także w przypadku, gdy pozyskane zostały ze źródeł powszechnie dostępnych, a przetwarzane są następnie przez administratora w celach komercyjnych. Nie ma też wątpliwości, że udzielenie przez Spółkę tych informacji – w stanie faktycznym niniejszej sprawy – jest i było możliwe w odniesieniu do danych osób prowadzących jednoosobową działalność gospodarczą i osób, które zawiesiły wykonywanie działalności gospodarczej. Sprawa niniejsza nie dotyczy przetwarzania danych osób będących członkami organów spółek, fundacji lub stowarzyszeń. Wszelkie odniesienia do trudności w pozyskaniu danych teleadresowych tych osób nie mają zatem przełożenia na grunt niniejszej sprawy, co jest oczywiste.

Nie jest zrozumiałe na gruncie tej sprawy, podnoszone przez Spółkę w odniesieniu do pojęcia niewspółmiernie dużego wysiłku twierdzenie, że w przypadku pozyskania danych osobowych z publicznie dostępnych rejestrów, ryzyko dla osób, których dane zostały pozyskane jest w „najgorszym wypadku” bardzo niskie.

Podnoszona przez Spółkę okoliczność, że każdy ma prawo i możliwość zapoznania się z danymi z rejestru CEIDG, nie jest równoznaczna – co wymaga podkreślenia – z tym, że osoby fizyczne prowadzące jednoosobową działalność gospodarczą nie mają prawa do ochrony swoich danych osobowych, w tym kontroli ich przetwarzania przez m.in. podmioty inne niż określone przepisami prawa, takie jak skarżąca Spółka (przetwarzające dane w ściśle określonych celach komercyjnych, o których osoby te (podmioty danych) nic nie wiedzą). Jeśli chodzi o przetwarzanie danych osobowych z CEIDG przez organy państwowe, to są one przetwarzane w celu realizacji zadań ustawowych, co wynika wprost z ustawy o CEIDG (art. 47 tej ustawy).

W ocenie Sądu w art. 14 ust. 5 lit b) rozporządzenia 2016/679 – gdy mowa o niewspółmiernie dużym wysiłku – chodzi o sytuację, kiedy udzielenie informacji, o których mowa w art. 14 ust. 1 i 2 tego rozporządzenia jest obiektywnie możliwe, ale niebywale utrudnione (graniczące z brakiem możliwości udzielenia informacji). (…)

(…) W ocenie Sądu nie chodzi tu o znaczne obciążenie finansowe wiążące się z koniecznością dopełnienia – w pełni możliwego do realizacji, jak w tej sprawie – obowiązku. Przez niewspółmiernie duży wysiłek nie można na gruncie rozporządzenia 2016/679 rozumieć kosztu (tak organizacyjnego, który stanowi w istocie o sposobie zorganizowania przez administratora w ramach prowadzonej działalności, wykonania tego zadania, jak i finansowego) dopełnienia w pełni możliwego do realizacji obowiązku z art. 14 ust. 1 i 2 rozporządzenia 2016/679. (…)

(…) 5. Za niezasadne Sąd uznał także wszystkie pozostałe zarzuty skargi. Zarzut naruszenia art. 14 ust. 5 lit. c) rozporządzenia 2016/679 w związku z art. 23 ust. 1 lit. c) oraz i) tegoż rozporządzenia, w związku z art. 45 ust. 1 ustawy o CEIDG, w związku z nałożonym obowiązkiem z art. 14 ust. 1 i 2 rozporządzenia 2016/679 nie jest trafny. W sprawie tej ani pozyskiwanie w celach komercyjnych przez skarżącą Spółkę danych osób fizycznych prowadzących jednoosobową działalność gospodarczą i tych osób fizycznych które zwiesiły wykonywanie działalności gospodarczej nie jest uregulowane prawem Unii ani prawem Rzeczypospolitej Polskiej, ani też ujawnianie (udostępnianie innym podmiotom w ramach komercyjnej działalności) przez Spółkę danych osobowych w związku z prowadzoną działalnością gospodarczą nie jest uregulowane prawem w znaczeniu, o którym mowa w tym przepisie rozporządzenia 2016/679. Także ustawa o CEIDG (art. 45 ust. 1) nie ogranicza obowiązku Spółki wynikającego z art. 14 ust. 1 i 2 rozporządzenia 2016/679. Próba wywodzenia tego rodzaju ograniczenia oparta przy tym na bezpieczeństwie publicznym i ochronie osoby, której dane dotyczą lub prawach i wolnościach innych osób (art. 23 ust. 1 lit. c), lit. i) rozporządzenia 2016/679) wskazuje na niezrozumienie istoty ograniczeń, o których mowa w art. 23 powołanego rozporządzenia. Raz jeszcze podkreślić trzeba, że to, iż dane i informacje udostępniane przez CEIDG są jawne, każdy ma prawo dostępu do tych danych i informacji (może się z nimi zapoznawać) nie jest równoznaczne z tym, że w odniesieniu do podmiotu, który utrwalił te dane we własnych celach i przetwarza (w tym udostępnia) je następnie w ramach prowadzonej działalności gospodarczej w celach komercyjnych, jak ma to miejsce w przypadku skarżącej, wyłączony jest obowiązek, o którym mowa w art. 14 ust. 1 i 2 rozporządzenia 2016/679. (…)

(…) 7. Za nietrafne Sąd uznał także odwołanie się do ustawy o ponownym wykorzystywaniu informacji sektora publicznego, jako aktu prawnego, który w ocenie Spółki miałby ograniczać prawo podmiotu danych do informacji. Prawo do ponownego wykorzystywania informacji sektora publicznego nie oznacza, że dane osób fizycznych prowadzących aktualnie jednoosobową działalność gospodarczą oraz osób fizycznych, które zawiesiły wykonywanie tej działalności, wyłączone są z zakresu stosowania rozporządzenia 2016/679. Wniosek taki jest nieuprawniony tak na gruncie przepisów u.p.w.i.s.p., jak i samego rozporządzenia 2016/679. (…)

Wyrok NSA

(…) Nie jest także kwestionowany przez stronę ustalony przez organ i przyjęty przez Sąd I instancji stan faktyczny w niniejszej sprawie. Sama Spółka przyznaje, że dokonuje przetwarzania danych osobowych, a wykonanie obowiązku nałożonego przez organ (w tej części, którą zaakceptował Sąd I instancji) „uniemożliwi lub poważnie utrudni realizację celów przetwarzania danych osobowych przez Spółkę”. Skarżąca Spółka pozyskuje dane osobowe ze źródeł jakimi są publicznie dostępne rejestry m.in. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, a następnie przetwarzając je poprzez ich zestawienie i analizę przygotowuje określone informacje dla swoich klientów. Zatem w swojej komercyjnej działalności Spółka dokonuje działań na dużych zbiorach danych oraz wciąż poszerza posiadaną przez siebie bazę danych liczącą „kilka milionów rekordów, którymi Skarżąca kasacyjnie administruje’. (…)

(…) Drugi natomiast powiązany został z sytuacją, gdy realizacja obowiązku informacyjnego wymagałoby niewspółmiernie dużego wysiłku od administratora danych osobowych. Prawodawca posłużył się w tym przypadku pojęciem nieostrym „niewspółmiernie dużego wysiłku„, które nie zostało zdefiniowane. Po pierwsze pamiętać należy, że mamy tu do czynienia z wyjątkiem od kardynalnej zasady rozporządzenia 2016/679 tj. zasady transparentności korzystania i przetwarzania danych osobowych i powiązanej z nią zasady informowania i jak wszystkie wyjątki musi być on interpretowany ściśle (interpretatio declarativa), a więc w sposób, który by nie dezawuował samej zasady. Dodatkowo sam prawodawca określił kierunek wykładni tego wyjątku. Chodzi o przypadki przetwarzania danych dla celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 RODO, lub o ile obowiązek, o którym mowa w art. 14 ust. 1 RODO, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania.

Wprawdzie w przepisie tym użyty został zwrot „w szczególności” podkreślający przykładowy charakter tego wyliczenia, ale należy go, zgodnie z przytoczoną wyżej zasadą wykładni, odnosić do charakteru wskazanych w tym wyliczeniu przypadków. Charakter tych przykładów dotyczy przetwarzania danych w celach ogólnych, w interesie publicznym. Są to badania naukowe lub historyczne (wolność prowadzenia badań naukowych), cele statystyczne (a zatem analiza danych i ich przetwarzanie, operowanie na dużych zbiorach w celu poznania tendencji, prawidłowości w zakresie zjawisk masowych), a także cele archiwalne, ale dokonywane tylko w interesie publicznym.

Możliwość odstąpienia od obowiązku informacyjnego poprzez zastosowanie wyjątku z art. 14 ust. 5 lit. b RODO nie obejmuje więc działalności polegającej na przetwarzaniu danych, która nie realizuje interesu publicznego, służąc w ten sposób realizacji lub ochronie innych wartości istotnych dla dobra ogółu np. w zakresie zdrowia publicznego. Dopiero, gdy ten aspekt przetwarzania danych osobowych ma miejsce, administrator może powoływać na wskazane zwolnienie z obowiązku informacyjnego wykazując jednocześnie, że jego realizacja wiązałaby się z niewspółmiernym dużym wysiłkiem.

Kiedy więc ziszczą się przesłanki do zastosowania wyjątku od obowiązku informacyjnego, prawodawca unijny w celu zminimalizowania negatywnych skutków takiej sytuacji, nakazuje administratorowi danych osobowych podjęcie środków mających na celu ochronę praw i wolności oraz prawnie uzasadnionych interesów osoby, której dane dotyczą, w tym udostępnia informacje publicznie. Wbrew twierdzeniom strony skarżącej kasacyjnie tym punktem odniesienia dla wykładni pojęcia „niewspółmiernie dużego wysiłku” nie jest wystąpienie i zakres ewentualnej szkody, jaką w konkretnych okolicznościach poniósłby podmiot w związku z brakiem informacji o przetwarzaniu danych osobowych bez jego wiedzy, gdyż taka szkoda w sferze ochrony praw przysługujących takiemu podmiotowi wynika już z samego niedopełnienia obowiązku informacyjnego i dlatego przypadkach objętych wyjątkiem na administratora nałożony został prawny obowiązek podjęcia starań jej minimalizowania. (…)

(…) Wspomniany wyjątek nie obejmuje więc przetwarzania danych osobowych w ramach prowadzonej przez stronę skarżącą kasacyjnie działalności gospodarczej, której celem jest osiąganie celów komercyjnych.

Fakt, że strona skarżąca przetwarza dane, które są powszechnie dostępne w prowadzonych publicznie rejestrach nie zmienia tej oceny. Dane gromadzone w publicznie prowadzonych rejestrach np. CEIDG służą zapewnieniu jawności w określonej sferze życia społeczno-gospodarczego. Podkreślić należy, że zamieszczenie danych osobowych w tych rejestrach jest obligatoryjne (podmiot zobowiązany do ich upublicznienia nie może się temu sprzeciwić, ani odmówić ich podania), gdyż wynika z realizacji obowiązku prawnego. Obowiązek taki ma więc charakter publicznoprawny. Podmiot zobowiązany do ujawnienia swoich danych, podaje je organowi prowadzącemu rejestr, gdyż tak nakazuje obowiązujący porządek prawny, chcąc prowadzić określoną działalność (np. gospodarczą), a nie z własnej woli. Upublicznienie w urzędowym rejestrze prawem przewidzianych danych osobowych ma w zasadzie wymiar statyczny. Każdy zainteresowany może w takim rejestrze sprawdzić ujawnione w nim informacje. Nie oznacza to jednak, że podmiot zobowiązany do ujawnienia danych w rejestrach publicznych, jednocześnie wyraża zgodę na dalsze przetwarzanie tych danych przez inne podmioty realizujące własne, gospodarcze cele. Okoliczność, że dane i informacje udostępniane przez CEIDG są jawne i każdy ma prawo dostępu do tych danych i informacji ujawnionych w rejestrze (art. 45 ust. 1 ustawy o CEIDG) nie jest równoznaczna z możliwością dowolnego ich przetwarzania przez inne podmioty w celach innych niż te dane zostały w CEIDG zgromadzone. O ile więc zamieszczenie i upublicznienie danych w rejestrze ma wymiar publicznoprawny, o tyle charakter działalności strony skarżącej kasacyjnie jest zupełnie inny – prywatny, komercyjny. Działalność prowadzona przez Spółkę nie ma charakteru publicznoprawnego, ani nie realizuje takiego celu – nie jest ona nakazana przez prawo, zlecona przez organ administracji publicznej, wyniki przetwarzania nie są powszechnie i w sposób nieograniczony dostępne erga omnes. Wręcz przeciwnie są one realizowane na zlecenie innych kontrahentów i tylko im udostępniane. (…)

(…) Nie znajduje uzasadnienia także zarzut naruszenia art. 145 § 1 pkt 1 lit. a) p.p.s.a. w zw. z art. 14 ust. 5 lit. c) RODO, polegające na jego niewłaściwym zastosowaniu i niezasadnym przyjęciu przez WSA, że prawo do ponownego wykorzystywania informacji sektora publicznego w celach komercyjnych uregulowane w przepisie art. 5 ustawy z dnia 25 lutego 2016 roku o ponownym wykorzystywaniu informacji sektora publicznego nie stanowi normy uprawniającej do pozyskiwania danych wyraźnie uregulowanego przepisami prawa krajowego w rozumieniu przepisu art. 14 ust. 5 lit. c) RODO.

Z treści powołanego art. 5 pkt 1 ustawy z dnia 25 lutego 2016 roku o ponownym wykorzystywaniu informacji sektora publicznego wynika prawo do ponownego wykorzystywania informacji sektora publicznego udostępnionych w systemie teleinformatycznym, a w szczególności na stronie podmiotowej Biuletynu Informacji Publicznej podmiotu zobowiązanego lub w centralnym repozytorium informacji publicznej, o którym mowa w art. 9a ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2018 r. poz. 1330 i 1669), zwanym dalej „centralnym repozytorium”, lub w inny sposób. Z przepisu tego nie wynikają jednak środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą, o czym jest mowa w art. art. 14 ust. 5 lit. c) RODO. Przypomnieć należy, że skarga kasacyjna jest nader sformalizowanym aktem zaskarżenia, a NSA jest związany wskazanymi w niej zarzutami i dokładny wskazaniem w nich przepisów, które zostały naruszone przez sąd I instancji z podaniem numery artykułu, ustępu, paragrafu, punktu i innych jednostek redakcyjnych. (…)

ePańtwo ZSPU.440.574.2018

Powyższy stan faktyczny warto porównać ze sprawą ePaństwo. Tu administrator również zbierał dane z publicznego rejestru, ale nie z CEIDG tylko z KRS i w związku z tym nie miał danych adresowych osób piastujących funkcję organu. Poniżej najważniejsze fragmenty:

(…) Fundacja przetwarza pozyskane z Krajowego Rejestru Sądowego, zwanego dalej również KRS lub Rejestrem, dane osobowe Skarżącego związane z jego uczestnictwem w podmiotach podlegających wpisowi do tego Rejestru. Fundacja pozyskała dane osobowe Skarżącego cyt.: „(…) ze strony internetowej podmiotu prowadzącego Krajowy Rejestr Sądowy (…) tj. Ministra Sprawiedliwości (…)” (pismo Fundacji z dnia […] października 2016 r. – w aktach sprawy). Zakres pozyskanych przez Fundację danych osobowych Skarżącego objął: jego imiona, nazwisko, numer ewidencyjny PESEL, funkcje pełnione w organach ww. podmiotów oraz informacje o uczestnictwie w nich w charakterze wspólnika (wraz ze wskazaniem ilości  i wartości udziałów). (…)

(…) Odnosząc się do zarzutów Skarżącego pełnomocnik Fundacji wskazał w szczególności cyt.: „(…) Fundacja jest podmiotem działającym na rzecz rozwoju demokracji, otwartej i przejrzystej władzy oraz zaangażowania obywatelskiego. Wykorzystując możliwości jakie stwarza ustawa  z dnia 6 września 2001 r. o dostępie do informacji publicznej oraz ustawa z dnia 25 lutego 2016 r. o ponownym wykorzystaniu informacji sektora publicznego, Fundacja podejmuje działania polegające na otwieraniu różnorakich danych publicznych i nieodpłatnym udostępnianiu ich obywatelom w serwisach internetowych prowadzonych przez Fundację (…)

(…) Jednocześnie, w ramach wyjaśnień złożonych w przedmiotowej sprawie, Fundacja stanęła na stanowisku, iż nie jest obowiązana spełniać indywidualnie w stosunku do osób, których dane przetwarza, w tym w stosunku do Skarżącego, obowiązku informacyjnego, o którym mowa  w art. 14 ust. 1 i 2 RODO (w okresie obowiązywania ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – w art. 25 ust. 1 powołanego aktu prawnego). Jak podniosła Fundacja cyt.: „(…) obowiązek informacyjny wynikający z tego przepisu nie ma zastosowania jeżeli (…) dostarczenie takich informacji wymagałoby niewspółmiernie dużego wysiłku. I właśnie z taką sytuacją mamy do czynienia w niniejszej sprawie – dostarczenie informacji wymagałoby niewspółmiernie dużego wysiłku, biorąc pod uwagę skalę takiej operacji (dziesiątki milionów rekordów) oraz okoliczność, w której mimo zebrania danych osobowych (…) nie zmienia  się zasadniczy element sytuacji prawnej podmiotów danych osobowych: ich dane są w dalszym ciągu dostępne przez sieć Internet, z dowolnego miejsca na świecie i bez żadnych ograniczeń.  Jak bowiem podnosi się w nauce prawa (…) z sytuacją niewspółmiernie dużego wysiłku będziemy mieli do czynienia wówczas, gdy wysiłek włożony w przekazanie informacji jest nieproporcjonalny w stosunku do niedogodności spowodowanych brakiem tych informacji u osoby, której dane dotyczą (…) Inne stanowisko, w szczególności przyjęcie nieograniczonego podmiotowo obowiązku informacyjnego prowadziłoby w takim przypadku do zniweczenia prawa dostępu do informacji publicznej i prawa ponownego wykorzystania informacji sektora publicznego. Tymczasem są to wartości równorzędne na poziomie Konstytucji RP i niezależne na poziomie ustawowym, korzystanie więc z jednego prawa nie może naruszać istoty drugiego (…)”. (…)

(…) Fundacja prowadzi działalność cyt.: „(…) na rzecz rozwoju demokracji, otwartej i przejrzystej władzy oraz zaangażowania obywatelskiego (…) Wykorzystując możliwości, jakie stwarza ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej oraz ustawa z dnia  25 lutego 2016 r. o ponownym wykorzystaniu informacji sektora publicznego, Fundacja podejmuje działania polegające na otwieraniu różnorakich danych publicznych i nieodpłatnym udostępnianiu ich obywatelom w serwisach internetowych prowadzonych przez Fundację (…)” (pismo Fundacji  z dnia […] października 2016 r.). W ramach realizacji powyższych celów Fundacja podejmuje działania polegające na nieodpłatnym udostępnianiu obywatelom w serwisie internetowym […] (poprzednio: […]) danych pochodzących z powszechnie dostępnych źródeł (KRS/Monitor). Tak określone cele i zadania Fundacji mają bez wątpienia prawne usprawiedliwiony charakter. Ich realizacja jest zarazem uwarunkowana przetwarzaniem danych osobowych ujawnionych w publicznie dostępnych rejestrach, w tym danych osobowych Skarżącego jako osoby pełniącej określone funkcje w podmiotach podlegających wpisowi do Rejestru. Brak zarazem podstaw do przyjęcia, że realizacja ww., prawnie uzasadnionego interesu administratora (Fundacji), polegającego na prowadzeniu działalności związanej z upowszechnianiem treści zawartych w KRS/Monitorze, musiała ustąpić wobec nadrzędnych w stosunku do niej interesów lub podstawowych praw i wolności Skarżącego, wymagających ochrony danych osobowych. Jak bowiem wskazano, przetwarzane w kwestionowany sposób dane osobowe Skarżącego, są danymi powszechnie dostępnymi. Jednocześnie zakres danych osobowych Skarżącego publikowanych w serwisie internetowym […] (wcześniej: […]) jest adekwatny (nie nadmierny) w kontekście realizowanego celu informacyjnego (dane te są w istocie publikowane w zakresie węższym w porównaniu do zakresu danych ujawnionych w KRS – nie obejmują bowiem numeru PESEL). Prezes UODO nie znajduje podstaw, by zakwestionować legalność pozyskania i dalszego przetwarzania przez Fundację, w zbiorze utworzonym dla potrzeb funkcjonowania serwisu […], informacji o numerze PESEL – w celu umożliwienia jednoznacznego odróżnienia Skarżącego od innych osób o tych samych imionach i nazwisku. Jednocześnie podkreślić należy, że numer ten nie jest przez Fundację w podanym serwisie internetowym publikowany. (…)

(…) W kontekście argumentacji przedstawionej w niniejszej sprawie przez Fundację celem wykazania legalności jej działań, zasadne jest również przytoczenie przepisów ustawy z dnia  25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego (Dz. U. 2018 r., poz. 1243 ze zm.). Zgodnie z art. 2 ust. 1 tej ustawy, przez informację sektora publicznego należy rozumieć każdą treść lub jej część, niezależnie od sposobu utrwalenia, w szczególności w postaci papierowej, elektronicznej, dźwiękowej, wizualnej lub audiowizualnej, będącą w posiadaniu podmiotów, o których mowa w art. 3. Ww. ustawa definiuje zarazem ponowne wykorzystywanie jako wykorzystywanie przez osoby fizyczne, osoby prawne i jednostki organizacyjne nieposiadające osobowości prawnej, zwane „użytkownikami”, informacji sektora publicznego,  w celach komercyjnych lub niekomercyjnych innych niż pierwotny publiczny cel, dla którego informacja została wytworzona (art. 2 ust. 2). Ustawa statuuje powszechne prawo do ponownego wykorzystywania informacji sektora publicznego udostępnionych w systemie teleinformatycznym, a w szczególności na stronie podmiotowej Biuletynu Informacji Publicznej podmiotu zobowiązanego lub w centralnym repozytorium informacji publicznej, o którym mowa w art. 9a ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2018 r. poz. 1330 ze zm.), lub w inny sposób (art. 5 pkt 1 ustawy o ponownym wykorzystywaniu informacji sektora publicznego). Ponowne wykorzystanie informacji może zostać ograniczone – podmiot zobowiązany udostępnia na swojej stronie podmiotowej Biuletynu Informacji Publicznej w menu przedmiotowym w kategorii „Ponowne wykorzystywanie” warunki ponownego wykorzystywania, jeżeli zostały przez niego określone (art. 11 ust. 1 pkt 1 ustawy o ponownym wykorzystywaniu informacji sektora publicznego) – wykorzystanie informacji pochodzących z KRS nie zostało jednak obwarowane takimi warunkami. (…)

(…) Reasumując, w kontekście art. 6 ust. 1 lit f) RODO, nie ma podstaw do stwierdzenia, iż dane osobowe Skarżącego zostały pozyskane przez Fundację w sposób sprzeczny z prawem, jak również że są w sposób nieuprawniony poddane procesowi dalszego przetwarzania. (…)

(…) Zakres danych osobowych pozyskiwanych przez Fundację z publicznie dostępnego KRS oraz poddawanych dalszemu przetwarzaniu (w tym publikacji) jest ściśle zdeterminowany celem i zakresem funkcjonowania KRS, a zarazem jest zgodny z prawnie uzasadnionym interesem administratora (art. 6 ust. 1 lit f) RODO). Dane te ograniczają się do informacji bezpośrednio związanych z uczestniczeniem przez Skarżącego w obrocie gospodarczym w charakterze członka organów, wspólnika, czy prokurenta podmiotów podlegających wpisowi do KRS. Jednocześnie, wobec spoczywającego na administratorze obowiązku poszanowania wyrażonej w art. 5 ust. 1 lit c) RODO reguły minimalizacji danych (obligującej go do ograniczenia zakresu przetwarzanych danych do niezbędnego, adekwatnego do realizowanego celu minimum), nie można zasadnie oczekiwać od Fundacji, pozyskania i przetwarzania w celach informacyjnych (wyłącznie dla celu spełnienia indywidualnie wobec Skarżącego obowiązku z art. 14 RODO), dalszych jego danych osobowych (danych adresowych) (por. także wyrok NSA z dnia 24 stycznia 2013 r. (sygn. akt:  I OSK 1827/11 oraz wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia  28 kwietnia 2014 r. sygn. akt: II SA/Wa 125/14). W tej sytuacji przyjąć należy, że w przedmiotowej sprawie znajduje zastosowanie art. 14 ust. 5 lit b) RODO – udzielenie indywidualnie Skarżącemu rzeczonych informacji jest bowiem – z przyczyn wskazanych powyżej – niemożliwe. Jednocześnie należy zgodzić się z argumentacją Fundacji, iż przyjęcie przeciwnego stanowiska oznaczałoby w istocie – wobec zakresu podmiotowego danych publikowanych w prowadzonym przez nią serwisie (ilości rekordów) – udaremnienie funkcjonowania podanego serwisu, a zatem udaremnienie Fundacji wykonywania jej zasadniczej, statutowej działalności – sprowadzającej się do dalszego udostępniania danych pozyskanych z KRS, a tym samym zniweczenia powszechnego prawa dostępu do informacji publicznej i ponownego wykorzystania informacji sektora publicznego.

Jednocześnie mając na uwadze treść informacji udostępnionych przez Fundację w ramach dokumentu „Polityka prywatności” dostępnego zarówno z poziomu strony internetowej Fundacji: […], jak również z poziomu prowadzonego przez Fundację serwisu […] (poprzednio: […]), przytoczonych szczegółowo w pkt 3 uzasadnienia faktycznego niniejszej decyzji, oceniono, że udzielając Skarżącemu w ten sposób wskazanych informacji na temat procesu przetwarzania jego danych osobowych, Fundacja spełniła warunki określone  w art. 14 ust. 5 lit b) RODO in fine. Udzielenie przedmiotowych informacji stanowiło przedsięwzięcie odpowiednich i wystarczających środków w kontekście ochrony praw i wolności Skarżącego. (…)

(…) Wedle stanowiska pełnomocnika Skarżącego, konsekwencją kwestionowanej publikacji danych osobowych Skarżącego przez Fundację cyt.: „(…) jest sytuacja, w której dowolna osoba może w dowolnej chwili uzyskać pełną wiedzę co do daty urodzenia mojego Mocodawcy, przebiegu zatrudnienia, współpracowników biznesowych i przyjaciół. Tak daleko idące informacje tworzą realne zagrożenie dla mojego Mocodawcy – czuje się on przez to niekomfortowo i obawia wykorzystania tych danych w sposób, które pozwolą na wyrządzenie mu realnej szkody. W kontekście wieku mojego Mocodawcy, nie chce on aby każda dowolna osoba, po wpisaniu jego nazwiska do ogólnie dostępnej wyszukiwarki, mogła dowiedzieć się ile ma lat. (…) tworzy to realne utrudnienia związane chociażby z procesami rekrutacyjnymi do potencjalnych nowych pracodawców i miejsc zatrudnienia. Może to także komplikować życie prywatne, osobiste i rodzinne (…)”. Podane argumenty sprowadzają się zatem do spekulacji na temat możliwego odbioru społecznego informacji na jego temat i bliżej nieokreślonych i niepewnych dalszych konsekwencji zapoznani się z nimi. W podany sposób Skarżący w żadnym razie nie wykazał istnienia po jego stronie szczególnej sytuacji rozumianej przede wszystkim jako możliwość ujawnienia zbędnych w kontekście realizowanych przez Fundację celów, jego danych osobowych związanych ze sferą ściśle prywatną, rodzinną etc. Przetwarzane przez Fundację dane są bowiem danymi powszechnie dostępnymi w związku z uczestniczeniem przez Skarżącego w szeroko rozumianym obrocie gospodarczym, zatem nie można przyjąć, że ich przetwarzanie dla potrzeb związanych z prowadzeniem serwisu […], w tym publikowanie w tym serwisie, wiąże się – choćby potencjalnie – z ingerencją w sferę jego prywatności. Dyskomfort Skarżącego związany z możliwością zapoznania się z ww. jego danymi przez dowolną osobę, pozostaje  bez wpływu na jawność tych informacji.

Reasumując, proces kwestionowanego przetwarzania danych osobowych Skarżącego przez Fundację jest realizowany legalnie, zaś żądanie Skarżącego dotyczące usunięcia jego danych  nie zasługuje na uwzględnienie. (…)

Komentarz

Są argumenty za tym, że rozstrzygnięcie Organu nadzorczego a także kontrolujących go Sądów administracyjnych jest błędne, a indywidualny obowiązek informacyjny był wyłączony z kilku powodów (na podstawie kilku przesłanek z art. 14 ust. 5 rodo).

Art. 14 rodo przewiduje 6 przesłanek wyłączających w tym jedną wspólną z art. 13, a to:

1. dysponuje już informacją (wspólna)

2. niemożliwość

3. niewspółmiernie duży wysiłek

4. utrudnienie celów przetwarzania

5. pozyskanie lub ujawnienie wyraźnie uregulowane prawem

6. tajemnica zawodowa

Dysponuje już informacją

Przedsiębiorcy, których dane dotyczą dysponowali niemal w całości informacją zawartą w klauzuli informacyjnej z art. 14. Zabrakło jednak informacji o administratorze, ponieważ CEIDG nie wskazuje konkretnego odbiorcy. Pierwsza (wspólna dla art. 13 i 14) przesłanka wyłączająca OI stanowi superfluum, wynika ona bowiem z samej definicji informowania, i obowiązywałaby nawet jeśli nie byłaby wyraźnie wyrażona. Informować to znaczy dostarczać wiedzy, która nie była znana. Funkcją obowiązku informacyjnego nie jest nauczanie (zgodnie z zasadą: powtarzanie jest matką nauki), tak żeby osoba (tu przedsiębiorca) obudzona w nocy wyrecytowała całą klauzulę z pamięci, tylko poinformowanie jej o przetwarzaniu, o którym nie wie. Ado prowadzący rejestr taki jak CEIDG informuje na podstawie art. 13 rodo o przetwarzaniu w związku z wpisem i formalnym uzyskaniem statusu przedsiębiorcy, informuje w tym również o kategorii odbiorców, że dane może pozyskać każdy zainteresowany dla celu obrotu prawnego (gospodarczego) – jawności, bezpieczeństwa obrotu gospodarczego.

Z tego względu OI nie podlega wyłączeniu na tej podstawie, ale twierdzenie że osoby nie znały również nowego celu nie jest uprawnione.

Brak zmiany celu

Bisnode nie zmieniało celu przetwarzania, robiło to co CEIDG czy inne publiczne rejestry jedynie w bardziej przyjaznej formie raportu gospodarczego, nawet jeśli dochodziło do łączenia danych z kilku rejestrów (REGON, Monitor), nie powstawał inny cel. Cel komercyjny nowego administratora był równoległy ale nie anulował zasadniczego celu przetwarzania, i cel komercyjny pozostawał bez wpływu na osoby przedsiębiorców. Miała więc miejsce kontynuacja (tożsamość) celu, cel nie był ten sam bo zmienił się ado ale był taki sam. Z punktu widzenia osoby wpisanej do CEIDG jest obojętne czy jej dane zbierze wywiadownia i przekaże klientowi w formie raportu gospodarczego, czy sam klient bez pośrednictwa wywiadowni. Natomiast przykładem na zmianę celu w związku ze scrapowaniem jest sprawa portalu publikującego dane lekarzy, jak trafnie zauważono: „Podkreślenia też wymaga, że prowadzony przez Spółkę portal […] pl nie jest wyłącznie prostym powtórzeniem treści Rejestru Praktyk Zawodowych […] prowadzonego przez […]. Użytkownicy tego portalu mogą bowiem zamieszczać komentarze przy wpisach dotyczących poszczególnych fizjoterapeutów.”. Dodanie funkcjonalności w postaci komentarzy zmieniło cel przetwarzania.

Zmiana celu aktywuje OI

Dopiero taki inny cel aktywuje obowiązek informacyjny (chyba że zajdzie inna przesłanka wyłączająca), taki OI ma, ze względu na nowy cel, doniosłość praktyczną, osoba informowana dowie się o czymś czego nie wiedziała i będzie mogła ocenić czy może kwestionować takie przetwarzanie (np. ze względu na zaproponowaną podstawę prawną) u administratora a następnie dalej.

Koszt (w tym finansowy) jest cechą wysiłku

Żaden z przepisów rodo nie wyłącza kosztu jako czynnika powodującego niewspółmierność wysiłku. Przeciwnie koszt właśnie jest głównym czynnikiem, z tego prostego względu że wysiłek jest kosztowny. Także to co WSA odrzucił wynika wprost z cechy wysiłku.

Cel administratora a cel przetwarzania

Nie wydaje się prawidłowa argumentacja NSA, cel przetwarzania nie zmienił się, zarabianie na raportach było celem administratora a nie celem przetwarzania, który pozostawał ten sam i był zgodny z interesem (dobrem) publicznym: bezpieczeństwo obrotu gospodarczego. Z punktu widzenia obowiązku informacyjnego cele administratora są nieistotne, znaczenie mają jedynie cele przetwarzania. Cele administratora (osiągnięcie korzyści) mogą być brane pod uwagę przy naruszeniu rodo, kiedy powstaje problem czy i w jakiej wysokości nałożyć karę pieniężną (art. 83 ust. 2 lit. k), co jest konsekwencją przyjętej zasady winy. Zmianę celu przetwarzania należy rozpoznać wtedy kiedy zmienia się wpływ przetwarzania na osobę, której dane dotyczą.

Utrudnianie celów przetwarzania

Bardzo ważna w kontekście sprawy (o ile nie najważniejsza) jest przesłanka utrudnienia celów przetwarzania. Celem publicznych rejestrów powielonym przez wywiadownię gospodarczą, jest udzielenie głównie przedsiębiorcom informacji na temat innych przedsiębiorców, potencjalnych kontrahentów, przed podjęciem decyzji o ewentualnej współpracy. To sprawdzenie wymaga pewnej dyskrecji. Jest czymś zupełnie nienaturalnym, żeby jeden przedsiębiorca informował drugiego, że sprawdził (ściągnął pdf) jego dane w CEIDG. Tym bardziej jest to widoczne przy zleceniu sporządzenia raportu gospodarczego. Wywiadownia działa tu w podobnym charakterze jak detektyw, z tą różnicą że ustawa o usługach detektywistycznych nie obowiązuje co do zbierania informacji ze źródeł publicznie dostępnych (działalność detektywa jest bardziej wymagająca, musi chodzić z aparatem, nie wystarczy że wejdzie na CEIDG czy do rejestru REGON). Charakter jest jednak ten sam i stwarza wymóg dyskrecji, w każdym razie dyskrecja jest wskazana, bo jej brak może niekorzystnie wpłynąć na możliwość nawiązania współpracy. Sytuacja jest specyficzna, z jednej strony nikogo nie dziwi, że kontrahent jest sprawdzany w rejestrach publicznych, czy w ogóle w Internecie, ale informowanie o tym jest żenujące, przez to jak bardzo w powszechnym odbiorze taka informacja jest zbędna. Nie do pomyślenia jest żeby wywiadownia informowała przedsiębiorcę co do którego dostała zlecenie, że zebrała jego dane z CEIDG dla celu sporządzenia raportu – to nie tylko utrudnia ale uniemożliwia cel przetwarzania. Z tych względów co do detektywa OI jest wprost wyłączony w uud co do art. 13 rodo jak również przez tajemnicę zawodową co do art. 14 rodo. Wymóg spełniania OI przez wywiadownię powoduje, że klienci mogą rezygnować z usługi i dokonywać poszukiwań informacji samodzielnie. Kto by poszedł do detektywa, gdyby ten musiał poinformować przedmiot dochodzenia o prowadzonym dochodzeniu, że np. zrobił wywiad środowiskowy i zebrał dane na jego temat. Ujawnia się tu jeszcze jeden wymiar niekonsekwencji: przyjęta w niniejszej sprawie interpretacja oznacza, że wywiadownia, która zwykle jest też firmą detektywistyczną wpisaną do rejestru, co do tej części raportu gospodarczego, która jest wykonana ze źródeł niepublicznych nie spełnia OI bo działa tajemnica zawodowa, a co do tej części raportu która pochodzi ze źródeł publicznych OI musi spełnić i kompromituje całość. Do takiej sytuacji nie dojdzie jeśli przed zleceniem wywiadownia zebrała dane i uprzednio abstrakcyjnie spełniła OI (w momencie sporządzania raportu nie będzie OI ponawiać), ale przecież nie tylko takie sytuacje mają miejsce. W niektórych przypadkach wywiadownia nie ma danych w swoich zasobach i zbiera je na zlecenie (na bieżąco). Jako procesor nie spełnia OI, ale jednocześnie kopię raportu zachowuje dla przyszłych zleceń jako administrator i tu zgodnie z rozstrzygnięciami musi być spełniony OI – efekt jest taki, że choć nie ma wskazanego konkretnego odbiorcy, przedsiębiorca dostaje klauzulę, że jego dane zostały zebrane z rejestrów publicznych na potrzeby sporządzenia raportów i jest to powiązane w czasie z negocjacjami prowadzonymi ze stroną, która zleciła raport do wywiadowni.

Wyraźnie uregulowane prawem – EROD, wykładnia contra legem

W związku z tą przesłanką jest kolejna przesłanka, które również wyłącza OI – pozyskanie lub ujawnienie wyraźnie uregulowane prawem. WSA zwraca uwagę na równoległy cel komercyjny który nie jest wyraźnie uregulowany, ale jak wskazano wyżej nie jest to cel przetwarzania tylko cel administratora i nie ma żadnego znaczenia dla podmiotów danych. Przy tej okazji należy zwrócić uwagę na błąd zawarty w Wytycznych EROD w sprawie przejrzystości, gdzie na s. 37 można przeczytać, co następuje:

66. Art. 14 ust. 5 lit. c) umożliwia zniesienie wymogów udzielenia informacji określonych w art. 14 ust. 1, art. 14 ust. 2 i art. 14. ust.4, o ile pozyskiwanie lub ujawnianie danych osobowych „jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator”. Odstępstwo to jest zależne od odnośnego prawa przewidującego „odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą”. Prawo takie musi bezpośrednio odnosić się do administratora danych, a przedmiotowe pozyskiwanie lub ujawnianie powinno być obowiązkowe dla administratora danych. W związku z tym administrator danych musi być w stanie wykazać, w jaki sposób przedmiotowe prawo odnosi się do niego i wymaga, aby pozyskał albo ujawnił odnośne dane osobowe. Chociaż to w prawie Unii lub państwa członkowskiego ma zostać sformułowane prawo w taki sposób, aby przewidywało „odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą”, administrator danych powinien zapewnić (i być w stanie wykazać) zgodność pozyskania lub ujawnienia danych osobowych z tymi środkami. Ponadto administrator danych powinien wyraźnie poinformować osobę, której dane dotyczą, że pozyskuje lub ujawnia dane osobowe zgodnie z odnośnym prawem, o ile nie istnieje prawny zakaz uniemożliwiający administratorowi danych wykonanie tych czynności. Jest to zgodne z motywem 41 RODO, w którym stwierdzono, że taka podstawa prawna lub taki akt prawny powinny być jasne i precyzyjne, a ich zastosowanie przewidywalne dla osób im podlegających – jak wymaga tego orzecznictwo Trybunału Sprawiedliwości UE i Europejskiego Trybunału Praw Człowieka.

EROD dokonuje tu wykładni niezgodnej nie tylko z funkcją OI (nie nauczanie na pamięć tylko informowanie), ale wprost z literalnym brzmieniem przepisu (contra legem). Uregulowane w prawie są nie tylko obowiązki ale również uprawnienia i zwykle obowiązkowi jednego podmiotu odpowiada uprawnienie drugiego. Skąd więc EROD przyjął że „pozyskiwanie lub ujawnianie powinno być obowiązkowe dla administratora danych”? Dlaczego np. w art. 6 ust. 1 lit. c prawodawca europejski posłużył się określeniem „obowiązku prawnego ciążącego na administratorze”? Właśnie dlatego, że prawodawca odróżnia obowiązek od regulacji, która jest pojęciem szerszym, a chciał przesłanką objąć tylko obowiązki, uprawnienia przeniósł do lit. f, gdyby chciał je pozostawić pod lit. c (tak jak było w uodo97 w art. 23 ust. 1 pkt 2) użyłby zwrotu np. „przetwarzanie jest niezbędne do zrealizowania celu wyraźnie uregulowanego prawem, któremu podlega administrator”. Jeśli CEIDG ma obowiązek ujawniać dane przedsiębiorców, to jest to ujawnienie wyraźnie uregulowane prawem dla odbiorcy, który ma wyraźnie uregulowane uprawnienie żeby te dane pozyskać. Prawodawca celowo użył tego słowa, żeby unikać rażących niekonsekwencji, żeby nie informować wtórnie w sytuacji gdy operacja ujawnienia jest wyraźnie uregulowana prawem. Dodatkowo jeśli mówimy o OI z art. 14, który dotyczy odbiorcy i gdyby miało chodzić wyłącznie o regulację jego dotyczącą to prawodawca ograniczyłby się do wskazania operacji pozyskania (zebrania) danych, ponieważ to robi odbiorca. Ponieważ prawodawca użył sformułowania „pozyskanie lub ujawnienie” to oczywiste jest że chodzi o co najmniej jednego z dwóch administratorów, podlegających prawu państwa członkowskiego lub Unii: tego który pozyskuje lub tego który ujawnia – wystarczy, że wyraźnie uregulowana jest operacja jednego z tych dwóch administratorów. Ten od którego prawo wymaga ujawnienia danych (tu CEIDG) spełnia OI z art. 13 rodo podczas gdy zbiera dane od przedsiębiorców, które następnie ujawnia. Także przesłanka ta modelowo pasuje właśnie do odbiorców danych z rejestrów publicznych bo ich operacja pozyskania jest wyraźnie uregulowana prawem dotyczącym tych rejestrów.

Organ nadzorczy i Sądy nie wypowiadały się w przedmiocie czy OI powinien spełnić administrator, który pobiera dane z CEIDG dla siebie (bez celu komercyjnego w postaci sporządzania raportów), np. żeby sprawdzić nip swojego kontrahenta i wystawić mu fakturę. Brak równoległego celu komercyjnego wyklucza jakiekolwiek wątpliwości co do zastosowania przesłanki z art. 14 ust. 5 lit. c rodo, ale przyjmując interpretację EROD należałoby tę możliwość odrzucić bo administrator nie ma obowiązku pozyskania danych potencjalnego kontrahenta z rejestru.

Otwarte dane

Na koniec warto też wspomnieć o otwartych danych. Wprawdzie ustawa i dyrektywa nie są aktami szczególnymi w stosunku do rodo, i w związku z tym przy otwieraniu danych rodo musi być respektowane (art. 6 ust. 2, art. 7 ust. 2 u.o.d.), ale w pewnym momencie ustawodawca polski wprost wyłączył OI z art. 14 rodo, w ustawie z 2016 r. (art. 7 ust. 4 u.o.d.2016). To wyłączenie nie znalazło się w nowej ustawie o otwartych danych z 2021. Fakt że ustawodawca nie zamieścił analogicznego przepisu w nowej ustawie nie oznacza jednak, że odbiorca (użytkownik) ma zawsze spełnić OI, tylko że na niego została przerzucona ocena czy zachodzą przesłanki a art. 14 ust. 5 rodo. Jest to w pełni zrozumiałe, a wyłączenie w u.o.d. z 2016 było pochopne.

Zgodnie z u.o.d.:

8) informacja sektora publicznego – każdą treść lub jej część, niezależnie od sposobu utrwalenia, w szczególności w postaci papierowej, elektronicznej, dźwiękowej, wizualnej lub audiowizualnej, będącą w posiadaniu podmiotu zobowiązanego;

11) otwarte dane – informacje sektora publicznego udostępniane lub przekazywane w postaci elektronicznej, bezwarunkowo lub z uwzględnieniem warunków, o których mowa w rozdziale 3, kompletne, aktualne, w wersji źródłowej, w otwartym i niezastrzeżonym formacie przeznaczonym do odczytu maszynowego, które są przeznaczone do bezpłatnego ponownego wykorzystywania na tych samych zasadach dla każdego użytkownika, bez konieczności potwierdzania tożsamości przez użytkownika;

12) ponowne wykorzystywanie – wykorzystywanie przez użytkowników informacji sektora publicznego w jakimkolwiek celu, z wyjątkiem wymiany informacji sektora publicznego między podmiotami zobowiązanymi wyłącznie w celu realizacji zadań publicznych;

Zgodnie z dyrektywą o.d.:

(8) Sektor publiczny w państwach członkowskich gromadzi, produkuje, reprodukuje i rozpowszechnia szeroki zakres informacji w wielu obszarach działalności, takich jak społeczeństwo, polityka, ekonomia, prawo, geografia, środowisko, pogoda, sejsmiczność, turystyka, przedsiębiorczość, patenty i edukacja. Dokumenty, sporządzane przez organy sektora publicznego pełniące funkcje wykonawcze, ustawodawcze lub sądowe, stanowią szerokie, zróżnicowane i wartościowe zasoby, które mogą być wykorzystane z korzyścią dla społeczeństwa. Dzięki temu, że informacje te, które obejmują dane dynamiczne, są udostępniane w powszechnie stosowanym formacie elektronicznym, obywatele i podmioty prawne mogą znajdować nowe sposoby ich wykorzystywania oraz tworzyć nowe, innowacyjne produkty i usługi. Państwa członkowskie i organy sektora publicznego w ramach podejmowanych przez siebie starań o zapewnienie łatwego dostępu do danych na potrzeby ponownego wykorzystywania mogą czerpać korzyści i uzyskiwać stosowne wsparcie finansowe z odpowiednich funduszy i programów Unii zapewniające upowszechnienie technologii cyfrowych lub cyfrową transformację administracji i służby publicznej.

(52) Niniejsza dyrektywa nie wpływa na ochronę osób fizycznych w odniesieniu do przetwarzania danych osobowych na podstawie prawa unijnego i krajowego, w szczególności na podstawie rozporządzenia (UE) 2016/679 i dyrektywy Parlamentu Europejskiego i Rady 2002/58/WE (18), w tym także uzupełniających przepisów prawa krajowego. Oznacza to między innymi, że ponowne wykorzystywanie danych osobowych jest dopuszczalne jedynie, gdy jest ono zgodne z zasadą celowości, jak określono w art. 5 ust. 1 lit. b) i art. 6 rozporządzenia (UE) 2016/679. Informacje anonimowe oznaczają informacje, które nie odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, lub dane osobowe zanonimizowane w taki sposób, że podmiot, którego dane dotyczą, nie jest zidentyfikowany lub jego identyfikacja nie jest już możliwa. Proces anonimizacji informacji jest sposobem pogodzenia względów przemawiających za umożliwieniem ponownego wykorzystywania informacji sektora publicznego w jak najszerszym zakresie z obowiązkami wynikającymi z przepisów o ochronie danych, ale wiąże się z kosztami. Koszt ten należy uwzględnić jako jedną z pozycji kosztów podlegających zaliczeniu do kosztu krańcowego związanego z rozpowszechnianiem danych, o których mowa w niniejszej dyrektywie.

Widać więc, że ideą otwartych danych są nowe (inne) cele dla otwartych danych, a nie takie same jak sektora publicznego. W takim razie odbiorca (nowy ado, użytkownik) nie może twierdzić że osoba, której dane dotyczą ma już informacje o przetwarzaniu, bo nie ma najważniejszej o nowym celu. W każdym przypadku trzeba rozważyć czy inna przesłanka z 6 wskazanych w art. 14 ust. 5 rodo, nie wyłączy OI.

Podsumowanie

Działalność wywiadowni gospodarczych jest nieuregulowana, a pełnią ważną i pożyteczną funkcję społeczno-gospodarczą. Wadliwa interpretacja aktu prawnego nastawionego głównie na ochronę prywatności ale w drodze dominującej wykładni znajdującego zastosowanie również do danych osobowych obejmujących życie gospodarcze jednoosobowych przedsiębiorców, paraliżuje lub co najmniej utrudnia działanie takiego podmiotu jak wywiadownia. Należy zauważyć, że najczęściej, podmiot prowadzący taką działalność jest jednocześnie:

– wywiadownią gospodarczą

– firmą windykacyjną

– firmą detektywistyczną.

Jego działalność jest wiec fragmentarycznie uregulowana, co do danych ze źródeł niedostępnych publicznie, ustawą o usługach detektywistycznych. Rodo powinno być tak interpretowane aby nie tworzyć nieuzasadnionego rozdźwięku między OI detektywa (informacja gospodarcza ze źródeł niejawnych) a OI wywiadowni (informacja gospodarcza ze źródeł jawnych jak CEIDG, KRZ czy Monitor). Jeśli bowiem podmiot nie spełnia OI jako detektyw co do danych z wywiadu środowiskowego, obserwacji itd. to tym bardziej nie powinien spełniać co danych pozyskanych z CEIDG. Wydaje się, że prawodawca europejski z wyprzedzeniem dostrzegł tego rodzaju paradoks i dlatego w art. 14 ust. 5 lit. c rodo użył sformułowania „regulacja” a nie „obowiązek”, stąd wyłączenie dotyczy również podmiotu który nie ma obowiązku pozyskać danych, ale pozyskanie jest wyraźnie uregulowane prawem, np. ustawą o CEIDG, oczywiście jeśli cel nie zostaje zmieniony, czyli dla celu dla którego działa CEIDG. Dzięki prawidłowej interpretacji rodo, to ustawa szczegółowa taka jak ustawa o CEIDG decyduje czy odbiorca ma być ujawniony. Żeby odbiorca informacji jawnej w CEIDG był podawany do wiadomości przedsiębiorcy tam zarejestrowanego (osoby, której dane dotyczą), to sama ustawa o CEIDG (regulująca udostępnianie (operację przetwarzania) specyficznej kategorii danych osobowych – dane gospodarcze) musiałaby o tym stanowić, wtedy na zasadzie lex specialis wyłączałaby art. 14 ust. 5 lit. c rodo. Należy zauważyć, że ustawa o CEIDG to nie jest ustawa, która reguluje jakieś obowiązki, przy okazji których trzeba przetwarzać dane osobowe, ustawa ta wprost, wyraźnie reguluje samo przetwarzanie (udostępnianie). Dla prawodawcy europejskiego musiało być oczywiste, że jeśli ustawodawca krajowy aż tak pochyla się nad konkretną operacją przetwarzania jaką jest ujawnienie, że wyraźnie ją reguluje w osobnej ustawie, to ta ustawa jest odpowiednim miejscem żeby decydować kto ma się o tym ujawnieniu dowiedzieć.

Trwają prace nad ustawą o działalności windykacyjnej. Jednak wedle projektu przedmiotem jej regulacji będzie tylko windykacja konsumencka, która wiąże się z licznymi ograniczeniami bo co zrozumiałe nastawiona jest na ochronę konsumenta. Windykacja biznesowa (czy tak jak w tej sprawie wywiad gospodarczy dotyczący przedsiębiorców) ma zupełnie innych charakter. Windykowany czy poddany wywiadowi gospodarczemu jest profesjonalny przedsiębiorca, który sam windykuje swoich kontrahentów. Wśród takich przedsiębiorców-dłużników są i tacy którzy ukrywają majątek, faworyzują niektórych z licznych wierzycieli itd., błędnie interpretowane rodo stwarza parawan za którym dodatkowo mogą się chować.