Bisnode RODO: ryzyka prawne w praktyce w praktyce prawnej
Wejście w życie Ogólnego Rozporządzenia o Ochronie Danych (RODO) zrewolucjonizowało podejście do prywatności w całej Unii Europejskiej. W Polsce symbolem tej rewolucji, a zarazem pierwszym poważnym testem dla organu nadzorczego i przedsiębiorców, stała się sprawa spółki Bisnode. Decyzja Prezesa Urzędu Ochrony Danych Osobowych (UODO) z marca 2019 roku, nakładająca na tę firmę karę w wysokości niemal miliona złotych, wstrząsnęła rynkiem obrotu informacją gospodarczą. Sprawa ta dotyczyła fundamentalnego problemu: czy i w jaki sposób podmioty przetwarzające dane pozyskane z publicznych rejestrów, takich jak CEIDG czy REGON, muszą informować o tym osoby, których te dane dotyczą. Niniejsza publikacja szczegółowo analizuje przebieg tego sporu, zapadłe orzeczenia sądowe oraz kluczowe ryzyka prawne, jakie z tej sprawy wynikają dla współczesnego biznesu.
Geneza sporu: Jak sprawa Bisnode zmieniła postrzeganie ochrony danych
Spółka Bisnode funkcjonowała jako wiodący broker danych gospodarczych. Jej model biznesowy opierał się na agregowaniu, analizowaniu i udostępnianiu informacji o przedsiębiorcach. Kluczowym źródłem tych danych były publicznie dostępne rejestry państwowe, przede wszystkim Centralna Ewidencja i Informacja o Działalności Gospodarczej (CEIDG) oraz Główny Urząd Statystyczny (REGON). W rejestrach tych znajdują się dane milionów osób fizycznych prowadzących jednoosobową działalność gospodarczą (JDG). Z punktu widzenia prawa, osoby te są osobami fizycznymi, a ich dane – takie jak imię, nazwisko, numer NIP, REGON, adres wykonywania działalności czy adres e-mail – stanowią dane osobowe w rozumieniu RODO.
Problem pojawił się w momencie, gdy spółka, pozyskując dane milionów przedsiębiorców z rejestrów publicznych, zdecydowała o niewysyłaniu do nich indywidualnych klauzul informacyjnych. Spółka powołała się na art. 14 ust. 5 lit. b RODO, twierdząc, że spełnienie tego obowiązku wymagałoby niewspółmiernie dużego wysiłku, zwłaszcza finansowego. Koszt wysłania tradycyjnych listów poleconych do ponad 6 milionów osób oszacowano na kwoty idące w miliony złotych, co zdaniem spółki zagrażało jej płynności finansowej. Zamiast tego, Bisnode zamieściło stosowną informację na swojej stronie internetowej. Organ nadzorczego (UODO) nie zgodził się z tą interpretacją, co zapoczątkowało wieloletni spór prawny przed sądami administracyjnymi.
Obowiązek informacyjny przy pozyskiwaniu danych w sposób pośredni
Aby w pełni zrozumieć ryzyko prawne związane ze sprawą Bisnode, należy przeanalizować mechanizm działania art. 14 RODO. Przepis ten reguluje sytuację, w której administrator danych nie pozyskuje ich bezpośrednio od osoby, której dane dotyczą, lecz ze źródeł zewnętrznych (np. z publicznych rejestrów, od innych podmiotów czy z internetu). W takim przypadku administrator jest zobowiązany do przekazania osobie fizycznej szeregu informacji, w tym o swojej tożsamości, celach przetwarzania, kategoriach danych oraz o prawach, jakie tej osobie przysługują.
Artykuł 14 RODO jako oś konfliktu
Zgodnie z przepisami, obowiązek ten powinien zostać spełniony w rozsądnym terminie, najpóźniej w ciągu miesiąca od pozyskania danych, a jeżeli dane mają być użyte do komunikacji z tą osobą – najpóźniej przy pierwszej takiej komunikacji. Kluczowym elementem sporu w sprawie Bisnode była interpretacja pojęcia „niewspółmiernie dużego wysiłku”, który zwalnia administratora z tego obowiązku. UODO stanął na stanowisku, że wysiłek ten nie może być utożsamiany wyłącznie z kosztami finansowymi, jakie administrator musi ponieść. Jeśli podmiot decyduje się na prowadzenie działalności opartej na masowym przetwarzaniu danych osobowych, musi wkalkulować koszty zgodności z prawem (compliance) w swoje ryzyko biznesowe.
Kiedy można powołać się na niewspółmiernie duży wysiłek?
W świetle motywu 62 RODO, przy ocenie, czy spełnienie obowiązku wymaga niewspółmiernie dużego wysiłku, należy wziąć pod uwagę m.in. liczbę osób, których dane dotyczą, wiek danych oraz wszelkie przyjęte zabezpieczenia kompensacyjne. Jednak orzecznictwo, które ukształtowało się po sprawie Bisnode, bardzo restrykcyjnie podchodzi do tego wyjątku. Sam fakt, że baza danych liczy miliony rekordów, a koszt wysyłki korespondencji tradycyjnej jest wysoki, nie stanowi automatycznej podstawy do zwolnienia z obowiązku informacyjnego. Jest to szczególnie istotne dla firm zajmujących się marketingiem bezpośrednim, analizą rynku czy budowaniem baz typu lead generation.
Decyzja UODO i jej konsekwencje finansowe
W marcu 2019 roku Prezes UODO wydał decyzję, w której stwierdził naruszenie przez Bisnode art. 14 ust. 1-3 RODO. Organ nałożył na spółkę administracyjną karę pieniężną w wysokości 943 000 złotych (ponad 220 000 EUR). Ponadto, UODO nakazał spółce wykonanie obowiązku informacyjnego wobec wszystkich osób, których dane były przetwarzane, a wobec których obowiązek ten nie został dotychczas spełniony (chodziło o osoby, do których spółka posiadała adresy e-mail lub numery telefonów, ale także te, do których posiadała jedynie adresy pocztowe).
Decyzja ta wywołała poruszenie na rynku. Wiele firm uświadomiło sobie, że dotychczasowe praktyki polegające na masowym pobieraniu danych z CEIDG i wysyłaniu ofert handlowych bez uprzedniego poinformowania odbiorców o przetwarzaniu ich danych są obarczone gigantycznym ryzykiem prawnym. Decyzja UODO pokazała, że organ nie będzie tolerował traktowania rejestrów publicznych jako darmowego i pozbawionego regulacji źródła danych do dowolnego wykorzystania komercyjnego.
Ewolucja stanowiska przed sądami administracyjnymi
Spółka Bisnode zaskarżyła decyzję UODO do Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie. Wyrok WSA przyniósł częściową ulgę branży, jednak nie podważył samej esencji decyzji organu. Sąd uznał, że w odniesieniu do osób, do których spółka nie posiadała adresów e-mail ani numerów telefonów (a jedynie adresy fizyczne), wymóg wysyłania tradycyjnych listów rzeczywiście mógłby wiązać się z niewspółmiernie dużym wysiłkiem. Koszt ten mógłby bowiem przewyższyć przychody spółki i doprowadzić do jej upadłości.
Jednak w odniesieniu do osób, do których spółka posiadała adres e-mail lub numer telefonu, sąd w pełni poparł stanowisko UODO. Wysłanie wiadomości e-mail lub SMS jest tanie, szybkie i nie wymaga nadmiernego wysiłku organizacyjnego. Sprawa trafiła ostatecznie do Naczelnego Sądu Administracyjnego (NSA), który w swoim orzecznictwie potwierdził, że administratorzy danych muszą wykazać się dużą starannością przy realizacji obowiązków informacyjnych. Wyrok ten ugruntował zasadę, że posiadanie danych kontaktowych takich jak e-mail obliguje do bezpośredniego kontaktu w celu przekazania klauzuli RODO.
Kluczowe ryzyka prawne dla przedsiębiorców
Analiza sprawy Bisnode pozwala na zidentyfikowanie kilku kluczowych obszarów ryzyka, z którymi musi mierzyć się każdy przedsiębiorca przetwarzający dane z rejestrów publicznych lub baz zewnętrznych:
- Ryzyko wysokich kar finansowych: UODO udowodnił, że potrafi nakładać kary liczone w setkach tysięcy złotych za brak realizacji podstawowych praw osób, których dane dotyczą.
- Ryzyko operacyjne i nakaz wstrzymania przetwarzania: Poza karą finansową, organ może nakazać usunięcie bazy danych lub wstrzymanie jej przetwarzania do czasu spełnienia obowiązków, co może sparaliżować działalność firmy.
- Ryzyko reputacyjne: Informacje o nałożeniu kary przez UODO są publicznie dostępne i szeroko komentowane w mediach, co negatywnie wpływa na wizerunek marki.
- Ryzyko roszczeń cywilnoprawnych: Osoby, których dane przetwarzano niezgodnie z prawem, mogą domagać się zadośćuczynienia na drodze sądowej na podstawie art. 82 RODO.
Jak prawidłowo realizować obowiązek informacyjny? Procedura krok po kroku
Aby zminimalizować ryzyko prawne i dostosować procesy w firmie do standardów wyznaczonych przez sprawę Bisnode, warto wdrożyć następującą procedurę:
- Identyfikacja źródeł danych: Dokładnie przeanalizuj, skąd pochodzą dane osobowe w Twoich bazach. Jeśli pochodzą z CEIDG, REGON lub od partnerów biznesowych, zakwalifikuj je jako dane pozyskane w sposób pośredni.
- Weryfikacja posiadanych danych kontaktowych: Podziel bazę na rekordy zawierające adresy e-mail/numery telefonów oraz te zawierające wyłącznie adresy pocztowe.
- Przygotowanie dedykowanej klauzuli informacyjnej: Stwórz jasną, czytelną i zgodną z art. 14 RODO klauzulę. Pamiętaj o wskazaniu źródła pochodzenia danych.
- Wybór kanału komunikacji: Do wszystkich osób, do których posiadasz kontakt elektroniczny, wyślij klauzulę informacyjną w terminie 30 dni od pozyskania danych.
- Przeprowadzenie testu równowagi (LIA): Jeśli decydujesz się na niewysyłanie informacji drogą pocztową do osób bez kontaktu elektronicznego, sporządź szczegółową analizę prawną (test równowagi i ocenę niewspółmierności wysiłku). Udokumentuj tę decyzję, aby móc ją przedstawić w razie kontroli UODO.
Praktyczny przykład zastosowania przepisów w firmie
Wyobraźmy sobie firmę Alfa Marketing, która zajmuje się dostarczaniem oprogramowania dla sektora B2B. W celu pozyskania nowych klientów, pracownicy firmy pobierają z CEIDG dane kontaktowe (nazwy firm, adresy e-mail) nowo zarejestrowanych przedsiębiorców jednoosobowych. Zgodnie z lekcją płynącą ze sprawy Bisnode, Alfa Marketing nie może po prostu wpisać tych adresów do swojego systemu mailingowego i zacząć wysyłać ofert handlowych.
Przed wysłaniem jakiejkolwiek oferty marketingowej, Alfa Marketing musi wysłać do każdego z tych przedsiębiorców osobną wiadomość zawierającą pełną klauzulę informacyjną RODO. W wiadomości tej należy wyjaśnić, że ich dane zostały pobrane z CEIDG, w jakim celu będą przetwarzane (marketing bezpośredni własnych produktów na podstawie prawnie uzasadnionego interesu) oraz poinformować o prawie do wniesienia sprzeciwu wobec przetwarzania danych. Dopiero po spełnieniu tego obowiązku przetwarzanie jest w pełni legalne.
Najczęstsze błędy popełniane przez administratorów danych
Wiele przedsiębiorstw wciąż powiela błędy, które doprowadziły do ukarania spółki Bisnode. Do najpowszechnniejszych należą:
- Przekonanie, że dane publiczne nie podlegają RODO: To mit. Dane osób fizycznych prowadzących JDG w CEIDG to wciąż dane osobowe podlegające pełnej ochronie.
- Brak dokumentacji decyzji: Podejmowanie decyzji o zaniechaniu wysyłki klauzul na słowo honoru, bez sporządzenia pisemnej analizy ryzyka i testu niewspółmierności wysiłku.
- Mylenie zgód marketingowych z obowiązkiem informacyjnym: Spełnienie obowiązku informacyjnego to niezależny wymóg prawny, który musi być zrealizowany niezależnie od tego, czy wysyłamy ofertę, czy tylko przetwarzamy dane w celach analitycznych.
- Niedotrzymywanie terminów: Wysyłanie klauzuli informacyjnej po upływie ustawowego terminu 30 dni od momentu pozyskania danych do bazy.
Podsumowanie i rekomendacje dla biznesu
Sprawa Bisnode trwale zmieniła krajobraz ochrony danych osobowych w Polsce. Pokazała, że organ nadzorczy skrupulatnie egzekwuje przepisy dotyczące obowiązku informacyjnego, a sądy – choć dostrzegają realia ekonomiczne – wymagają od przedsiębiorców pełnej transparentności i rzetelności. Kluczem do bezpiecznego prowadzenia biznesu opartego na danych jest wdrożenie odpowiednich procedur compliance, regularne audyty baz danych oraz dbanie o to, by każda decyzja o ograniczeniu praw osób, których dane dotyczą, była poparta solidną, pisemną analizą prawną. W świecie RODO prewencja i dokumentacja to najlepsza tarcza przed dotkliwymi karami finansowymi.