Wszystkie osoby zainteresowane tematyką ochrony danych osobowych na pewno ucieszy fakt, że zostało opublikowane uzasadnienie wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie w sprawie dotyczącej odwołania od pierwszej administracyjnej kary pieniężnej nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych (II SA/Wa 1030/19). Dla czytelników GDPR.pl przygotowaliśmy poniżej jego zwięzłe podsumowanie.
Warto się z nim zapoznać, bowiem po raz pierwszy sąd administracyjny wypowiedział się w kilku istotnych kwestiach na gruncie RODO.
Pierwsi będą pierwszymi
Sprawa od początku budziła wiele emocji. Z jednej strony miało to oczywiście związek z tym, że spółce zajmującej się profesjonalnym obrotem danymi przypadł niechlubny zaszczyt bycia pierwszym podmiotem po wejściu w życie RODO, na którym skupiły się działania UODO. Z drugiej strony, co w naszej ocenie bardziej istotne, sama sprawa dotyczy jednej z kluczowych kwestii, mianowicie relacji pomiędzy bardzo silnym prawem do informowania o przetwarzaniu danych osobowych, w tym stanie faktycznym zgodnie z art. 14 RODO (a wynikającym z naczelnej zasady – zasady legalności (zgodności z prawem) – wyrażonej w art. 5 ust. 1 pkt 1 RODO) a pojęciem niewspółmiernie dużego wysiłku (m.in. kosztów) zwalniającego z tego obowiązku.
Dla przypomnienia, przedmiotem działalności kontrolowanej spółki było oferowanie raportów handlowych obejmujące m.in. dane finansowe i rejestrowe firm, opis działalności przedsiębiorstw, ich kondycji finansowej, powiązania kapitałowe i osobowe. Aby świadczyć swoje usługi, Spółka przetwarza dane osobowe osób fizycznych prowadzących działalność gospodarczą, które zostały pozyskane ze źródeł ogólnie dostępnych, w tym z rejestrów publicznych, m.in. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, z Bazy REGON Głównego Urzędu Statystycznego, z Monitora Sądowego i Gospodarczego. Ponadto, Spółka przetwarzała dane osób fizycznych, które są członkami organów podmiotów wpisanych do Krajowego Rejestru Sądowego.
Brak obowiązku informacyjnego
Kwestią, na której skupił się Urząd było wspomniane zagadnienie informowania o przetwarzaniu danych osobowych wynikające z art. 14 RODO – czyli informowanie w przypadku pozyskiwania danych z innego źródła niż od podmiotów danych. Takim innym źródłem były publiczne rejestry (m.in. CEiDG, KRS). Spółka dopełniła obowiązek przekazania informacji o przetwarzaniu danych osobowych w dwojaki sposób:
- do osób, do których posiadała adresy e-mail przesłała informacje drogą elektroniczną (mniejsza grupa);
- dla pozostałych osób Spółka przygotowała i opublikowała na swojej stronie informację o przetwarzaniu danych (większa grupa).
W ocenie Spółki poinformowanie kliku milionów osób, których dane pozyskała z publicznych rejestrów byłoby działaniem „antybiznesowym”. Z jednej strony, osoby te wchodząc na „arenę przedsiębiorców” zdają sobie sprawę, że ich dane będą publicznie dostępne i mogą zostać pobrane przez nieograniczony i niezidentyfikowany krąg osób (z tego spółka wywiodła uzasadnienie do niskiego ryzyka). Z drugiej strony, poinformowanie tak szerokiego grona osób wygenerowałoby ogromne koszty, które w ocenie spółki „krytycznie wpłynęłyby na jej funkcjonowanie”. Spółka w tym zakresie powołała się między innymi na wyłączenie zawarte w art. 14 ust. 5 lit. b) RODO pozwalające na odstąpienie od informowania w sytuacji, w której takie działanie wymagałoby niewspółmiernie dużo wysiłku utrudniając realizację celów zaplanowanego przez Spółkę przetwarzania. Z argumentami tymi nie zgodził się UODO i po przeprowadzeniu postępowania nałożył karę (blisko milion złotych) oraz nakazał poinformowaniem osób, których dane przetwarza spółka. Spółka odwołała się od tej decyzji do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Rozstrzygniecie WSA
Odczytując sentencję wyroku możemy odnieść wrażenie, że jest on próbą wyważenia dóbr i trudno stwierdzić kto wyszedł z tej próby zwycięsko (spółka, UODO czy podmioty danych). Uchylono nakaz dopełnienia obowiązku poinformowania osób, które w przeszłości prowadziły jednoosobową działalność gospodarczą i jej obecnie nie prowadzą i idącą za tym karę prawie miliona złotych. Korzyść ta jest jednak pozorna. Z uzasadnienia komentowanego orzeczenia wynika, że zakres uchylonej decyzji wynika właściwie z błędów popełnionych przez UODO na etapie wydawania decyzji. W stosunku do osób, które zaprzestały prowadzenia działalności gospodarczej Spółka dysponuje bowiem jedynie historycznymi danymi teleadresowymi, które mogą być już w dużej mierze nieaktualne. Przesłanie informacji na te historyczne adresy byłoby działaniem niecelowym i sprzecznym z RODO, zobowiązywałoby bowiem do pozyskiwania danych, chociaż przekracza to racjonalny cel tego działania (dane nieaktualne, dotyczące innych osób, np. adresy nieruchomości należących do innych osób, gdzie nie prowadzi się już działalności gospodarczej) . Ponadto, UODO popełniło jeszcze kilka błędów co do zakresu osób, które faktycznie powinny zostać poinformowane. WSA zwrócił uwagę również na kilka innych elementów, jak np. legalność posiadania danych przez skarżącą spółkę, której UODO nie przeanalizowało w wystarczającym stopniu. Konsekwencją uchylenie decyzji w omawianym zakresie było też uchylenie administracyjnej kary pieniężnej. Nie przeczy to jednak w żadnym wypadku słuszności nałożenia kary, ale wyłącznie jej wysokości, która powinna zostać na nowo wyliczona.
Moje dane, moja sprawa
Co bardzo ważne, uchylając karę w omawianym wyżej zakresie WSA zwrócił uwagę, że kwestia informowania o przetwarzaniu danych osobowych ma charakter kluczowy, albowiem dotyczy podstawowych praw i wolności osób fizycznych, narusza również zasadę przejrzystości i rzetelności (art. 5 ust. 1 lit. a RODO) a wynikła z naruszenia szkoda winna być rozumiana jako pozbawienie uprawnień do korzystania przez osoby fizyczne ze swoich praw (możliwości decydowania o swoich danych osobowych, kontroli nad nimi).
W pozostałej, w naszej ocenie najważniejszej, części decyzji WSA podzielił ustalenia UODO co do obowiązku podania informacji z art. 14 ust. 1 i 2 RODO. W ocenie WSA nie zachodzi tu wyłączenie z art. 14 ust. 5 lit. a RODO, na które powoływała się Spółka. Nie trafione były również pozostałe zarzuty spółki w tym zakresie – m.in. powoływanie się na obowiązujące wyłączenia w ustawie o CEIDG (art. 45 ust. 1 – uchylonej wraz z pakietem dostosowującym polskie ustawodawstwo do RODO). Warto w tym miejscu przytoczyć część komentowanego orzeczenia, które w przejrzysty sposób pokazują interpretację przepisów przez WSA:
„(…) W ocenie Sądu pojęcie niewspółmiernie dużego wysiłku ujęte jako przesłanka wyłączająca zastosowanie art. 14 ust. 1 i 2 RODO nie może być utożsamiane z wysokością kosztów, jakie administrator zmuszony będzie ponieść w związku z koniecznością dopełnienia obowiązku, który jest w pełni możliwy do realizacji, tak jak ma to miejsce w tym przypadku. Zarówno kwestie organizacyjne w zakresie realizacji obowiązku z art. 14 ust. 1 i 2 rozporządzenia, jak i kwestie finansowe nie przeważają nad prawami osób fizycznych, których dane osobowe przetwarzane są przez administratora, w tym także w przypadku, gdy pozyskane zostały ze źródeł powszechnie dostępnych, a przetwarzane są następnie przez administratora w celach komercyjnych. Nie ma też wątpliwości, że udzielenie przez Spółkę tych informacji – w stanie faktycznym niniejszej sprawy – jest i było możliwe w odniesieniu do danych osób prowadzących jednoosobową działalność gospodarczą i osób, które zawiesiły wykonywanie działalności gospodarczej(…).”
„(…)W ocenie Sądu w art. 14 ust. 5 lit. b rozporządzenia 2016/679 – gdy mowa o niewspółmiernie dużym wysiłku – chodzi o sytuację, kiedy udzielenie informacji, o których mowa w art. 14 ust. 1 i 2 tego rozporządzenia jest obiektywnie możliwe, ale niebywale utrudnione (graniczące z brakiem możliwości udzielenia informacji). Administrator, aby udzielić tych informacji zmuszony byłby do podjęcia szeregu działań, które zmierzałyby dopiero do tego, aby udzielenie informacji stało się możliwe. (…)”
„(…)W przepisie tym nie chodzi o wydatek finansowy na samą realizację w pełni możliwego do spełnienia obowiązku, ale o trudność rzeczywistą w tym, aby w ogóle mieć możliwość jego realizacji. Interes finansowy administratora nie jest i nie może być – na gruncie rozporządzenia 2016/679 – wartością przeważającą nad prawem do uzyskania przez osobę fizyczną, której dane Spółka przetwarza, informacji (…).”
„(…) prawo do ochrony danych osobowych, o którym mowa w motywie 1 rozporządzenia 2016/679 może się realizować tylko, gdy wiemy m.in. kto przetwarza dane i w jakich celach, skąd je pozyskał, jak długo będzie je przetwarzał i komu je udostępnia. Jeśli podmiot danych tego nie wie – to nie wie też o możliwych naruszeniach jego praw. Dążenie do postępu społeczno-gospodarczego, o czym jest mowa w motywie 2 rozporządzenia 2016/679 musi uwzględniać konieczność przestrzegania praw osób, których dane wykorzystywane są w działalności gospodarczej”
Dura lex….
W naszej ocenie, z argumentacją WSA ciężko jest się nie zgodzić. Jest ona spójna i logiczna i sprowadza się do tego, że interes finansowy jakiegokolwiek podmiotu nie może przeważać nad prawami osób do realizacji swoich praw. Orzeczenie jest jednak w pewnym stopniu kontrowersyjne z uwagi na fakt, że nie mamy tu do czynienia z konsumentami a z przedsiębiorcami. Przyznanie tej samej ochrony płynącej z RODO obu tym grupom będzie niosło za sobą daleko idące konsekwencje również w innych sferach aktywności biznesowej. Przy obsłudze międzynarodowych podmiotów często spotkaliśmy się z innym podejściem do tego zagadnienia w krajach „starej unii”. Tam sytuacja jest stosunkowo prosta: konsumenci to RODO a biznes to biznes i tak długo jak dochodzi do wymiany informacji pomiędzy profesjonalistami przepisy o ochronie danych osobowych znajdują ograniczone zastosowanie.
Skarżąca Spółka będzie zmuszona poważnie rozważyć zaskarżenia omawianego orzeczenia do Naczelnego Sądu Administracyjnego. Utrzymanie się go w obecnym kształcie istotnie ingeruje w model biznesowy wykorzystywany nie tylko przez skarżącą Spółkę, ale też wiele innych podmiotów na rynku. Korzystanie z publicznych baz przedsiębiorców jest bardzo powszechne na całym świecie i dotychczas nie budziło kontrowersji. Możemy mieć tutaj do czynienia z niebezpiecznym precedensem.
Ze naszej strony na pewno będziemy śledzić dalszy rozwój wypadków i informować o nim na łamach GDPR.PL – zachęcamy do śledzenia naszych artykułów – najlepiej zapisując się na nasz Newsletter
Źródła:
Zapraszamy do lektury poniższych artykułów:
