RODO bisnode a obowiązki podmiotu zobowiązanego
Decyzja Prezesa Urzędu Ochrony Danych Osobowych (UODO) w sprawie spółki Bisnode (obecnie Dun & Bradstreet) wstrząsnęła polskim rynkiem ochrony danych osobowych. Była to pierwsza tak wysoka kara finansowa nałożona w Polsce na podstawie ogólnego rozporządzenia o ochronie danych (RODO). Sprawa ta dotyczyła fundamentalnego problemu: czy i w jaki sposób podmioty przetwarzające dane pozyskane z publicznych rejestrów muszą informować o tym osoby, których te dane dotyczą. Dla tysięcy przedsiębiorców rozstrzygnięcie to stało się wyznacznikiem tego, jak należy interpretować obowiązki informacyjne w praktyce.
Istota sporu: O co chodziło w sprawie Bisnode?
Spółka Bisnode zajmowała się pozyskiwaniem danych przedsiębiorców z publicznie dostępnych rejestrów, takich jak Centralna Ewidencja i Informacja o Działalności Gospodarczej (CEIDG) oraz Krajowy Rejestr Sądowy (KRS). Dane te były następnie wykorzystywane do celów komercyjnych, w tym marketingu i analiz gospodarczych. Kluczowym problemem okazał się sposób realizacji obowiązku informacyjnego, o którym mowa w art. 14 RODO.
Zgodnie z tym przepisem, jeżeli administrator pozyskuje dane osobowe z innego źródła niż od osoby, której dane dotyczą, ma obowiązek przekazać tej osobie szereg informacji dotyczących przetwarzania jej danych. Spółka spełniła ten obowiązek jedynie wobec osób, do których posiadała adresy e-mail. W stosunku do pozostałych osób (ponad 6 milionów przedsiębiorców), dla których dysponowała jedynie adresami pocztowymi lub numerami telefonów, spółka zamieściła informację na swojej stronie internetowej, powołując się na wyłączenie z art. 14 ust. 5 lit. b RODO – czyli na niewspółmiernie duży wysiłek związany z indywidualnym powiadomieniem.
Stanowisko organu nadzorczego (UODO)
Prezes UODO nie zgodził się z argumentacją spółki. Organ uznał, że sam fakt konieczności poniesienia znacznych kosztów finansowych (np. na znaczki pocztowe i wydruk pism) nie może być automatycznie uznany za "niewspółmiernie duży wysiłek". Zdaniem UODO, administrator posiadający adresy rejestrowe przedsiębiorców miał techniczną możliwość dotarcia do nich drogą tradycyjną. W efekcie na spółkę nałożono karę w wysokości ponad 943 tysięcy złotych oraz nakazano dopełnienie obowiązku informacyjnego wobec wszystkich osób, których dane były przetwarzane bez ich wiedzy.
Wyrok sądu i interpretacja pojęcia "niewspółmiernego wysiłku"
Sprawa trafiła przed Wojewódzki Sąd Administracyjny (WSA) w Warszawie, a następnie przed Naczelny Sąd Administracyjny (NSA). Sądy w dużej mierze podzieliły stanowisko organu nadzorczego, choć dokonały pewnych istotnych rozróżnień. Kluczowe wnioski płynące z orzecznictwa w tej sprawie to:
- Koszty finansowe to nie wszystko: Wysoki koszt operacji wysyłkowej nie zwalnia automatycznie z obowiązku informacyjnego. Ochrona prywatności obywateli ma pierwszeństwo przed interesem ekonomicznym przedsiębiorcy.
- Status przedsiębiorcy: Sądy zwróciły uwagę, że osoby fizyczne prowadzące jednoosobową działalność gospodarczą (JDG) podlegają pełnej ochronie RODO. Ich dane w CEIDG są danymi osobowymi.
- Aktywne i zawieszone działalności: Ważnym aspektem było rozróżnienie osób aktywnie prowadzących biznes od tych, które działalność zawiesiły lub zamknęły. W przypadku tych drugich, dotarcie z informacją może być oceniane inaczej pod kątem nakładu pracy.
Obowiązki podmiotu zobowiązanego – jak działać zgodnie z prawem?
Każdy administrator danych, który pozyskuje informacje z baz publicznych (KRS, CEIDG, REGON) lub innych źródeł zewnętrznych, musi wdrożyć odpowiednie procedury. Oto najważniejsze obowiązki, które należy spełnić:
- Identyfikacja źródła danych: Należy dokładnie określić, skąd pochodzą dane i czy dotyczą osób fizycznych (w tym osób prowadzących JDG oraz wspólników spółek cywilnych).
- Realizacja obowiązku informacyjnego w terminie: Informację należy przekazać w rozsądnym terminie, najpóźniej w ciągu miesiąca od pozyskania danych, lub przy pierwszym kontakcie z daną osobą.
- Indywidualne powiadomienie: Jeśli administrator posiada dane kontaktowe (e-mail, telefon, adres), powinien dążyć do bezpośredniego kontaktu. Publikacja ogólnej klauzuli na stronie WWW jest dopuszczalna tylko w wyjątkowych sytuacjach, gdy bezpośredni kontakt jest fizycznie niemożliwy lub wymagałby rzeczywiście rażącego, obiektywnie niewspółmiernego wysiłku.
- Przeprowadzenie testu równowagi: Przed podjęciem decyzji o zaniechaniu wysyłki powiadomień, administrator musi sporządzić pisemną analizę (test równowagi i ocenę skutków), wykazującą, dlaczego w danym przypadku wysiłek byłby niewspółmierny.
Warto pamiętać, że każda osoba, której dane dotyczą, może złożyć wniosek o realizację swoich praw (np. wniosek o usunięcie danych lub sprzeciw wobec marketingu), a organ nadzorczy rygorystycznie weryfikuje czas reakcji administratora.
Najczęstsze błędy popełniane przez administratorów
Wielu przedsiębiorców nadal błędnie interpretuje przepisy o ochronie danych osobowych. Do najczęstszych grzechów należą:
- Przekonanie, że dane z CEIDG nie podlegają RODO: To mit. Dane osób fizycznych prowadzących działalność gospodarczą są chronione tak samo, jak dane konsumentów.
- Brak dokumentacji: Decyzja o niespełnieniu obowiązku informacyjnego "na telefon" lub bez pisemnego uzasadnienia (analizy ryzyka) jest łatwa do podważenia przez organ nadzorczy podczas kontroli.
- Przekraczanie terminów: Zwlekanie z wysyłką klauzuli informacyjnej powyżej jednego miesiąca od momentu zassania bazy danych.
Praktyczny przykład zastosowania przepisów
Wyobraźmy sobie firmę "Alfa Sp. z o.o.", która tworzy platformę typu B2B i pobiera z CEIDG dane 5000 lokalnych warsztatów samochodowych w celu przesłania im oferty współpracy. Firma posiada adresy e-mail do 1500 z nich, a do pozostałych 3500 jedynie adresy fizyczne.
Prawidłowe postępowanie: Do 1500 podmiotów firma wysyła klauzulę informacyjną drogą mailową w ciągu miesiąca od pobrania danych. W stosunku do pozostałych 3500 podmiotów, firma musi wysłać tradycyjne listy lub podjąć próbę kontaktu telefonicznego w celu przekazania informacji. Koszt znaczków pocztowych dla 3500 listów nie zwalnia firmy z tego obowiązku. Alternatywnie, jeśli firma nie chce ponosić tych kosztów, powinna usunąć dane tych 3500 podmiotów ze swojej bazy i nie przetwarzać ich.
Podsumowanie i rekomendacje
Sprawa RODO Bisnode jasno pokazuje, że pozyskiwanie danych z publicznych rejestrów wiąże się z realnymi obowiązkami prawnymi. Każdy podmiot zobowiązany musi pamiętać, że transparentność przetwarzania to jeden z fundamentów RODO. Ignorowanie obowiązku informacyjnego z powołaniem się na koszty finansowe jest strategią o wysokim poziomie ryzyka, która może skutkować dotkliwymi karami ze strony UODO. Bezpieczne przetwarzanie wymaga rzetelnego podejścia, dokumentowania decyzji oraz stałego monitorowania procedur pozyskiwania danych.