<\/p>\n

Czy dane publicznie dost\u0119pne w KRS i CEIDG powinny by\u0107 wykorzystywane komercyjnie? Komentarz do Decyzji UODO<\/strong><\/p>\n

26 marca zosta\u0142a opublikowana informacja o wysokiej karze dla sp\u00f3\u0142ki, kt\u00f3ra przetwarza\u0142a dane publicznie dost\u0119pne w w\u0142asnych celach. Zgodnie z tre\u015bci\u0105 komunikatu UODO \u201eBardzo wiele os\u00f3b, kt\u00f3rych dane przetwarza\u0142a ukarana sp\u00f3\u0142ka, nie mia\u0142o o tym poj\u0119cia. Administrator ich o tym nie powiadomi\u0142. Tym samym odebra\u0142 im mo\u017cliwo\u015b\u0107 skorzystania z praw, jakie przys\u0142uguj\u0105 im na gruncie RODO, czyli og\u00f3lnego rozporz\u0105dzenia o ochronie danych. Nie mog\u0142y wi\u0119c one np. sprzeciwi\u0107 si\u0119 dalszemu przetwarzaniu ich danych, \u017c\u0105da\u0107 ich sprostowania czy usuni\u0119cia. Prezes UODO uzna\u0142a, \u017ce stwierdzone naruszenie ma powa\u017cny charakter, gdy\u017c dotyczy podstawowych praw i wolno\u015bci os\u00f3b, kt\u00f3rych dane przetwarza sp\u00f3\u0142ka, jak r\u00f3wnie\u017c dotyczy jednej z podstawowych kwestii, jak\u0105 jest informacja o tym, \u017ce dane s\u0105 przetwarzane. Na\u0142o\u017cenie kary pieni\u0119\u017cnej jest niezb\u0119dne, gdy\u017c administrator nie przestrzega przepis\u00f3w prawa<\/em>.\u201d<\/p>\n

Istotna jest kwestia tego, w jaki spos\u00f3b dane s\u0105 przetwarzane. Bulwersuje spo\u0142ecze\u0144stwo informacja, \u017ce kara jest tak wielka i dotyczy w\u0142a\u015bnie takich danych, kt\u00f3re s\u0105 publicznie dost\u0119pne.\u00a0Warto jednak spojrze\u0107 na spraw\u0119 z innej strony. Czy dane publicznie dost\u0119pne powinny by\u0107 wykorzystywane w spos\u00f3b komercyjny przez podmioty bez zgody zainteresowanych os\u00f3b oraz bez poinformowania ich o tym?<\/p>\n

Na obecnym rynku prosperuje wiele firm, kt\u00f3re tworz\u0105 katalogi firm, strony z opiniami o firmach. Wykorzystuj\u0105 adres i nazw\u0119 firmy (co do kt\u00f3rych co do zasady obowi\u0105zuj\u0105 te same podstawy prawne o ochronie d\u00f3br osobistych \u2013 osoby fizyczne art. 23 i 24 kc oraz osoby prawne \u2013 art. 43 k.c). Firmy te wstawiaj\u0105 pe\u0142ne dane a w sytuacji, kiedy pojawia si\u0119 negatywna opinia dotycz\u0105ca danej firmy w\u00f3wczas domagaj\u0105 si\u0119 du\u017cych kwot w celu jej usuni\u0119cia. To samo dotyczy takich us\u0142ug jakie prowadzi\u0142 ukarany podmiot. Sp\u00f3\u0142ka przetwarza\u0142a dane z publicznego rejestru w celach zarobkowych.<\/p>\n

Jakby nie patrzy\u0107 firma tworz\u0105ca taki katalog firm z r\u00f3\u017cnych bran\u017c nie tylko pozycjonuje swoj\u0105 stron\u0119 internetow\u0105 na danych innego podmiotu \u2013 po\u015brednio staje si\u0119 bardziej rozpoznawalna, bo wyszukiwarki j\u0105 lepiej indeksuj\u0105 a co za tym idzie domena jest wi\u0119cej warta, a to wi\u0105\u017ce si\u0119 z korzy\u015bciami finansowymi takiego katalogu firm.
\nOmawiany kontekst ma takie odniesienie do sp\u00f3\u0142ki, kt\u00f3ra otrzyma\u0142a kar\u0119 i\u017c przetwarzanie danych powinno mie\u0107 jasno okre\u015blony cel. Korzystanie z danych publicznie dost\u0119pnych \u017ar\u00f3de\u0142 jak CEIDG, KRS czy inne tego typu strony ma za zadanie informowa\u0107 potencjalne podmioty obrotu na temat rzetelno\u015bci i wiarygodno\u015bci danego podmiotu. Obr\u00f3t prawny z wykorzystaniem technologii w rozwijaj\u0105cym si\u0119 XXI wieku rozwija si\u0119 tak szybko, \u017ce inne podmioty widz\u0105 interes w tym, aby korzysta\u0107 z takich \u017ar\u00f3de\u0142 danych, kt\u00f3re s\u0105 dost\u0119pne. Nie s\u0105 odp\u0142atne, a co za tym idzie firma przetwarzaj\u0105ce takie dane w pewien spos\u00f3b ma czysty zysk, nie musi kupowa\u0107 danych, a wystarczy, \u017ce tylko je zautomatyzuje i mo\u017ce udost\u0119pnia\u0107 je dalej.<\/p>\n

Istot\u0105 kary jest to, \u017ce ukarany podmiot nie powiadomi\u0142 os\u00f3b o przetwarzaniu ich danych, a powinien by\u0142 to zrobi\u0107. Zosta\u0142y wykorzystywane dane przez ukarany podmiot nie do w\u0142asnych cel\u00f3w, aby zweryfikowa\u0107 np. czy dana firma rzeczywi\u015bcie istnieje, czy przedsi\u0119biorca jest wpisany do rejestru, lub czy posiada prokurenta, jednak dane te by\u0142y masowo wykorzystywane w celach innych ni\u017c ustawa stanowi \u2013 g\u0142\u00f3wnie w celach komercyjnych na wysok\u0105 skal\u0119.<\/p>\n

Warto w tym miejscu wskaza\u0107, \u017ce komercyjno\u015b\u0107 nie musi polega\u0107 na bezpo\u015bredniej korzy\u015bci finansowej, ale wystarczy, \u017ce przeka\u017cemy je podmiotowi trzeciemu za darmo a ten wykorzystuje je w celach komercyjnych osi\u0105gaj\u0105c z nich zysk. Istotne b\u0119dzie to w jaki spos\u00f3b ukarany podmiot wyka\u017ce cel przetwarzania tych danych \u2013 czy np. dalsze ich udost\u0119pnianie (sprzeda\u017c) nie b\u0119dzie prowadzi\u0142a do podmiot\u00f3w, kt\u00f3re r\u00f3wnie\u017c w taki sam spos\u00f3b b\u0119d\u0105 je wykorzystywa\u0142y lub do dzia\u0142alno\u015bci call center np. sprzeda\u017cy garnk\u00f3w, us\u0142ug telekomunikacyjnych itd.<\/p>\n

W takiej sytuacji w mojej ocenie ka\u017cdy, czyje dane by\u0142by w taki spos\u00f3b przetwarzane powinien mie\u0107 prawo do sprzeciwu, co r\u00f3wnie\u017c m\u00f3j tok my\u015blenia potwierdza decyzja UODO.<\/p>\n

Warto zwr\u00f3ci\u0107 uwag\u0119, \u017ce jawne rejestry nie tylko dotycz\u0105 przedsi\u0119biorc\u00f3w, ale r\u00f3wnie\u017c np. rejestr ksi\u0105g wieczystych, w kt\u00f3rych s\u0105 dane osobowe os\u00f3b fizycznych, kt\u00f3re nie prowadz\u0105 dzia\u0142alno\u015bci gospodarczej, a w kt\u00f3rych r\u00f3wnie\u017c s\u0105 dost\u0119pne wszelkie dane. Szczeg\u00f3\u0142owy zakres przetwarzania wskazuje nam art. 6 RODO. Tym bardziej wykorzystywanie przez takie podmioty danych w celu zysku budzi w\u0105tpliwo\u015bci.<\/p>\n

Ukarany podmiot na podstawie decyzji w w\u0142asnej bazie systemowej posiada\u0142 dane dotycz\u0105ce ok. 3,59 mln os\u00f3b fizycznych prowadz\u0105cych aktualnie jednoosobow\u0105 dzia\u0142alno\u015b\u0107 gospodarcz\u0105 oraz os\u00f3b fizycznych, kt\u00f3re zawiesi\u0142y t\u0119 dzia\u0142alno\u015b\u0107 oraz 2,33 mln os\u00f3b fizycznych prowadz\u0105cych w przesz\u0142o\u015bci dzia\u0142alno\u015b\u0107 gospodarcz\u0105 ([\u2026]).<\/p>\n

Co istotne decyzja UODO w tej sprawie o sygnaturze ZSPR.421.3.2018 wskazuje, ze ukarany podmiot \u201eSp\u00f3\u0142ka posiada \u0142\u0105cznie 7.594.636 rekord\u00f3w danych dotycz\u0105cych os\u00f3b fizycznych, w tym przedsi\u0119biorc\u00f3w prowadz\u0105cych jednoosobow\u0105 dzia\u0142alno\u015b\u0107 gospodarcz\u0105 oraz os\u00f3b b\u0119d\u0105cych wsp\u00f3lnikami lub cz\u0142onkami organ\u00f3w sp\u00f3\u0142ek, fundacji i stowarzysze\u0144. Sp\u00f3\u0142ka spe\u0142ni\u0142a indywidualny obowi\u0105zek informacyjny wobec 682 439 os\u00f3b, w stosunku do kt\u00f3rych posiada w ramach rekordu bazy danych adresy poczty elektronicznej. W odniesieniu do 181 142 os\u00f3b Sp\u00f3\u0142ka dysponuje wy\u0142\u0105cznie numerami telefon\u00f3w kom\u00f3rkowych, a w odniesieniu do 6.490.226 os\u00f3b dysponuje wy\u0142\u0105cznie adresami korespondencyjnymi, z czego 2.924.443 rekordy dotycz\u0105 nieaktywnych dzia\u0142alno\u015bci gospodarczych. Z wyja\u015bnie\u0144 Sp\u00f3\u0142ki wynika tak\u017ce, \u017ce gdyby mia\u0142a wykona\u0107 obowi\u0105zek informacyjny ustanowiony w art. 14 ust. 1 – 2 rozporz\u0105dzenia 2016\/679, indywidualnie wobec wszystkich os\u00f3b fizycznych, kt\u00f3rych dane s\u0105 przedmiotem post\u0119powania, z wykorzystaniem poczty tradycyjnej, to koszt takiej operacji wyni\u00f3s\u0142by ponad 33.749.175,00 z\u0142otych (kwota uzyskana z przemno\u017cenia liczby podmiot\u00f3w danych, do kt\u00f3rych nie zosta\u0142a wys\u0142ana klauzula informacyjna drog\u0105 korespondencji elektronicznej, przez koszt nadania za po\u015brednictwem Poczty Polskiej listu poleconego w wariancie ekonomicznym, bez dodatkowych koszt\u00f3w administracyjnych), co stanowi [\u2026] obrotu Sp\u00f3\u0142ki z roku 2018<\/em>.\u201d<\/p>\n

Prezes UODO w omawianej decyzji stwierdzi\u0142, \u017ce \u201e \u2026 rozpatrywana sytuacja Sp\u00f3\u0142ki nie jest analogiczna do tej, kt\u00f3ra by\u0142a przedmiotem oceny Naczelnego S\u0105du Administracyjnego w wyroku z dnia 24 stycznia 2013 r. (o sygn. akt I OSK 1827\/11) ani w zakresie ilo\u015bci danych, kt\u00f3re Sp\u00f3\u0142ka pozyskuje z publicznie dost\u0119pnych \u017ar\u00f3de\u0142, ani spe\u0142nienia obowi\u0105zku informacyjnego. W sprawie tamtej NSA wskaza\u0142: \u201eZ ustale\u0144 dokonanych przez organ wynika, i\u017c skar\u017c\u0105ca sp\u00f3\u0142ka w ramach prowadzonej dzia\u0142alno\u015bci komercyjnej \u015bwiadczenia us\u0142ug polegaj\u0105cych na udzielaniu informacji przetwarza dane o osobach prawnych oraz jednostkach organizacyjnych nieposiadaj\u0105cych osobowo\u015bci prawnej, kt\u00f3rych dane s\u0105 ujawnione w Krajowym Rejestrze S\u0105dowym (Monitor S\u0105dowy i Gospodarczy). W zbiorach tych znajduj\u0105 si\u0119 r\u00f3wnie\u017c dane osobowe os\u00f3b fizycznych w zakresie: imi\u0119, nazwisko, nr PESEL, pe\u0142niona funkcja, rok urodzenia. Monitory S\u0105dowy i Gospodarczy nie zawieraj\u0105 danych o adresach os\u00f3b fizycznych. Zasadnie skar\u017c\u0105ca sp\u00f3\u0142ka podwa\u017ca w tej sytuacji na\u0142o\u017cenie przez organ og\u00f3lnie obowi\u0105zku spe\u0142nienia obowi\u0105zku informacyjnego, bez wskazania w jaki spos\u00f3b i jakimi \u015brodkami administrator danych winien je uzyska\u0107.\u201d Natomiast, w niniejszej sprawie Sp\u00f3\u0142ka dysponuje znacznie szerszym zakresem danych osobowych, w tym adresami korespondencyjnymi os\u00f3b fizycznych i numerami telefon\u00f3w, co oznacza, \u017ce mog\u0142a spe\u0142ni\u0107 obowi\u0105zek podania danych, o kt\u00f3rych mowa w art. 14 ust. 1 i 2 rozporz\u0105dzenia 2016\/679, wobec os\u00f3b fizycznych, kt\u00f3rych dane przetwarza<\/em>.\u201d<\/p>\n

Warto wskaza\u0107, \u017ce zgodnie z Zgodnie z art. 14 ust. 1 rozporz\u0105dzenia 2016\/679, je\u017celi danych osobowych nie pozyskano od osoby, kt\u00f3rej dane dotycz\u0105, administrator podaje osobie, kt\u00f3rej dane dotycz\u0105, nast\u0119puj\u0105ce informacje:
\n1. swoj\u0105 to\u017csamo\u015b\u0107 i dane kontaktowe oraz, gdy ma to zastosowanie, to\u017csamo\u015b\u0107 i dane kontaktowe swojego przedstawiciela;
\n2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
\n3. cele przetwarzania, do kt\u00f3rych maj\u0105 pos\u0142u\u017cy\u0107 dane osobowe, oraz podstaw\u0119 prawn\u0105 przetwarzania;
\n4. kategorie odno\u015bnych danych osobowych;
\n5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorc\u00f3w, je\u017celi istniej\u0105;
\n6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w pa\u0144stwie trzecim lub organizacji mi\u0119dzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisj\u0119 odpowiedniego stopnia ochrony lub w przypadku przekazania, o kt\u00f3rym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiank\u0119 o odpowiednich lub w\u0142a\u015bciwych zabezpieczeniach oraz informacj\u0119 o sposobach uzyskania kopii tych zabezpiecze\u0144 lub o miejscu udost\u0119pnienia.<\/p>\n

W mojej ocenie kara zosta\u0142a na\u0142o\u017cona adekwatnie do pope\u0142nionego zaniedbania – je\u017celi oczywi\u015bcie do takiego dosz\u0142o w ocenia s\u0105du, jednak moje zdanie jest subiektywne i by\u0107 mo\u017ce s\u0105d b\u0119dzie mia\u0142 inne zdanie. Z niecierpliwo\u015bci\u0105 b\u0119d\u0119 czeka\u0142a na dalszy rozw\u00f3j Wyrok s\u0105du b\u0119dzie istotnie wp\u0142ywa\u0142 w\u0142a\u015bnie na podmioty, kt\u00f3re trudni\u0105 si\u0119 tego typu dzia\u0142alno\u015bci\u0105 i nie tylko. Czekam zatem na dalsz\u0105 informacj\u0119 poniewa\u017c zgodnie z przepisami decyzja UODO jest ostateczna. Od decyzji ukaranemu podmiotowi przys\u0142uguje prawo wniesienia skargi do Wojew\u00f3dzkiego S\u0105du Administracyjnego w Warszawie, w terminie 30 dni od dnia mu dor\u0119czenia, za po\u015brednictwem Prezesa Urz\u0119du Ochrony Danych Osobowych (adres: Urz\u0105d Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa). Od skargi nale\u017cy wnie\u015b\u0107 wpis stosunkowy, zgodnie z art. 231 w zwi\u0105zku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o post\u0119powaniu przed s\u0105dami administracyjnymi (Dz. U. z 2018 1302, t. j. z dnia 2018.07.05). Strona ma prawo ubiega\u0107 si\u0119 o prawo pomocy, kt\u00f3re obejmuje zwolnienie od koszt\u00f3w s\u0105dowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy mo\u017ce by\u0107 przyznane na wniosek Strony z\u0142o\u017cony przed wszcz\u0119ciem post\u0119powania lub w toku post\u0119powania. Wniosek jest wolny od op\u0142at s\u0105dowych.<\/p>\n

Ca\u0142a decyzja UODO dost\u0119pna tu: https:\/\/uodo.gov.pl\/decyzje\/ZSPR.421.3.2018<\/a><\/p>\n

Charlotta Lendzion, Prawnik<\/pre>\n","protected":false},"excerpt":{"rendered":"
  Czy dane publicznie dost\u0119pne w KRS i CEIDG powinny by\u0107 wykorzystywane komercyjnie? Komentarz do Decyzji UODO 26 marca zosta\u0142a opublikowana informacja o wysokiej karze dla sp\u00f3\u0142ki, kt\u00f3ra przetwarza\u0142a dane publicznie dost\u0119pne w w\u0142asnych celach. […]<\/a><\/p>\n<\/div>","protected":false},"author":1,"featured_media":88,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[47,40,328],"tags":[55,52,53,54],"jetpack_featured_media_url":"https:\/\/kosmetykaprawo.pl\/wp-content\/uploads\/2019\/03\/Fotolia_253943550_XS.jpg","_links":{"self":[{"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/posts\/87"}],"collection":[{"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/comments?post=87"}],"version-history":[{"count":1,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/posts\/87\/revisions"}],"predecessor-version":[{"id":89,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/posts\/87\/revisions\/89"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/media\/88"}],"wp:attachment":[{"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/media?parent=87"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/categories?post=87"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/tags?post=87"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}