Poprzedni artykuł w numerze
A nalizowany w glosie problem dotyczy możliwości wyłączenia wtórnego obowiązku informacyjnego w oparciu o art. 14 ust. 5 lit. b RODORozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej RODO. wobec osób fizycznych prowadzących działalność gospodarczą, których dane pochodzą z jawnych, publicznych rejestrów. Dane tego typu są ogólnie dostępne dla innych osób (w tym innych uczestników obrotu gospodarczego). W razie ich pobrania w celu dalszego przetwarzania do własnych celów przez nowego administratora danych niezbędne jest rozstrzygnięcie, czy w każdym przypadku powinien zostać spełniony obowiązek informacyjny, czy też możliwe jest jego wyłączenie w oparciu o jedną z przesłanek wskazanych w art. 14 ust. 5 RODO.
W analizowanym orzeczeniu organ nadzorczy uznał, że duże koszty przy realizacji wtórnego obowiązku informacyjnego po stronie administratora danych nie dają podstaw do jego wyłączenia na podstawie art. 14 ust. 5 lit. b RODO (tym samym nie stanowią niewspółmiernie dużego wysiłku).
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z 15.03.2019 r. (ZSPR.421.3.2018)Zob. https://uodo.gov.pl/decyzje/ZSPR.421.3.2018.
Na podstawie art. 104 § 1 ustawy z 14.06.1960 r. – Kodeks postępowania administracyjnegoDz.U. z 2018 r. poz. 2096 ze zm. oraz art. 7 ust. 1 i 2, art. 60 i art. 101 ustawy z 10.05.2018 r. o ochronie danych osobowychDz.U. z 2018 r. poz. 1000 ze zm. w zw. z art. 12 ust. 1, art. 14 ust. 1–3 i art. 58 ust. 2 lit. d i lit. i oraz z art. 83 ust. 5 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1 ze zm.). po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez X. sp. z o.o. Prezes Urzędu Ochrony Danych Osobowych, stwierdzając naruszenie przez X. sp. z o.o. przepisów art. 14 ust. 1–3 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, polegające na niepodaniu informacji zawartych w art. 14 ust. 1 i 2 wyżej powołanego rozporządzenia wszystkim osobom fizycznym, których dane osobowe X. sp. z o.o. przetwarza, prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalności:
1) nakazuje X. sp. z o.o. dopełnienie obowiązku podania informacji określonych w art. 14 ust. 1 i 2 rozporządzenia, osobom fizycznym, których dane osobowe X. sp. z o.o. przetwarza, prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą oraz osobom fizycznym, które zawiesiły wykonywanie tej działalności, którym informacje te nie zostały podane – w terminie trzech miesięcy od dnia doręczenia niniejszej decyzji;
2) nakłada na X. sp. z o.o., za naruszenie stwierdzone w niniejszej decyzji, administracyjną karę pieniężną w wysokości 943.470,00 PLN (słownie: dziewięćset czterdzieści trzy tysiące czterysta siedemdziesiąt złotych).
Zgodnie ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych (Prezes UODO) z uzasadnienia decyzji z 15.03.2019 r. (ZSPR.421.3.2018) przekazanie informacji, o których mowa w art. 14 RODO, poprzez wysłanie ich pocztą tradycyjną na adres osoby fizycznej prowadzącej działalność gospodarczą, lub w drodze kontaktu telefonicznego nie jest czynnością „niemożliwą” oraz nie wymaga „niewspółmiernie dużego wysiłku”, jeżeli administrator danych osobowych posiada dane kontaktowe (takie jak adres prowadzenia działalności gospodarczej lub numer telefonu). Organ nadzorczy wyraźnie odróżnił przy tym osoby fizyczne prowadzące działalność gospodarczą od osób będących udziałowcami lub członkami organów spółek i innych osób prawnych. W rejestrach publicznych (w szczególności w KRS) brak jest bowiem danych teleadresowych tych osób, w związku z czym administrator danych osobowych musiałby poszukiwać tych danych w innych źródłach, co w ocenie organu już mogłoby stanowić „niewspółmiernie duży wysiłek”.
1. Zarys problemu – kontekst decyzji Prezesa UODO – przetwarzanie danych z jawnych, publicznie dostępnych rejestrów
Problem pozyskiwania danych osobowych z jawnych Nie wszystkie dane podlegające wpisowi do CEIDG są jawne. Zgodnie z art. 43 ust. 1 ustawy z 6.03.2018 r. o centralnej ewidencji i informacji o działalności gospodarczej i punkcie informacji dla przedsiębiorcy (Dz.U. z 2018 r. poz. 647) CEIDG udostępnia zawarte w niej dane i informacje, o których mowa w art. 5 ust. 1 i 2, z wyjątkiem numeru PESEL, daty urodzenia oraz danych kontaktowych, o których mowa w art. 5 ust. 1 pkt 7, w przypadku gdy podając je, osoba uprawniona sprzeciwiła się ich udostępnianiu w CEIDG., publicznie dostępnych rejestrów i możliwości ich dalszego wykorzystywania (w tym do celów komercyjnych) nie jest problemem nowym – istniał on już bowiem na gruncie poprzednio obowiązującej ustawy o ochronie danych osobowych Dz.U. z 2016 r. poz. 922 ze zm. Ustawa utraciła moc 25.05.2018 r., z wyjątkiem niektórych przepisów w zakresie określonym w art. 175 ustawy z 10.05.2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000).. Szczególne trudności związane są w tym przypadku z realizacją tzw. „wtórnego” obowiązku informacyjnego, o którym mowa w art. 14 RODO. Kwestia ta pozostaje szczególnie problematyczna w odniesieniu do danych dotyczących osób fizycznych prowadzących działalność gospodarczą (JDG), które są wprawdzie uczestnikami profesjonalnego obrotu gospodarczego (przedsiębiorcami), jednak po 25.05.2018 r. w kontekście przepisów o ochronie danych osobowych traktowane są tak samo jak wszystkie inne osoby fizyczneW uzasadnieniu do rządowego projektu ustawy o ochronie danych osobowych (druk nr 2410) wskazano, że wyłączenie stosowania RODO z motywu 14 RODO może dotyczyć w pewnym zakresie osób prawnych oraz tzw. „ułomnych osób prawnych”. „W ocenie projektodawcy, pojęcie «osoby prawnej» powinno być intepretowane w świetle legislacji krajowej, obejmując również swoim zakresem tzw. ułomne osoby prawne. Pojęcie danych o firmie i formie prawnej oraz danych kontaktowych powinno obejmować dane konieczne do oznaczania osoby prawnej w obrocie gospodarczym, przy czym nie jest możliwym uznanie, że są to wszystkie dane zawarte przykładowo w Krajowym Rejestrze Sądowym” – zob. http://www.sejm.gov.pl/Sejm8.nsf/druk. xsp?nr=2410.W poprzednio obowiązującym stanie prawnym stosowanie przepisów o ochronie danych osobowych było w różnym zakresie wyłączane w odniesieniu do danych dotyczących JDG Poprzednio, do 1.01.2012 r. obowiązywał art. 7a ust. 2 ustawy z 19.11.1999 r. – Prawo działalności gospodarczej, zgodnie z którym dane osobowe znajdujące się w CEIDG nie podlegały w ogóle pod przepisy ustawy o ochronie danych osobowych, następnie pomiędzy 1.01.2012 r. a 19.05.2016 r. dane znajdujące się w CEIDG podlegały pod przepisy o ochronie danych osobowych, a od 19.05.2016 r. obowiązywał art. 39b ustawy z 2.07.2004 o swobodzie działalności gospodarczej który częściowo wyłączał przepisy ustawy o ochronie danych osobowych (uchylona przez ustawę z 6.03.2018 r. Przepisy wprowadzające ustawę – Prawo przedsiębiorców oraz inne ustawy dotyczące działalności gospodarczej). Do 4.05.2019 r. obowiązywał jeszcze art. 50 ustawy z 6.03.2018 r. o centralnej ewidencji informacji o działalności i punkcie informacji dla przedsiębiorcy, zgodnie z którym do jawnych danych i informacji udostępnianych przez CEIDG nie stosowało się przepisów ustawy z 29.08.1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), z wyjątkiem przepisów art. 14–19a i art. 21–22a oraz rozdziału 5 tej ustawy. Ponieważ jednak wskazany przepis w momencie rozpoczęcia stosowania RODO odnosił się do już nieobowiązujących przepisów ustawy o ochronie danych osobowych, co do zasady, należałoby więc uznać, że nie znajdował on zastosowania już od 25.05.2018 r.. Kwestie zmian stanu prawnego w odniesieniu do danych JDG były już przedmiotem rozważań w literaturzeZob. szerzej J. Ciesielski, Rejestry przedsiębiorców a ochrona danych osobowych, „Przegląd Prawa i Administracji” 2018/112 oraz P. Fajgielski, Jawność obrotu gospodarczego a prywatność przedsiębiorcy będącego osobą fizyczną – aspekty prawne (w:) Prywatność a jawność – bilans 25-lecia i perspektywy na przyszłość, red. A. Mednis, Warszawa 2016..
Pozyskiwanie z publicznie dostępnych źródeł w celach komercyjnych danych dotyczących uczestników profesjonalnego obrotu gospodarczego realizowane jest przez różne podmioty, w szczególności świadczące szeroko pojęte usługi wywiadu gospodarczego (np. wywiadownie gospodarcze, które poprzez tzw. biały wywiad gromadzą informacje z ogólnie dostępnych źródeł na temat innych przedsiębiorców). Podmioty te pełnią ważną funkcję w profesjonalnym obrocie gospodarczym, pomagając swoim klientom na podstawie udostępnianych informacji ocenić rzetelność kontrahentów. Działalność wywiadowni ma zatem istotne znaczenie z punktu widzenia potrzeby zapewnienia bezpieczeństwa, przejrzystości i pewności obrotu gospodarczegoMożliwość wykorzystywania informacji sektora publicznego z wyłączeniem konieczności realizacji wtórnego obowiązku informacyjnego przewidziano w przepisach ustawy z 25.02.2018 r. o ponownym wykorzystaniu informacji sektora publicznego (Dz.U. z 2018 r. poz. 1243 ze zm.). Z uwagi jednak na wąski zakres wyłączenia wskazany w art. 7 ust. 4 tej ustawy przepisy te nie znajdą raczej praktycznego zastosowania w odniesieniu do danych osobowych osób fizycznych prowadzących działalność gospodarczą..
2. Stan faktyczny – na podstawie ustaleń dokonanych przez Prezesa UODO
W przedmiotowej sprawie spółka, wobec której organ prowadził postępowanie, pozyskiwała na przestrzeni wielu lat dane przedsiębiorców z publicznie dostępnych źródeł (w tym dane JDG). W bazie spółki znajdowały się dane ok 3,59 mln osób fizycznych prowadzących aktualnie działalność gospodarczą oraz które zawiesiły tą działalność oraz 2,33 mln osób fizycznych prowadzących w przeszłości działalność gospodarczą.
Przed dniem rozpoczęcia stosowania RODO spółka wysłała informację o przetwarzaniu danych osobowych na wszystkie adresy poczty elektronicznej posiadane w bazie danych przypisane do przedsiębiorców prowadzących działalność gospodarczą. W trakcie trwania kampanii spółka wysłała 902.837 wiadomości elektronicznych.
Spółka zamieściła także na swojej stronie internetowej klauzulę informacyjną odpowiadającą wymogom wynikającym z art. 14 ust. 1 i 2 RODO. Podjęła natomiast decyzję, aby nie realizować obowiązku informacyjnego, poprzez wysłanie krótkich wiadomości tekstowych (SMS), z uwagi na fakt, że nie posiadała numerów telefonów w odniesieniu do każdej z tych osób, a także ze względu na koszty takiej akcji. Ze względu na wysokie koszty spółka nie zdecydowała się również na spełnienie tego obowiązku drogą tradycyjnej korespondencji.
Spółka w wyjaśnieniach przekazanych do organu nadzorczego wskazała, że realizacja obowiązku informacyjnego w jego podstawowej formie (tj. indywidualnego kontaktu z każdą osobą, której dane dotyczą) powodowałaby po stronie spółki „niewspółmierny wysiłek”, o którym mowa w art. 14 ust. 5 lit. b RODO, rozumiany jako obciążenie organizacyjne (tzn. konieczność oddelegowania pracowników i zasobów rzeczowych – komputerów, urządzeń biurowych – do realizacji wyłącznie tego zadania) oraz finansowe (tzn. koszt druku, przygotowania do wysyłki i nadania, w tym papieru, tonera, kopert, znaczków pocztowych, obsługi zwrotów korespondencji, ewentualnie wynagrodzenie podmiotów, którym spółka mogłaby zlecić wykonanie tego zadania), które w krytyczny sposób zakłóciłyby funkcjonowanie spółki w stopniu, który mógłby wiązać się z koniecznością zakończenia prowadzenia działalności w PolsceZob. decyzja Prezesa Urzędu Ochrony Danych Osobowych z 15.03.2019 r. (ZSPR.421.3.2018)..
Argumentacja taka nie została podzielona przez organ nadzorczy, który wydał decyzję nakazującą dopełnienie obowiązku podania informacji określonej w art. 14 ust. 1 i 2 RODO w terminie 3 miesięcy od dnia jej doręczenia oraz nałożył administracyjną karę pieniężną w wysokości 943 470,00 PLN za naruszenie stwierdzone w decyzji Kara odpowiadała 220.000 euro, przeliczonym na podstawie art. 103 ustawy z 10.05.2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) według średniego kursu ogłoszonego przez Narodowy Bank Polski w tabeli kursów euro z 28.01.2019 r. (1 euro = 4,2885 PLN)..
3. Legalność pozyskiwania danych osobowych z jawnych, publicznie dostępnych źródeł
Niezależnie od wątpliwości co do zasadności zawartego w decyzji nakazu w zakresie dopełnienia wtórnego obowiązku informacyjnego warto odnotować, że organ nadzorczy nie zakwestionował podstawy prawnej przetwarzania danych osobowych, chociaż expressis verbis się do tego nie odniósł. Dotyczy to zarówno danych osób pochodzących z Krajowego Rejestru SądowegoW tym zakresie podtrzymane zostało stanowisko zaprezentowane wcześniej w decyzji z 30.01.2019 r. dotyczącej Fundacji ePaństwo, jak również stanowisko wynikające z wyroku NSA z 24.01.2013 r. (I OSK 1827/11) dotyczące legalności zbierania takich danych, wydane na podstawie starej ustawy o ochronie danych osobowych., jak również danych JDG (pochodzących z CEIDG lub z innych publicznie dostępnych źródełPrzykładem może być Krajowy rejestr urzędowy podmiotów gospodarki narodowej prowadzony przez Prezesa GUS na podstawie art. 41 ust. 1 pkt 1 ustawy z 29.08.1995 r. o statystyce publicznej (Dz.U. z 2019 r. poz. 649); Rejestr pośredników kredytowych, do którego wpisywani są pośrednicy kredytu hipotecznego i agenci oraz pośrednicy kredytowi w rozumieniu art. 5 pkt 3 ustawy z 12.05.2011 r. o kredycie konsumenckim (Dz.U. z 2018 r. poz. 993 ze zm.) prowadzony przez Komisję Nadzoru Finansowego na podstawie art. 62 ust. 1 ustawy o kredycie hipotecznym oraz o nadzorze nad pośrednikami kredytu hipotecznego i agentami (Dz.U. z 2017 r. poz. 819 ze zm.). W obu tych rejestrach znajdują się dane osobowe osób fizycznych prowadzących działalność gospodarczą (np. imię i nazwisko, adres prowadzenia działalności, numer NIP).), niezależnie od tego, czy osoby te prowadzą aktualnie taką działalność, zawiesiły ją bądź zaprzestały jej prowadzenia. Tym samym orzeczenie daje podstawy do przyjęcia, że podmioty komercyjne mogą legalnie przetwarzać dane pochodzące z publicznie dostępnych źródeł w oparciu o przesłankę prawnie uzasadnionego interesu administratora (i odbiorców danych). Takim prawnie uzasadnionym interesem w przypadku wywiadowni gospodarczych może być np. możliwość zbierania i udostępniania innym uczestnikom obrotu gospodarczego poprawnych i rzetelnych informacji dotyczących prowadzonej działalności gospodarczej i sytuacji przedsiębiorców, które służą zapewnieniu bezpieczeństwa, przejrzystości i pewności tego obrotu Podobnie w decyzji z 30.01.2019 r. dotyczącej Fundacji ePaństwo organ wskazał, że „w kontekście art. 6 ust. 1 lit. f RODO, nie ma podstaw do stwierdzenia, iż dane osobowe skarżącego zostały pozyskane przez fundację w sposób sprzeczny z prawem, jak również że są w sposób nieuprawniony poddane procesowi dalszego przetwarzania”.. Stanowisko takie w ocenie autorów zasługuje na pełną aprobatę, jakkolwiek negatywnie należy ocenić brak stanowiska organu odnośnie możliwości zastosowania wyłączenia, o którym mowa w motywie 14 RODO Organ niestety nie odniósł się do możliwości zastosowania wyłączenia wskazanego w motywie 14 RODO, które – przynajmniej w zakresie danych ujawnionych w KRS – mogłoby w ocenie autorów znaleźć zastosowanie; zob. szerzej J. Byrski, Outsourcing w działalności dostawców usług płatniczych, Warszawa 2018, s. 363–364., w części dotyczącej jawnych danych osobowych z KRS. Podstawowym celem udostępniania danych w publicznie dostępnych rejestrach jest bowiem możliwość ich dalszego wykorzystywania w celu identyfikacji i weryfikacji uczestników obrotu gospodarczego (zarówno reprezentantów spółek prawa handlowego, jak i osób fizycznych prowadzących działalność gospodarczą). Tym samym jakiekolwiek ograniczenie możliwości zbierania i dalszego wykorzystywania danych osobowych z publicznie dostępnych rejestrów odbywałoby się ze szkodą dla jawności i przejrzystości obrotu gospodarczego.
Równie istotne wydaje się rozstrzygnięcie, czy osoby, których dane zostały pozyskane z jawnych rejestrów publicznych utworzonych na podstawie właściwych przepisów prawa, mogą zgłosić skuteczny sprzeciw wobec przetwarzania (w tym udostępniania) ich danych osobowych na podstawie art. 21 ust. 1 RODO. W ocenie autorów taki sprzeciw, co do zasady, nie powinien być skuteczny, przynajmniej w zakresie, w jakim dotyczy dalszego przetwarzania jawnych danych służących zapewnieniu jawności i przejrzystości obrotu gospodarczego, chyba że osoba, której dane dotyczą, byłaby w stanie wykazać jej szczególną sytuację. Organ nadzorczy niestety nie zajął stanowiska w tej kwestii.
4. Moment realizacji obowiązku informacyjnego a zmiany stanu prawnego na przestrzeni ostatnich lat
Organ nadzorczy w uzasadnieniu decyzji w ogóle nie odniósł się do kwestii związanych z przepisami obowiązującymi w dacie zbierania danych. Decyzja odnosi się do wszystkich danych jednoosobowych przedsiębiorców zebranych w ciągu ponad 25 lat działalności spółki, niezależnie od tego, czy w dacie zbierania danych wobec tych kategorii danych znajdowały zastosowanie przepisy o ochronie danych osobowych. Trudno nie zwrócić uwagi na fakt, że stan prawny na przestrzeni ostatnich lat wielokrotnie ulegał zmianie (co zostało już wskazane wyżej). Nie był on także jasny, jeśli chodzi o stosowanie RODO z uwagi na wątpliwości co do zakresu, w jakim należało dostosować przetwarzanie danych do przepisów RODO w tzw. „okresie przejściowym”. Zgodnie z art. 99 RODO Rozporządzenie weszło w życie dwudziestego dnia po publikacji w „Dzienniku Urzędowym Unii Europejskiej”, jednak zastosowanie miało dopiero od 25.05.2018 r. Z motywu 171 RODO wynikał obowiązek dostosowania do przepisów RODO w terminie dwóch lat od jego wejścia w życie przetwarzania toczącego się w dniu jego rozpoczęcia. Obowiązek określony w motywie 171 RODO nie wskazywał jednak jednoznacznie na konieczność realizowania obowiązku informacyjnego wobec osób, których dane zostały zebrane przed rozpoczęciem jego stosowania, jeżeli przepisy takiego obowiązku nie przewidywały wcześniej.
Wiele wątpliwości – nie tylko w kontekście obowiązku określonego w art. 14 RODO, ale również w art. 13 RODO – budziła ewentualna konieczność realizacji obowiązku informacyjnego w zakresie określonym w RODO, jeśli dane zostały zebrane przed rozpoczęciem jego stosowania. Jakkolwiek Grupa Robocza art. 29Grupa Robocza art. 29 ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, która została zastąpiona przez Europejską Radę Ochrony Danych, https:// edpb.europa.eu/edpb_pl zalecała w wytycznych dotyczących przejrzystości czynne powiadamianie o zmianach lub uzupełnieniach informacji dotyczących prywatności, to jako działania minimalne wskazała publiczne udostępnienie tego typu informacji (np. na stronie internetowej administratora danych), zastrzegając jedynie, że czynne powiadomienie powinno mieć miejsce w odniesieniu do istotnych lub znacznych zmian lub uzupełnień informacji dotyczących prywatnościZob. szerzej „Wytyczne w sprawie przejrzystości na podstawie rozporządzenia 2016/679”, 17/PL WP260 rev.01, s. 5.. Tymczasem organ w uzasadnieniu swojej decyzji wskazał, że Grupa Robocza art. 29 we wskazanych wyżej wytycznych zaakcentowała konieczność czynnego powiadamiania osób, co nie jest w pełni zgodne z treścią wytycznych.
Zalecenia wskazane przez Grupę Roboczą art. 29 nie zostały jednak w żaden sposób zestawione przez organ nadzorczy z przesłanką określoną w art. 14 ust. 5 lit. b RODO, dającą możliwość wyłączenia wtórnego obowiązku informacyjnego. Poza tym zalecenia te, jakkolwiek stanowią istotną wskazówkę interpretacyjną, nie mają charakteru prawnie wiążącego, a z całą pewnością nie zwalniają organu od uwzględnienia przy wydawaniu decyzji wszystkich istotnych okoliczności sprawy.
Ponadto wydaje się, że jeśli w dacie zebrania danych Dotyczy to danych pozyskiwanych z CEIDG, w odniesieniu do których w różnych okresach w całości lub w części wyłączone były przepisy o ochronie danych osobowych. nie znajdowały w ogóle zastosowania przepisy dotyczące obowiązku informacyjnego, trudno mówić o obowiązku jego realizacji w późniejszym terminie (zwłaszcza bezpośrednio), co w ogóle nie było przedmiotem rozważań organu. W świetle powyższego realizacja obowiązku informacyjnego (np. poprzez wysłanie informacji drogą pocztową lub SMS ) – przynajmniej w odniesieniu do danych, wobec których w dacie ich zebrania wyłączone były przepisy o ochronie danych osobowych – mogłaby być rozpatrywana w kategoriach dobrej praktyki, a nie jednoznacznego obowiązku prawnego. Takie działania zostały przez spółkę w rozsądnym zakresie przeprowadzone (wysłanie informacji e-mailowej). Wydaje się, że literalna wykładnia art. 13 RODO również wskazuje, że obowiązek informacyjny tam określony należy spełnić w momencie zbierania danych (a nie później, na etapie ich dalszego przetwarzania). Podobnie w przypadku art. 14 RODO – spełnienie ma mieć miejsce „w rozsądnym terminie”, co do zasady nie później niż miesiąc po zebraniu danych. Tym samym obowiązek informacyjny – pierwotny, jak i wtórny – ma charakter jednorazowy; trudno zatem wymagać jego realizacji, jeśli nie było takiej konieczności w dacie zbierania danych.
Organ nadzorczy niestety nie rozważył tych kwestii, przyjmując, że obowiązek informacyjny wskazany w art. 14 RODO należy spełnić wobec wszystkich jednoosobowych przedsiębiorców, niezależnie od tego, w jakiej dacie ich dane zostały zebrane, bez podania szerszego uzasadnienia w tym zakresie.
Wreszcie organ nadzorczy nie odniósł się do art. 14 ust. 3 RODO, w którym określono termin, w jakim należy podać wymagane informacje. Organ najwyraźniej opowiedział się za dominującym stanowiskiem, zgodnie z którym w każdym przypadku należy przyjąć miesięczny termin wskazany w art. 14 ust. 3 lit. a RODOPodobne stanowisko zajęła także Grupa Robocza art. 29; zob. szerzej „Wytyczne w sprawie przejrzystości na podstawie rozporządzenia 2016/679”, 17/PL WP260 rev.01, s. 15–18, a także część przedstawicieli doktryny – Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, red. M. Sakowska-Baryła, Warszawa 2018., mimo że literalne brzmienie art. 14 ust. 3 RODO może budzić wątpliwości, a w doktrynie pojawiają się także odmienne interpretacje, według których określony w art. 14 ust. 3 lit. a RODO termin powinien być traktowany jako przepis ogólny, stosowany jeśli nie zachodzą szczególne przypadki określone w lit. b lub c tego przepisuZob. szerzejRozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych iswobodnym przepływem takich danych. Komentarz,red. P. Litwiński,Warszawa 2018..
W przypadku wywiadowni gospodarczych istotą prowadzenia działalności jest m.in. dalsze ujawnianie danych innym odbiorcom (tj. klientom wywiadowni). W tym przypadku (niezależnie od konieczności przeanalizowania możliwości wyłączenia wtórnego obowiązku informacyjnego na podstawie art. 14 ust. 5 lit. b RODO) należałoby rozważyć skorzystanie z możliwości określonych w art. 14 ust. 3 lit. c RODO. Przesłanka ta (traktowana samodzielnie) oznaczałaby, że spełnienie wtórnego obowiązku informacyjnego, przy założeniu, że planowane jest dalsze ujawnianie danych innemu odbiorcy, powinno mieć miejsce dopiero w momencie tego ujawnienia, a nie w momencie zebrania danych.
5. Pojęcie „niemożliwości lub niewspółmiernie dużego wysiłku” przy realizacji wtórnego obowiązku informacyjnego – stanowisko Prezesa UODO oraz argumenty przemawiające za przyjęciem odmiennej interpretacji
Organ nadzorczy w bardzo pobieżny sposób odniósł się do kwestii „niewspółmiernie dużego wysiłku”, przyjmując a priori, że w przypadku spółki nie można wziąć pod uwagę tej przesłanki. Co ciekawe, nie odniósł się on przy tym do wytycznych zawartych w motywie 62 RODO Zgodnie z motywem 62 RODO nałożenie obowiązku udzielenia informacji nie jest jednak konieczne, jeżeli osoba, której dane dotyczą, dysponuje już tymi informacjami, jeżeli utrwalenie lub ujawnienie danych są wyraźnie przewidziane prawem, lub jeżeli poinformowanie osoby, której dane dotyczą, okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Sytuacja braku możliwości lub niewspółmiernie dużego wysiłku może zachodzić w szczególności w przypadku, gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym. Należy przy tym uwzględnić liczbę osób, których dane dotyczą, okres przechowywania danych oraz wszelkie przyjęte odpowiednie zabezpieczenia.. Jednoznacznie natomiast w nim wskazano, że przy dokonywaniu takiej oceny należy uwzględnić m.in. liczbę osób, których dane dotyczą, okres przechowywania danych oraz wszelkie przyjęte odpowiednie zabezpieczenia. Liczba osób jest zatem niewątpliwie jednym z czynników, jakie należy wziąć pod uwagę przy ocenie tego, czy zachodzi „niewspółmiernie duży wysiłek” po stronie administratora.
W omawianym przypadku liczba osób, wobec których należałoby potencjalnie spełnić obowiązek informacyjny, ma kluczowe znaczenie – ilość rekordów bezpośrednio przekłada się bowiem na koszty przeprowadzenia takiej operacji. Ma zatem bezpośrednie przełożenie na obciążenie organizacyjne i finansowe administratora, co zostało wskazane przez spółkę.
W świetle powyższego należałoby dokonać rzetelnej i kompleksowej oceny w zakresie: a) niemożliwości udzielenia informacji; b) niewspółmiernie dużego wysiłku przy udzieleniu informacji, czego organ nie odróżnił, w ogóle nie analizując przesłanki niemożliwości spełnienia tego obowiązku. Brak takiego rozróżnienia przeczyłby racjonalności unijnego prawodawcy. Racjonalne wydaje się przyjęcie, że brak możliwości udzielenia informacji zachodzi w tych przypadkach, w których administrator nie posiada danych kontaktowych do osoby fizycznej (np. w przypadku danych pozyskiwanych z KRS). W takim przypadku trudno mówić wyłącznie o „niewspółmiernie dużym wysiłku”, gdyż w razie braku danych umożliwiających bezpośredni kontakt racjonalne wydaje się przyjęcie, że spełnienie obowiązku informacyjnego przez administratora jest de facto niemożliwe. Stanowisko takie organ nadzorczy trafnie zajął w decyzji dotyczącej Fundacji ePaństwo W uzasadnieniu decyzji dot. Fundacji ePaństwo organ nadzorczy wskazał, że „Zakres danych osobowych pozyskiwanych przez Fundację z publicznie dostępnego KRS oraz poddawanych dalszemu przetwarzaniu (w tym publikacji) jest ściśle zdeterminowany celem i zakresem funkcjonowania KRS, a zarazem jest zgodny z prawnie uzasadnionym interesem administratora (art. 6 ust. 1 lit. f RODO). Dane te ograniczają się do informacji bezpośrednio związanych z uczestnictwem przez Skarżącego w obrocie gospodarczym w charakterze członka organów, wspólnika, czy prokurenta podmiotów podlegających wpisowi do KRS. Jednocześnie, wobec spoczywającego na administratorze obowiązku poszanowania wyrażonej w art. 5 ust. 1 lit. c RODO minimalizacji danych (obligującej go do ograniczenia zakresu przetwarzanych danych do niezbędnego, adekwatnego do realizowanego celu minimum), nie można zasadnie oczekiwać od Fundacji, pozyskania i przetwarzania w celach informacyjnych (wyłącznie dla celu spełnienia indywidualnie wobec skarżącego obowiązku z art. 14 RODO), dalszych jego danych osobowych (danych adresowych) – por. także wyrok NSA z 24.01.2013 r. (I OSK 1827/11), LEX nr 1554654; wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 28.04.2014 r. (II SA/Wa 125/14), LEX nr 1584782. W tej sytuacji przyjąć należy, że w przedmiotowej sprawie znajduje zastosowanie art. 14 ust. 5 lit. b RODO – udzielenie indywidualnie Skarżącemu rzeczonych informacji jest bowiem – z przyczyn wskazanych powyżej – niemożliwe”.. Jednak już w glosowanej decyzji organ nadzorczy niekonsekwentnie przyjął, że w sytuacji, w której w rejestrach publicznych brak jest danych teleadresowych, w związku z czym konieczne byłoby szukanie tych danych w innych źródłach, analizować należy jedynie przesłankę „niewspółmiernie dużego wysiłku” W uzasadnieniu glosowanej decyzji organ nadzorczy wskazał z kolei, że „w odróżnieniu do ww. osób fizycznych, odmienna jest sytuacja osób będących udziałowcami lub członkami organów spółek i innych osób prawnych, których dane spółka przetwarza. W rejestrach publicznych (w szczególności w rejestrach KRS) brak jest bowiem danych teleadresowych tych osób, w związku z czym spółka musiałaby poszukiwać tych danych w innych źródłach, co już mogłoby stanowić dla spółki «niewspółmiernie duży wysiłek»”..
Sytuacje, w których może zachodzić „niewspółmiernie duży wysiłek przy udzieleniu informacji” od „niemożliwości udzielenia informacji”, należy jednak niewątpliwie rozpatrywać osobno. W przypadkach dysponowania danymi adresowymi a priori należy przyjąć, że realizacja obowiązku (przynajmniej z technicznego punktu widzenia) jest możliwa,niemniej jednak mając na uwadze całokształt okoliczności związanych z przetwarzaniem danych może okazać się, że nałożenie takiego obowiązku wydaje się nieproporcjonalneZob. szerzej Ogólne rozporządzenie...,red. M. Sakowska-Baryła.. Ponadto należy wziąć pod uwagę, czy obowiązek, o którym mowa w art. 14 ust. 1 RODO, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzaniaLiteralne brzmienie art. 14 ust. 5 lit. b RODO może sugerować, że uniemożliwienie lub poważne utrudnienie realizacji celów przetwarzania należy rozpatrywać jako osobne przesłanki dające możliwość wyłączenia wtórnego obowiązku informacyjnego (niezależnie od niemożliwości jego realizacji i niewspółmiernie dużego wysiłku), a więc nawet jeślirealizacja obowiązku jest możliwa oraz nie występuje niewspółmiernie duży wysiłek, to z uwagi tylko na uniemożliwienie lub poważne utrudnienie realizacji celów przetwarzania można wyłączyć wtórny obowiązek informacyjny.. Trafnie wskazuje się w literaturze, że „z sytuacją «niewspółmiernie dużego wysiłku» będziemy natomiast mieli do czynienia wówczas, gdy wysiłek włożony w przekazanie informacji jest nieproporcjonalny w stosunku do niedogodności spowodowanych brakiem tych informacji u osoby, której dane dotyczą”Rozporządzenie UE…,red. P. Litwiński. W uzasadnieniu decyzji ograniczono się przy tym jedynie do zwięzłego wskazania, że w ocenie Prezesa UODO wysłanie informacji pocztą tradycyjną lub w drodze kontaktu telefonicznego nie jest ani „niemożliwe”, ani wymagające „niewspółmiernie dużego wysiłku”.
Wydaje się zatem, że organ nadzorczy nie odróżnił zasadniczo „niemożliwości” realizacji wtórnego obowiązku informacyjnego od „niewspółmiernie dużego wysiłku”, przyjmując tym samym – co do zasady – że w każdej sytuacji, w której administrator danych dysponuje jakimikolwiek danymi osobowymi, w tym kontaktowymi (niezależnie od tego, jakiego rodzaju są to dane), należy spełnić obowiązek informacyjny określony w art. 14 RODO. Przyjęcie takiego założenia de facto powoduje, że możliwość wyłączenia wtórnego obowiązku informacyjnego ogranicza się do sytuacji, w których administrator danych nie posiada bezpośrednich danych kontaktowych do osoby fizycznej.
Biorąc pod uwagę szerszy kontekst sprawy (w tym liczne zmiany stanu prawnego na przestrzeni lat odnośnie do statusu danych z CEIDG), wypada przyjąć, że w przedmiotowym stanie faktycznym istniały racjonalne przesłanki do uznania, iż bezpośrednie spełnienie obowiązku informacyjnego (zwłaszcza tradycyjną drogą pocztową) wiązałoby się z niewspółmiernie dużym wysiłkiem po stronie spółki – przede wszystkim z uwagi na liczbę osób. Tymczasem organ nie przedstawił propozycji własnej wykładni pojęcia „niewspółmiernie dużego wysiłku”, ograniczając się wyłącznie do uznania, że w tym przypadku ta przesłanka nie występuje. Szczegółowa ocena prawna poprzedzona ustaleniem stanu faktycznego powinna zostać dokonana przez organ prowadzący postępowania administracyjne. W decyzji administracyjnej natomiast powinno znaleźć się uzasadnienie faktyczne i prawne. Jak trafnie wskazuje się w doktrynie „wyjaśnienie podstawy prawnej decyzji administracyjnej, z przytoczeniem przepisów prawa, polega nie tylko na obowiązku powołania podstawy prawnej w każdej decyzji i obowiązującego prawa, lecz także na wszechstronnym wyjaśnieniu, dlaczego organ administracji publicznej rozstrzygający sprawę zastosował określony przepis, względnie też, dlaczego przyjął daną wykładnię, gdy strona przedstawiła wykładnię odmienną (zob. wyr. WSA w Warszawie z 29.6.2006 r., II SA/Wa 616/06, Legalis)”M. Dyl, Art. 107 k.p.a. (w:) Kodeks postępowania administracyjnego. Komentarz, red. M. Wierzbowski,A. Wiktorowska, Beck Online.Komentarze 2018..
Tak jak to wskazano wcześniej, zgodnie z motywem 62 RODO liczba osób (w zależności od tego, jakim kanałem komunikacji należałoby spełnić obowiązek informacyjny) jest jednym z kryteriów, jakie należy mieć na uwadze przy ocenie tego, czy w danej sytuacji zachodzi „niewspółmiernie duży wysiłek” po stronie administratora. Może ona bezpośrednio przekładać się na koszty realizacji takiej operacji. Spółka, wobec której wydano orzeczenie, zasadnie podnosiła, że realizacja obowiązku poprzez inne niż e-mail kanały komunikacji (w szczególności poprzez pocztę tradycyjną) skutkowałaby koniecznością poniesienia wielomilionowych kosztów po jej stronieW zależności od sposobu realizacji obowiązku koszty takiej operacji szacowane były przez spółkę na etapie postępowania na 33.749.175,00 zł (list polecony w wariancie ekonomicznym), lub po wskazaniu przez Prezesa UODO w uzasadnieniu decyzji, że nie jest konieczne stosowanie przesyłek poleconych na ponad 22.000.000 zł (list zwykły); wywiad z prezesem spółki, na którą nałożono karę, dostępny jest pod adresem https://biznes.gazetaprawna.pl/ artykuly/1405345,andrzej-osinski-bisnodedecyzja-uodo.html. Biorąc pod uwagę, że spółka obliczyła wstępnie, że wysyłka informacji przesyłką poleconą w wariancie ekonomicznym, kosztowałaby ją ponad 33.749.175,00 PLN, a także złożyła oświadczenie o przychodach netto ze sprzedaży i zrównanych z nimi za rok 2018 w wysokości 34.778.450,50 zł oraz sprawozdanie finansowe spółki za rok obrotowy od 1.01.2017 r. do 31.12.2017 r., z którego wynika wysokość przychodów netto ze sprzedaży i zrównanych z nimi: 29.026.755,76 PLN, decyzja organu wydaje się tym bardziej kontrowersyjna. Co zaskakujące, organ wprost wskazał, że odniesienie „niewspółmiernie dużego wysiłku” do wysokich kosztów przeprowadzenia operacji działa wręcz na niekorzyść spółki.
O ile w przypadku posiadania adresu mailowego trudno mówić o niewspółmiernie dużym wysiłku, o tyle w przypadku posiadania innych danych kontaktowych (np. adres siedziby) można już jednak zasadnie rozważyć, czy nie występuje „niewspółmiernie duży wysiłek” po stronie administratora. Wysyłanie SMS (przy dopuszczeniu możliwości „warstwowego” przesyłania komunikatów) nie wydaje się nadmiernie utrudnione, stąd w tym zakresie decyzja organu nie wzbudza tak dużych kontrowersji. Jednak wysyłanie do wszystkich osób indywidualnych informacji drogą pocztową (w przypadku bardzo obszernej bazy danych) nie sposób uznać za prostą czynność. Niewątpliwie argumentom przedstawionym przez spółkę w tym zakresie nie sposób odmówić zasadności.
Organ nie wskazał wprawdzie sposobu, w jaki ma być zrealizowany nakaz określony w decyzji, jednak w sytuacji, w której spółka z danych umożliwiających potencjalnie bezpośredni kontakt z osobą fizyczną posiada wyłącznie adresy prowadzenia działalności, wysłanie listu wydaje się jedynym możliwym rozwiązaniem. Należy zatem rozważyć racjonalne argumenty przemawiające za stanowiskiem przedstawionym przez spółkę.
Po pierwsze, wyjątki wskazane w art. 14 ust. 5 RODO jednoznacznie wskazują, że prawo osoby do uzyskania informacji o przetwarzaniu jej danych osobowych nie ma charakteru absolutnego, czego organ nie wziął pod uwagęW uzasadnieniu decyzji z 15.03.2019 r. (ZSPR.421.3.2018) Prezes UODO wskazał, że „niewykonanie ww. obowiązku z uwagi na wskazane przez Spółkę koszty finansowe, świadczy o obniżeniu wartości praw osób, których dane osobowe spółka przetwarza, w stosunku do wartości finansów spółki, której to argumentacji nie można uznać za zasadną w świetle wymogów rozporządzenia 2016/679”.. Tymczasem w tej właśnie sytuacji prawodawca unijny przy uwzględnieniu określonych okoliczności daje pierwszeństwo interesowi administratora danych nad prawem osoby do uzyskania bezpośredniej informacji o przetwarzaniu jej danych osobowychZob. szerzej Ogólne rozporządzenie…, red. M. Sakowska-Baryła..
Po drugie, jakkolwiek wyjątek wskazany w art. 14 ust. 5 lit. b RODO znajduje zastosowanie przede wszystkim w przypadkach przetwarzania danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, jednak w żadnym razie nie można odrzucić możliwości powołania się na niego w innych sytuacjach, ponieważ wskazany katalog przykładów ma charakter otwarty.
Po trzecie, niewspółmiernie duży wysiłek po stronie administratora danych należy rozpatrywać także w kontekście liczby osób, wobec których należałoby go spełnić (motyw 62 RODO) – i jak się wydaje – w zależności od kanałów komunikacji, które mogą generować różne obciążenie (w tym kosztowe) po stronie administratora.
W związku z powyższym nieuzasadnione wydaje się przyjęcie, że konieczność realizacji wtórnego obowiązku informacyjnego występuje w każdym przypadku, w którym administrator danych osobowych posiada jakiekolwiek dane kontaktowe do JDG.
Co więcej, taka interpretacja może prowadzić wręcz do uznania, że każdy podmiot prowadzący działalność gospodarczą, który pobiera dane z publicznie dostępnego rejestru (np. CEIDG), powinien zawsze bezpośrednio zrealizować wtórny obowiązek informacyjny. Spowodowałoby to w praktyce „zasypanie” przedsiębiorców ogromną ilością tego typu klauzul informacyjnych i raczej nie przysłużyłoby się samym podmiotom danych. Przyjęcie takiej wykładni wydaje się zatem zupełnie nieracjonalne i prowadziłoby do absurdalnego wniosku, zgodnie z którym konieczność realizacji wtórnego obowiązku informacyjnego zachodziłaby w każdym przypadku pobrania danych z publicznie dostępnego rejestru.
Jakkolwiek dane osób fizycznych prowadzących działalność gospodarczą nie są wyłączone spod zakresu RODOW ocenie autorów brak takiego przepisu rodzi negatywne skutki dla jawności i pewności obrotu gospodarczego w Polsce. Ze względu na art. 23 RODO możliwe było rozważenie przynajmniej częściowego ograniczenia obowiązków i praw przewidzianych w art. 12–22 RODO w odniesieniu do jawnych danych znajdujących się w publicznie dostępnych rejestrach (np. CEIDG), co postulowane było w literaturze – zob. szerzej J. Byrski, Outsourcing w…, Warszawa 2018, s. 364–365., wydaje się jednak, że ochrona prywatności z zasady powinna odnosić się przede wszystkim do sfery prywatnej osoby fizycznej, a w mniejszym stopniu do sfery związanej z uczestniczeniem w szeroko pojętym obrocie gospodarczym, w szczególności mając na uwadze, że jawne dane z publicznie dostępnych rejestrów są powszechnie przetwarzane w profesjonalnym obrocie gospodarczymNa konieczność odmiennego traktowania danych prywatnych osób fizycznych od danych przedsiębiorców zwrócił uwagę Wojewódzki Sąd Administracyjny w Łodzi w uzasadnieniu wyroku z 6.12.2018 r. (II SAB/Łd 135/18), Legalis nr 1856988.. Stąd też uznanie, że każdorazowe pobranie danych z publicznie dostępnego rejestru (np. CEIDG) wiąże się z koniecznością bezpośredniej realizacji obowiązku informacyjnego, wydaje się nadmiarowe.
Dużo lepszym rozwiązaniem wydaje się rozważenie de lege ferenda wprowadzenia dodatkowo także innych rozwiązań – np. zapewnienia, aby przy każdym publicznie dostępnym rejestrze zamieszczona była informacja o możliwości pobierania ujawnianych tam danych przez inne podmioty. W odniesieniu do komercyjnych podmiotów pobierających duże ilości rekordów (takich jak wywiadownie gospodarcze) podmiot publiczny odpowiedzialny za prowadzenie rejestru mógłby monitorować takie działania i informować o tym, kto (i kiedy) pobiera dane. Można także przewidzieć wprowadzenie obowiązku podawania adresu e-mail przy zakładaniu działalności gospodarczej, na który to podmiot pobierający dane mógłby przesyłać klauzulę informacyjną.
6. Udostępnienie informacji na stronie internetowej administratora
Ponieważ organ nadzorczy odrzucił możliwość powołania się przez spółkę na wyłączenie, o którym mowa w art. 14 ust. 5 lit. b RODO, w decyzji nie rozstrzygnięto innej istotnej kwestii – a mianowicie, czy dla spełnienia wymogu publicznego udostępnienia informacji w celu podjęcia odpowiednich środków, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, wystarczające jest udostępnienie takich informacji na stronie internetowej administratora. Podejście takie wydaje się najbardziej racjonalne (zwłaszcza w przypadku dużych podmiotów), a organ dopuścił je w innym postępowaniu Por. decyzja z 30.01.2019 r. dotycząca Fundacji ePaństwo.. Taka forma najczęściej wskazywana jest także przez przedstawicieli doktryny Por. J. Łuczak, Art. 14 (w:) RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, LEX online 2018; podobnie P. Fajgielski, Art. 14 (w:) Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/ WE (ogólne rozporządzenie o ochronie danych) (w:) Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, LEX online 2019.. Dlatego też w ocenie autorów zamieszczenie na stałe na stronie internetowej komunikatu, o którym mowa w art. 14 ust. 5 lit. b RODO, spełnia w wystarczającym stopniu obowiązek „publicznego udostępnienia informacji”. Tym samym nie wydaje się konieczne podejmowanie dodatkowych działań (np. poprzez publiczne komunikaty w prasie, radiu czy telewizji). Trudno wyobrazić sobie sytuacje, w których tego typu kampanie mogły być uzasadnione Potencjalne możliwości realizacji obowiązku informacyjnego alternatywnymi sposobami zostały wskazane przez Prezesa UODO w wywiadzie dostępnym pod adresem https:// www.prawo.pl/biznes/prezes-uodo-mowi-opierwszej-karze-za-naruszenie-rodo,392981. html.
7. Wysokość administracyjnej kary pieniężnej
Wysokość nałożonej przez organ nadzorczy kary budzi uzasadnione wątpliwości – także w świetle kryteriów wskazanych przez sam organ.. Należy w szczególności wziąć pod uwagę, że:
- wbrew temu, co stwierdził w uzasadnieniu decyzji Prezes UODO, stan prawny nie jest jednoznaczny, a stanowisko przedstawione przez spółkę nie zostało szczegółowo przeanalizowane;
- świadoma decyzja spółki o niezrealizowaniu obowiązku informacyjnego była związana z powołaniem się na konkretny przepis (art. 14 ust. 5 lit. b RODO),trudno w tym zakresie uznać, że spółka z premedytacją dążyła do naruszenia przepisów prawa;
- nie sposób przypisać spółce umyślności w naruszeniu wskazanych przepisów prawa, w sytuacji, w której brak jest jednoznacznej wykładni pojęcia „niewspółmiernie dużego wysiłku” (takiej wykładni nie przedstawił też organ nadzorczy w uzasadnieniu swojej decyzji);
- nie stwierdzono, aby spółka dopuściła się uprzednio naruszenia przepisów prawa, ponadto w toku postępowania spółka współpracowała z organem nadzorczym;
- potencjalne naruszenie nie dotyczy szczególnych kategorii danych, co więcej – chodzi o publicznie dostępne dane uczestników profesjonalnego obrotu gospodarczego;
- duża liczba danych mogła być pobrana z CEIDG przed 25.05.2018 r., w okresach, w których obowiązek informacyjny wobec jednoosobowych przedsiębiorców był wyłączony, co nie zostało wzięte pod uwagę przez organ nadzorczy.
8. Wnioski
Mając na uwadze przedstawione w glosie kwestie, pierwszą decyzję wydaną przez Prezesa UODO należy ocenić (co najmniej częściowo) krytycznie. Wydaje się, że wysokie koszty realizacji wtórnego obowiązku informacyjnego po stronie administratora danych powinny być brane pod uwagę przy stwierdzaniu niewspółmiernie dużego wysiłku w rozumieniu art. 14 ust. 5 lit. b RODO. Dodatkowo kwestia terminu pobrania danych z CEIDG – przed, czy po 25.05.2018 r. – powinna zostać przez organ przeanalizowana.
W związku z powyższym zdziwienie budzi pobieżne uzasadnienie prawne, a także znaczna wysokość nałożonej przez organ nadzorczy administracyjnej kary pieniężnej. Z uwagi na niejasny stan prawny, jak również brak jednoznacznego stanowiska doktryny, kluczowe znaczenie z pewnością będzie miało orzeczenie wydane przez sąd administracyjny. Z uwagi na możliwość różnej interpretacji pojęcia „niewspółmiernie dużego wysiłku” możliwe jest skierowanie zapytania prejudycjalnego do Trybunału Sprawiedliwości UE w zakresie wykładni tego pojęcia. Wydaje się to o tyle istotne, że stanowiska innych organów nadzorczych mogą się w tym zakresie różnićPrzykładowo brytyjski organ ds. ochrony danych osobowych w poradniku The right to be informed z jednej strony wskazał wprawdzie na potrzebę informowania osób o pozyskiwaniu ich danych z publicznie dostępnych źródeł (zwłaszcza w przypadku ich łączenia), a z drugiej strony podkreślił, że w razie zbierania danych z publicznie dostępnych źródeł i zamiaru skorzystania z wyłączenia przy realizacji wtórnego obowiązku informacyjnego z uwagi na „niewspółmiernie duży wysiłek” zasadne jest w każdym przypadku przeprowadzenie oceny skutków dla ochrony danych. „As above, if you determine that providing privacy information to individuals does involve a disproportionate effort you must take other appropriate measures to protect people’s rights. Again, two measures that you must always take are making the privacy information publicly available and carrying out a data protection impact assessment” – zob. szerzej The right to be informed, s. 7, 32-34, 57-59, https://ico. org.uk/media/for-organisations/guide-to-thegeneral-data-protection-regulation-gdpr/theright-to-be-informed-1-0.pdf.