Czy dane publicznie dostępne w KRS i CEIDG powinny być wykorzystywane komercyjnie? Komentarz do Decyzji UODO
26 marca została opublikowana informacja o wysokiej karze dla spółki, która przetwarzała dane publicznie dostępne w własnych celach. Zgodnie z treścią komunikatu UODO „Bardzo wiele osób, których dane przetwarzała ukarana spółka, nie miało o tym pojęcia. Administrator ich o tym nie powiadomił. Tym samym odebrał im możliwość skorzystania z praw, jakie przysługują im na gruncie RODO, czyli ogólnego rozporządzenia o ochronie danych. Nie mogły więc one np. sprzeciwić się dalszemu przetwarzaniu ich danych, żądać ich sprostowania czy usunięcia. Prezes UODO uznała, że stwierdzone naruszenie ma poważny charakter, gdyż dotyczy podstawowych praw i wolności osób, których dane przetwarza spółka, jak również dotyczy jednej z podstawowych kwestii, jaką jest informacja o tym, że dane są przetwarzane. Nałożenie kary pieniężnej jest niezbędne, gdyż administrator nie przestrzega przepisów prawa.”
Istotna jest kwestia tego, w jaki sposób dane są przetwarzane. Bulwersuje społeczeństwo informacja, że kara jest tak wielka i dotyczy właśnie takich danych, które są publicznie dostępne. Warto jednak spojrzeć na sprawę z innej strony. Czy dane publicznie dostępne powinny być wykorzystywane w sposób komercyjny przez podmioty bez zgody zainteresowanych osób oraz bez poinformowania ich o tym?
Na obecnym rynku prosperuje wiele firm, które tworzą katalogi firm, strony z opiniami o firmach. Wykorzystują adres i nazwę firmy (co do których co do zasady obowiązują te same podstawy prawne o ochronie dóbr osobistych – osoby fizyczne art. 23 i 24 kc oraz osoby prawne – art. 43 k.c). Firmy te wstawiają pełne dane a w sytuacji, kiedy pojawia się negatywna opinia dotycząca danej firmy wówczas domagają się dużych kwot w celu jej usunięcia. To samo dotyczy takich usług jakie prowadził ukarany podmiot. Spółka przetwarzała dane z publicznego rejestru w celach zarobkowych.
Jakby nie patrzyć firma tworząca taki katalog firm z różnych branż nie tylko pozycjonuje swoją stronę internetową na danych innego podmiotu – pośrednio staje się bardziej rozpoznawalna, bo wyszukiwarki ją lepiej indeksują a co za tym idzie domena jest więcej warta, a to wiąże się z korzyściami finansowymi takiego katalogu firm.
Omawiany kontekst ma takie odniesienie do spółki, która otrzymała karę iż przetwarzanie danych powinno mieć jasno określony cel. Korzystanie z danych publicznie dostępnych źródeł jak CEIDG, KRS czy inne tego typu strony ma za zadanie informować potencjalne podmioty obrotu na temat rzetelności i wiarygodności danego podmiotu. Obrót prawny z wykorzystaniem technologii w rozwijającym się XXI wieku rozwija się tak szybko, że inne podmioty widzą interes w tym, aby korzystać z takich źródeł danych, które są dostępne. Nie są odpłatne, a co za tym idzie firma przetwarzające takie dane w pewien sposób ma czysty zysk, nie musi kupować danych, a wystarczy, że tylko je zautomatyzuje i może udostępniać je dalej.
Istotą kary jest to, że ukarany podmiot nie powiadomił osób o przetwarzaniu ich danych, a powinien był to zrobić. Zostały wykorzystywane dane przez ukarany podmiot nie do własnych celów, aby zweryfikować np. czy dana firma rzeczywiście istnieje, czy przedsiębiorca jest wpisany do rejestru, lub czy posiada prokurenta, jednak dane te były masowo wykorzystywane w celach innych niż ustawa stanowi – głównie w celach komercyjnych na wysoką skalę.
Warto w tym miejscu wskazać, że komercyjność nie musi polegać na bezpośredniej korzyści finansowej, ale wystarczy, że przekażemy je podmiotowi trzeciemu za darmo a ten wykorzystuje je w celach komercyjnych osiągając z nich zysk. Istotne będzie to w jaki sposób ukarany podmiot wykaże cel przetwarzania tych danych – czy np. dalsze ich udostępnianie (sprzedaż) nie będzie prowadziła do podmiotów, które również w taki sam sposób będą je wykorzystywały lub do działalności call center np. sprzedaży garnków, usług telekomunikacyjnych itd.
W takiej sytuacji w mojej ocenie każdy, czyje dane byłby w taki sposób przetwarzane powinien mieć prawo do sprzeciwu, co również mój tok myślenia potwierdza decyzja UODO.
Warto zwrócić uwagę, że jawne rejestry nie tylko dotyczą przedsiębiorców, ale również np. rejestr ksiąg wieczystych, w których są dane osobowe osób fizycznych, które nie prowadzą działalności gospodarczej, a w których również są dostępne wszelkie dane. Szczegółowy zakres przetwarzania wskazuje nam art. 6 RODO. Tym bardziej wykorzystywanie przez takie podmioty danych w celu zysku budzi wątpliwości.
Ukarany podmiot na podstawie decyzji w własnej bazie systemowej posiadał dane dotyczące ok. 3,59 mln osób fizycznych prowadzących aktualnie jednoosobową działalność gospodarczą oraz osób fizycznych, które zawiesiły tę działalność oraz 2,33 mln osób fizycznych prowadzących w przeszłości działalność gospodarczą ([…]).
Co istotne decyzja UODO w tej sprawie o sygnaturze ZSPR.421.3.2018 wskazuje, ze ukarany podmiot „Spółka posiada łącznie 7.594.636 rekordów danych dotyczących osób fizycznych, w tym przedsiębiorców prowadzących jednoosobową działalność gospodarczą oraz osób będących wspólnikami lub członkami organów spółek, fundacji i stowarzyszeń. Spółka spełniła indywidualny obowiązek informacyjny wobec 682 439 osób, w stosunku do których posiada w ramach rekordu bazy danych adresy poczty elektronicznej. W odniesieniu do 181 142 osób Spółka dysponuje wyłącznie numerami telefonów komórkowych, a w odniesieniu do 6.490.226 osób dysponuje wyłącznie adresami korespondencyjnymi, z czego 2.924.443 rekordy dotyczą nieaktywnych działalności gospodarczych. Z wyjaśnień Spółki wynika także, że gdyby miała wykonać obowiązek informacyjny ustanowiony w art. 14 ust. 1 – 2 rozporządzenia 2016/679, indywidualnie wobec wszystkich osób fizycznych, których dane są przedmiotem postępowania, z wykorzystaniem poczty tradycyjnej, to koszt takiej operacji wyniósłby ponad 33.749.175,00 złotych (kwota uzyskana z przemnożenia liczby podmiotów danych, do których nie została wysłana klauzula informacyjna drogą korespondencji elektronicznej, przez koszt nadania za pośrednictwem Poczty Polskiej listu poleconego w wariancie ekonomicznym, bez dodatkowych kosztów administracyjnych), co stanowi […] obrotu Spółki z roku 2018.”
Prezes UODO w omawianej decyzji stwierdził, że „ … rozpatrywana sytuacja Spółki nie jest analogiczna do tej, która była przedmiotem oceny Naczelnego Sądu Administracyjnego w wyroku z dnia 24 stycznia 2013 r. (o sygn. akt I OSK 1827/11) ani w zakresie ilości danych, które Spółka pozyskuje z publicznie dostępnych źródeł, ani spełnienia obowiązku informacyjnego. W sprawie tamtej NSA wskazał: „Z ustaleń dokonanych przez organ wynika, iż skarżąca spółka w ramach prowadzonej działalności komercyjnej świadczenia usług polegających na udzielaniu informacji przetwarza dane o osobach prawnych oraz jednostkach organizacyjnych nieposiadających osobowości prawnej, których dane są ujawnione w Krajowym Rejestrze Sądowym (Monitor Sądowy i Gospodarczy). W zbiorach tych znajdują się również dane osobowe osób fizycznych w zakresie: imię, nazwisko, nr PESEL, pełniona funkcja, rok urodzenia. Monitory Sądowy i Gospodarczy nie zawierają danych o adresach osób fizycznych. Zasadnie skarżąca spółka podważa w tej sytuacji nałożenie przez organ ogólnie obowiązku spełnienia obowiązku informacyjnego, bez wskazania w jaki sposób i jakimi środkami administrator danych winien je uzyskać.” Natomiast, w niniejszej sprawie Spółka dysponuje znacznie szerszym zakresem danych osobowych, w tym adresami korespondencyjnymi osób fizycznych i numerami telefonów, co oznacza, że mogła spełnić obowiązek podania danych, o których mowa w art. 14 ust. 1 i 2 rozporządzenia 2016/679, wobec osób fizycznych, których dane przetwarza.”
Warto wskazać, że zgodnie z Zgodnie z art. 14 ust. 1 rozporządzenia 2016/679, jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:
1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
3. cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
4. kategorie odnośnych danych osobowych;
5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu udostępnienia.
W mojej ocenie kara została nałożona adekwatnie do popełnionego zaniedbania – jeżeli oczywiście do takiego doszło w ocenia sądu, jednak moje zdanie jest subiektywne i być może sąd będzie miał inne zdanie. Z niecierpliwością będę czekała na dalszy rozwój Wyrok sądu będzie istotnie wpływał właśnie na podmioty, które trudnią się tego typu działalnością i nie tylko. Czekam zatem na dalszą informację ponieważ zgodnie z przepisami decyzja UODO jest ostateczna. Od decyzji ukaranemu podmiotowi przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia mu doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 1302, t. j. z dnia 2018.07.05). Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
Cała decyzja UODO dostępna tu: https://uodo.gov.pl/decyzje/ZSPR.421.3.2018
Charlotta Lendzion, Prawnik
Bądź pierwszy, który skomentuje ten wpis