NSA: obowiązek informacyjny RODO także w przypadku zbierania danych z rejestrów publicznych
Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki Bisnode od wyroku WSA w Warszawie. Podtrzymał tym samym stanowisko Urzędu Ochrony Danych Osobowych, według którego w przypadku danych osobowych pozyskiwanych z rejestrów publicznych należy spełnić obowiązek informacyjny RODO. Sprawa dotyczy pierwszej kary UODO wymierzonej w Polsce. Przedstawiamy przebieg całej sprawy.
Pierwsza kara UODO w Polsce
Kara wymierzona spółce Bisnode (obecnie Dun & Bradstreet) była pierwszą nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych. Spółkę wymierzono 943 tys. zł kary w związku z niespełnianiem obowiązku informacyjnego mimo pozyskiwania danych osobowych z ogólnodostępnych rejestrów publicznych takich jak KRS, CEIDG czy REGON. Kara była wysoka z uwagi na dużą liczbę osób, których dotyczyło naruszenie. Osoby te nie wiedziały m.in. o swoich uprawnieniach. Obowiązek informacyjny został spełniony jedynie wobec tych osób, których adresami e-mail dysponowała spółka.
Kara została wymierzona nie za samo pozyskiwanie danych osobowych z ogólnodostępnych rejestrów – takie działania były bowiem legalne. Problemem w ocenie UODO był brak realizacji obowiązku informacyjnego na dużą skalę.
Sąd uchylił karę, ale częściowo podtrzymał argumentację UODO
Sprawa po skardze spółki trafiła do Wojewódzkiego Sądu Administracyjnego w Warszawie. Sąd ten w wyroku z 10 grudnia 2019 r. II SA/Wa 1030/19 częściowo uwzględnił skargę i uchylił prawie milionową karę. Mimo uchylenia kary uzasadnienie wyroku nie było korzystne dla spółki. Sąd uznał bowiem, że obowiązek informacyjny powinien być spełniony wobec osób, które w momencie wydania decyzji prowadziły działalność gospodarczą lub ją zawiesiły. Zakwestionował natomiast realizację tego obowiązku wobec byłych przedsiębiorców. Miał również zastrzeżenia co do wysokości kary.
Rejestry publiczne – czy można zrezygnować z obowiązku informacyjnego RODO
Następnie spółka wniosła skargę kasacyjną do Naczelnego Sądu Administracyjnego. W uzasadnieniu skargi argumentowała, że nie musiała ona realizować obowiązku informacyjnego za pomocą korespondencji pocztowej lub telefonicznie. Powoływała się tu na wyłączenie obowiązku informacyjnego z uwagi na niewspółmiernie duży wysiłek. NSA nie zgodził się jednak z tym stanowiskiem. Podzielił tym samym argumentację organu nadzorczego, że wyjątki od obowiązku informacyjnego należy interpretować zawężająco. Co do zasady powinny być one stosowane jedynie do celów publicznych, w szczególności:
-
statystycznych,
-
badawczych,
-
archiwalnych,
-
historycznych.
Uzasadnienie wyroku NSA nie zostało jeszcze opublikowane. Po publikacji przeprowadzimy jego analizę.
Będzie ponowna decyzja UODO w sprawie wysokości kary
Nadal natomiast nie rozpatrzono ponownie sprawy w zakresie objętym uchyleniem decyzji UODO. Chodzi tu o przetwarzanie danych osób, które już nie prowadziły działalności gospodarczej, a także kwestię wysokości kary. Nadal czekamy więc na decyzję organu nadzorczego w tych kwestiach.
-
wyrok Naczelnego Sądu Administracyjnego z 19 września 2023 r. III OSK 2538/21
- Czym zajmuje się kancelaria radcowska?
- Zgoda marketingowa – czy także od firmy lub instytucji
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Zgoda na przetwarzanie danych osobowych do celów reklamy behawioralnej – jak powinna wyglądać
- Organizacja konkursu dla uczniów – umowa powierzenia przetwarzania danych pomiędzy szkołą a organem prowadzącym
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
