Niemal milion złotych administracyjnej kary pieniężnej nałożył na jedną z firm prezes Urzędu Ochrony Danych Osobowych za niespełnienie obowiązku informacyjnego wobec osób, których dane pozyskano z publicznych rejestrów. Decyzja ta wywołała lawinę komentarzy i ocen, w tym pytań, czy jest słuszna. U wielu naszych czytelników spowodowała wręcz konsternację: wszak dopiero co czytali na naszych łamach, że w podobnej sytuacji UODO nie dopatrzył się żadnego przewinienia po stronie przetwarzającej dane z publicznych rejestrów Fundacji ePaństwo. W czym więc tkwi różnica? Dlaczego jedna firma nie została ukarana, a druga – tak (i to bardzo dotkliwie)?

Casus Bisnode vs casus ePaństwo: diabeł tkwi w szczegółach

Przypomnijmy pokrótce. W połowie lutego informowaliśmy, że właściciele witryn powielających dane np. z Krajowego Rejestru Sądowego nie muszą informować o tym osób, których te informacje dotyczą. Ani respektować ich prawa do sprzeciwu. Wynika tak z decyzji prezesa UODO w sprawie portalu Rejestr.io prowadzonego przez Fundację ePaństwo. Działalność portalu stworzonego przez fundację opierała się na oferowaniu prostego dostępu do danych powszechnie dostępnych i ujawnianych w KRS. Organizacja pobierała za część świadczonych przez siebie usług pieniądze (np. za dostęp do danych archiwalnych). Zdaniem UODO – zgodnie z prawem.

Z kolei ukarana spółka Bisnode, będąca tzw. brokerem danych i potocznie nazywana wywiadownią gospodarczą, została ukarana karą w wysokości 943 tys. zł za to, że nie poinformowała ponad 6 mln osób, których dane pozyskała z publicznych rejestrów (KRS, REGON i Centralnej Ewidencji i Informacji o Działalności Gospodarczej), o przetwarzaniu ich danych osobowych. – Bez tej informacji osoby, których dane były przetwarzane, nie mogły zrealizować praw wynikających z przepisów RODO, choćby prawa do żądania usunięcia danych czy też sprostowania danych osobowych – wskazała prezes UODO.

Na pierwszy rzut oka może się wydawać, że w działaniach fundacji i spółki nie ma różnicy. Eksperci jednak przekonują, że jest znacząca.

Artykuł 14 ust. 5 lit. b RODO mówi, że możliwe jest zwolnienie z obowiązku informacyjnego, gdy jego spełnienie okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. W sytuacji Fundacji ePaństwo nie było w praktyce możliwe spełnienie obowiązku, bo pobrane przez fundację dane z KRS obejmowały jedynie imię, nazwisko, PESEL oraz miejsce pracy – wyjaśnia dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.

Co ważne, art. 142 ustawy dostosowującej przepisy sektorowe do rozporządzenia RODO (czeka już tylko na podpis prezydenta) znowelizuje ustawę z 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego (Dz.U. z 2018 r. poz. 1243 ze zm.) i przesądzi, że korzystanie z danych publicznie dostępnych w KRS nie będzie wymagać spełnienia obowiązku informacyjnego. Tymczasem – jak wspomniano ‒ Bisnode przetwarzała również dane z REGON i CEIDG. – W tym drugim rejestrze jest adres konkretnej osoby, nie firmy. Czasem także numer telefonu i adres mailowy. UODO słusznie przyjął, że kontakt z tymi osobami jest zatem możliwy – wskazuje dr Litwiński.

Izabela Kowalczuk-Pakuła, partner w polskim biurze Bird & Bird, kierująca praktyką ochrony prywatności i danych osobowych, zauważa z kolei, że prezes UODO w decyzji dotyczącej ePaństwa stwierdził, iż niezgodne z zasadą minimalizacji byłoby, gdyby fundacja pobierała dane teleadresowe osób, których dane przetwarza, tylko po to, żeby spełnić obowiązek informacyjny, a także powołał się na tzw. niewspółmiernie duży wysiłek. – W decyzji w sprawie Bisnode organ był konsekwentny i także nie nakazał spełnienia obowiązku informacyjnego wobec osób pełniących funkcję w organach spółek pobieranych z publicznie dostępnych rejestrów, a jedynie wobec jednoosobowych przedsiębiorców – spostrzega prawniczka.

Podsumowując: w dużym uproszczeniu można więc stwierdzić, że pobieranie i dalsze udostępnianie danych osób fizycznych ujawnionych w KRS, nawet za odpłatnością, jest dozwolone bez spełnienia obowiązku informacyjnego. A udostępnianie danych przedsiębiorców ujawnionych w CEIDG bez poinformowania ich o tym – jest już co najmniej ryzykowne.

Kiedy można się powołać na niewspółmiernie duży wysiłek

Wśród prawników największe kontrowersje budzi to, jak należy rozumieć „niewspółmiernie duży wysiłek”, o którym mowa w art. 14 ust. 5 lit. b RODO. Wiadomo już, że zdaniem UODO nie można było za taki uznać konieczności poinformowania listownie osób, których adresów e-mail spółka nie posiadała, o przetwarzaniu ich danych przez Bisnode. Mimo że ‒ jak szacuje prezes Bisnode ‒ kosztowałoby to spółkę 22‒30 mln zł.

Nie ma żadnej oficjalnej wykładni pojęcia „niewspółmiernie duży wysiłek”, dzięki której administratorzy mogliby dokonywać jego samodzielnej interpretacji ‒ przyznaje Agata Kłodzińska, specjalistka ds. ochrony danych z ODO 24. Warto więc posiłkować się wydaną przez prezesa UODO decyzją w sprawie ukaranej spółki, gdzie wskazuje on, że „wysłanie informacji, o których mowa w art. 14 rozporządzenia 2016/679, pocztą tradycyjną, na adres osoby fizycznej prowadzącej działalność gospodarczą, lub w drodze kontaktu telefonicznego, nie jest czynnością «niemożliwą» oraz nie wymaga «niewspółmiernie dużego wysiłku», w sytuacji posiadania przez spółkę w bazie systemu informatycznego N[...] danych adresowych”.

Wynika więc z tego, że bardzo wysokie koszty nie są równoznaczne z niewspółmierne dużym wysiłkiem.

Jednak zdaniem Witolda Chomiczewskiego, radcy prawnego w kancelarii Lubasz i Wspólnicy, ten koszt może mieć znaczenie. Ocena odbywa się bowiem w ramach testu proporcjonalności. – Administrator musi zbadać, jak ważne w danej sprawie jest przekazanie podmiotowi danych informacji dla zapewnienia możliwości korzystania z jego praw przyznanych przez RODO i jakie są konsekwencje braku podania tych informacji dla podmiotu danych – zauważa. Trzeba zatem uwzględnić m.in., jakie dane są przetwarzane i jakie ryzyka z tego wynikają. Im większe ryzyka dla podmiotu danych, tym wyżej należy postawić poprzeczkę administratorowi. – Moim zdaniem znaczenie ma też cel, w którym administrator przetwarza dane. Jeżeli jest to cel komercyjny, to oczekiwałbym więcej od administratora – uważa mec. Chomiczewski.

Michał Chodorek, adwokat w kancelarii KRK Kieszkowska Rutkowska Kolasiński, uważa zaś, że niewspółmiernie wysokie koszty należałoby uznawać za spełniające kryterium niewspółmiernie dużego wysiłku. Dla każdej firmy ten wysiłek sprowadza się bowiem w praktyce do kwestii kosztów. – Nie można również zgodzić się z interpretacją, że niewspółmiernie wysokie koszty dotyczyć mają tylko nakładów, jakich wymaga ustalenie danych kontaktowych osób, którym administrator miałby przesłać informacje, a już nie kosztów samego dostarczenia tych informacji – podkreśla mec. Chodorek. I wyjaśnia, że takie rozumienie tego wyjątku jest sprzeczne z art. 14 ust. 5 lit. b RODO, który wskazuje, że niewspółmiernie dużego wysiłku wymagać może udzielenie takich informacji – a więc również np. wysyłka korespondencji.

Zdaniem niektórych ekspertów prezes UODO, wydając decyzję w sprawie Bisnode, poszedł częściowo na skróty. Miał bowiem idealną okazję, by zdefiniować, a tym samym wyjaśnić polskim przedsiębiorcom, jak należy rozumieć używaną w RODO, a budzącą wątpliwości terminologię. Nie uczynił tego jednak, narzucając niejako interpretację, że działanie spółki w postaci wysyłki listów nie byłoby niewspółmiernie dużym wysiłkiem.

Brakuje szczegółowego opisania testu proporcjonalności w uzasadnieniu decyzji. Na tej podstawie organ powinien ustalić próg oczekiwań wobec administratora i przez ten pryzmat ocenić, co oznacza niewspółmiernie duży wysiłek – mówi nam Witold Chomiczewski. I dodaje, że zabrakło również wyjaśnienia, dlaczego za taki nie uznano konieczności wykonania pracy polegającej na przygotowaniu do wysyłki, zaadresowaniu, sprawdzeniu poprawności adresów i opłaceniu 6,5 mln listów.

Dlatego też zdaniem ekspertów uzasadnione byłoby, aby sąd rozpatrujący sprawę po odwołaniu Bisnode skierował pytanie prejudycjalne do Trybunału Sprawiedliwości UE w celu ustalenia, jak należy rozumieć „niewspółmiernie duży wysiłek” (patrz opinia Macieja Kaweckiego). Zgadza się z tym dr Paweł Litwiński, przyznając, że ta kwestia stanowi jeden z najbardziej skomplikowanych i kontrowersyjnych przepisów rozporządzenia RODO.

Konsekwencje dla rynku

Wiadomo już, że decyzja prezesa UODO zostanie oceniona przez sąd. Bisnode postanowiła ją bowiem zaskarżyć. Za korzystny dla przedsiębiorcy wyrok paradoksalnie kciuki trzymać będą również jej konkurenci. Na rynku firm masowo przetwarzających i udostępniających za opłatą informacje o przedsiębiorcach praktyka ukaranej spółki była typowa. To zaś oznaczać by mogło, że w razie niekorzystnego dla firmy wyroku posypać mogłyby się kolejne kary na inne podmioty.

Decyzja będzie miała wpływ na każdą firmę, która jest brokerem danych. Ale też na klientów brokerów danych oraz każdy podmiot, który samodzielnie agreguje dane z publicznie dostępnych rejestrów. Decyzja nie mówi oczywiście wprost o klientach brokerów danych, ale oni, nabywając taką bazę danych, stają się administratorami danych, na których ciąży obowiązek informacyjny – zauważa Izabela Kowalczyk-Pakuła.

Jeszcze dalej w ocenie idzie Agata Kłodzińska. Jej zdaniem decyzja prezesa UODO jest istotna dla wszystkich przedsiębiorców, którzy mają do czynienia z masowym przetwarzaniem danych, nie tylko z branży. – Nie oszukujmy się, jawne rejestry często stanowią podstawę baz tworzonych przez przedsiębiorców, a wnioski płynące z tej decyzji można przełożyć właściwie na każdą formę spełniania obowiązku informacyjnego – spostrzega ekspertka. A jest nagminną praktyką, że administratorzy danych rezygnują z przedstawienia klauzuli informacyjnej osobom fizycznym. Zasłaniają się przy tym zbyt dużą liczbą rekordów, nadmiernymi kosztami czy zbyt dużym nakładem pracy. – Decyzja prezesa UODO pokazuje, że takie wymówki nie mają znaczenia nawet przy liczbie rekordów idącej w miliony. Tym bardziej więc nie będą skuteczne przy wykorzystywaniu danych na mniejszą skalę – uczula Agata Kłodzińska.

Można sobie wyobrazić, że firmy, dla których wiodącą działalnością nie jest przetwarzanie i udostępnianie w wygodnej formie danych osobowych, sobie poradzą. Jednak dla większości brokerów danych, wywiadowni gospodarczych oraz start-upów agregujących dane o biznesie utrzymanie się w mocy decyzji prezesa UODO w praktyce oznaczałoby konieczność zamknięcia biznesu w Polsce. Na rynku działają bowiem co najwyżej trzy firmy, które byłyby w stanie finansowo udźwignąć obciążenia wynikające z obowiązków informacyjnych. Chyba że – co postuluje prezes Bisnode – ustawodawca zdecydowałby się wprowadzić wymóg podawania adresu e-mail podczas dokonywania wpisu do CEIDG. O tym jednak mówiono już wielokrotnie. Pomysłu nadal nie zrealizowano, gdyż – jak przekonywali decydenci – wielu przedsiębiorców w Polsce nie korzysta z poczty elektronicznej i nakładanie na nich takiego obowiązku byłoby nadmiernym utrudnieniem w prowadzeniu biznesu.

Dr Maciej Kawecki: To sprawa do oceny dla TSUE [OPINIA]

RODO zawiera wytyczne wskazujące, w jaki sposób organy ochrony danych osobowych dokonywać powinny oceny przesłanki niewspółmiernie dużego wysiłku. Zgodnie z motywem 62 preambuły do RODO uwzględnić przy tym należy liczbę osób, których dane dotyczą, okres przechowywania danych oraz wszelkie przyjęte odpowiednie zabezpieczenia.

Wśród wytycznych wskazanych przez ustawodawcę unijnego brakuje wprost odniesienia się do kosztów związanych z realizacją obowiązku informacyjnego, przy czym w mojej ocenie można je wyinterpretować z kryterium liczby osób, których dane są przetwarzane. Im liczba takich osób jest większa – tym wyższy jest koszt realizacji obowiązku informacyjnego. Z uzasadnienia decyzji i reakcji społecznej na jej wydanie z dużą dozą prawdopodobieństwa można przesądzić, że przesłanka – o której mowa powyżej – cały czas budzi wątpliwości. Zakładam, że może je podzielić sąd, i wtedy najlepszą drogą jest skierowanie pytania prejudycjalnego do Trybunału Sprawiedliwości UE. Wykładnia terminu „niewspółmiernych środków” podjęta przez trybunał byłaby bezcenna dla wszystkich przedsiębiorców – nie tylko polskich. Trzeba zresztą liczyć się z tym, że wyroki takie będą się z czasem pojawiały.

Nie chcę natomiast oceniać wprost samej decyzji, bo z pozycji, którą zajmuję, uważam to za niestosowne. Mogę jedynie powiedzieć, że jest kontrowersyjna. ©℗

Andrzej Osiński, prezes Bisnode: Musielibyśmy wydać więcej, niż wynoszą nasze roczne obroty

Należy podkreślić, że UODO nie zakwestionował podstaw do przetwarzania tych danych ani stosowanych przez nas zasad bezpieczeństwa, co jest bardzo ważne dla nas i naszych klientów. Bisnode nie zgadza się natomiast z interpretacją UODO dotyczącą proporcjonalności wysiłku związanego z obowiązkiem informacyjnym (art. 14 ust. 5 lit. b RODO) i zaskarży wyrok do sądu administracyjnego. Choć decyzja dotyczy nas bezpośrednio, to wywołuje skutek dla całej branży firm przygotowujących raporty gospodarcze na temat wiarygodności kontrahentów czy branży marketingu bezpośredniego. Wszystkie te podmioty przetwarzają codziennie dane z publicznie dostępnych rejestrów, takich jak Centralna Ewidencja i Informacja o Działalności Gospodarczej.

W naszej ocenie spełniliśmy obowiązek informacyjny w zakresie, jaki był możliwy i proporcjonalny do skali naszej działalności. Wszystkim przedsiębiorcom, których adresy e-mail widnieją w CEIDG, przesłaliśmy wymagane informacje, przy czym – wbrew niektórym doniesieniom medialnym – było to nie 90 tys., tylko prawie milion e-maili (w tym 679 tys. do podmiotów z CEIDG). Przygotowując się do wejścia w życie RODO, oczywiście analizowaliśmy też inne możliwości, w tym wysyłkę tradycyjnych listów. Z opinii kancelarii prawnych wynikało, że aby była ona skuteczna, należałoby doręczyć listy polecone, gdyż tylko wtedy mielibyśmy dowody na spełnienie obowiązku. To zaś wedle cennika Poczty Polskiej oznaczałoby wydatek rzędu 30 mln zł, czyli kwotę przekraczającą nasze roczne obroty, co uznaliśmy za nieproporcjonalny wysiłek. W decyzji UODO jest informacja, że nie muszą to być listy polecone, tylko zwykłe, lecz wówczas koszty spadają nieznacznie i nadal wynoszą ponad 22 mln zł.

(wypowiedź z DGP z 28 marca 2019 r.)