Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Ochrona danych osobowych w działach kadr zgodnie z rodo

Ochrona danych osobowych w działach kadr zgodnie z rodo
 

Andrzej Boboli, Mateusz Borkiewicz, Agata Cisowska, Kamila Koszewicz, Grzegorz Leśniewski

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Niewspółmiernie duży wysiłek w realizacji wtórnego obowiązku informacyjnego

21-05-2019 Autor: Patrycja Kozik

Na mocy decyzji Prezesa UODO została nałożona pierwsza administracyjna kara pieniężna na spółkę, która pozyskiwała dane osobowe i wykorzystywała je w celach komercyjnych. W tekście przyjrzymy się tej decyzji oraz wynikającym z niej konsekwencjom prawnym.

 

W ostatnim czasie przedmiotem ożywionej dyskusji stała się pierwsza administracyjna kara pieniężna nałożona przez Prezesa Urzędu Ochrony Danych Osobowych (dalej: UODO) pod rządami rodo. Kara została nałożona na spółkę pozyskującą i wykorzystującą komercyjnie dane osobowe z rejestrów publicznych. Jak ustalił organ, spółka nie realizowała w sposób indywidualny obowiązku informacyjnego z art. 14 ust. 1 i 2 rodo. Organ nie uwzględnił argumentacji spółki co do możliwości zastosowania wyłączenia, o którym mowa w art. 14 ust. 5 lit. b rodo. Decyzja ta budzi kontrowersje nie tylko z uwagi na jej treść, lecz także dlatego, że kilka miesięcy wcześniej w podobnym stanie faktycznym nie doszukano się nieprawidłowości. Niniejszy tekst zawiera omówienie obu decyzji – decyzji ze stycznia dotyczącej Fundacji oraz decyzji z marca dotyczącej Spółki.

Dane publicznie dostępne a  realizacja obowiązku informacyjnego

W obu omawianych sprawach dochodziło do przetwarzania danych dostępnych publicznie, zawartych w publicznych rejestrach, takich jak Krajowy Rejestr Sądowy (dalej: KRS) czy Centralna Ewidencja i Informacja o Działalności Gospodarczej (dalej: CEIDG) – patrz: tabela. W związku z tym w pierwszej kolejności należy wyjaśnić, że pojęcie danych dostępnych publicznie nie zostało zdefiniowane w przepisach rodo. Na gruncie poprzedniego stanu prawnego Prezes UODO jeszcze jako GIODO wskazywał, że są to dane, z którymi bez szczególnego nakładu sił i środków może się zapoznać nieograniczony krąg podmiotów. Jak się wydaje, wskazana definicja zachowuje swoją aktualność na gruncie przepisów rodo, które nie zawierają szczególnych regulacji w zakresie dopuszczalności przetwarzania tej kategorii danych ani wyłączeń w odniesieniu do nich z zakresu jego zastosowania.

Sama publiczna dostępność źródła pozyskania danych czy pochodzenie danych z rejestru publicznego takiego jak CEIDG czy KRS pozostają same w sobie bez wpływu zarówno na uznanie określonych danych za dane osobowe w rozumieniu rodo, jak i na realizację obowiązku informacyjnego w odniesieniu do podmiotów tych danych. W przypadku pozyskiwania danych niebezpośrednio od osoby, której dane dotyczą (niezależnie od charakteru źródła ich pozyskania), regułą jest zatem spełnienie wobec niej obowiązku informacyjnego wskazanego w art. 14 ust. 1–2 rodo.

Wyłączenia z  realizacji obowiązku informacyjnego – niemożliwość lub niewspółmierność

Obowiązek informacyjny może nie zostać zrealizowany dopiero, gdy zajdzie jedna (którakolwiek) z przesłanek wskazanych w art. 14 ust. 5 rodo. W kontekście analizy przedmiotowej decyzji kluczowe znaczenie ma lit. b powołanego przepisu, zgodnie z którą realizacja obowiązku informacyjnego jest wyłączona w sytuacji, w której udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Dotyczy to w szczególności przypadku przetwarzania danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie.

W związku z tym na gruncie wskazanego wyłączenia obowiązek informacyjny nie musi być realizowany, gdy zaistnieje jedna spośród wskazanych sytuacji:

  • spełnienie obowiązku informacyjnego jest niemożliwe;
  • spełnienie obowiązku informacyjnego wymagałoby niewspółmiernie dużego wysiłku;
  • spełnienie obowiązku informacyjnego uniemożliwiałoby lub poważnie utrudniałoby realizację celów takiego przetwarzania (wskazuje na to wersja angielska tekstu rodo, zob. też opinię Grupy Roboczej art. 29 dotyczącą przejrzystości, WP 260, która także wyodrębnia tę przesłankę).

Niemożliwość i  niewspółmiernie duży wysiłek w  decyzji dotyczącej Fundacji

Zarówno Fundacja, jak i Spółka brak realizacji obowiązku informacyjnego uzasadniały „niewspółmiernie dużym wysiłkiem” i argumentowały w podobny sposób. Jak wskazywała Fundacja, realizacja obowiązku informacyjnego wymagałaby niewspółmiernie dużego wysiłku, „biorąc pod uwagę skalę takiej operacji (dziesiątki milionów rekordów) oraz okoliczność, w której mimo zebrania danych osobowych (…) nie zmienia się zasadniczy element sytuacji prawnej podmiotów danych: ich dane są w dalszym ciągu dostępne przez sieć Internet, z dowolnego miejsca na świecie i bez żadnych ograniczeń”.

W związku z tym argumentem Fundacji była skala realizacji obowiązku informacyjnego w zestawieniu z sytuacją podmiotów danych, a w konsekwencji uznanie, że wysiłek związany z realizacją obowiązku będzie nieproporcjonalnie większy niż niedogodność podmiotów danych wobec braku uzyskania informacji. Choć wskazane argumenty należy zaaprobować, a Prezes UODO nie podzielił stanowiska skarżącego w zakresie tego, że obowiązek informacyjny powinien być wobec niego zrealizowany przez Fundację, przytoczył w odniesieniu do omawianego wyłączenia zupełnie odmienne argumenty, powołując się na „niemożliwość realizacji obowiązku informacyjnego”.

Organ wskazał, że w sytuacji braku posiadania adresów osób fizycznych ujawnionych w KRS udzielenie skarżącemu rzeczonych informacji jest niemożliwe, a przyjęcie odmiennej argumentacji wobec liczby rekordów przetwarzanych przez Fundację – uniemożliwiłoby jej funkcjonowanie. Organ zatem uznał, że wobec braku posiadania adresów korespondencyjnych osób wpisanych do KRS nie ma żadnej możliwości, by zrealizować wobec nich obowiązek informacyjny.

Może to budzić wątpliwości. Po pierwsze sama Fundacja nie twierdziła, że realizacja obowiązku informacyjnego jest niemożliwa, a jedynie, że z uwagi na skalę przedsięwzięcia wymaga niewspółmiernie dużego wysiłku. W związku z przyjęciem „niemożliwości” organ nie odniósł się szczegółowo do argumentacji w tym zakresie, nie padają także konkretne liczby wskazujące na dokonanie oceny skali przetwarzania i współmierności realizacji obowiązku informacyjnego. Po drugie wskazać należy, że ustalenie adresu zamieszkania osób ujawnionych w KRS nie jest zadaniem niemożliwym – można je zrealizować poprzez przesłanie treści klauzuli informacyjnej na adres Spółki czy wystąpienie do Wydziału Udostępniania Informacji Departamentu Spraw Obywatelskich (dawniej Centralne Biuro Adresowe), na co wskazywano w orzecznictwie przytoczonym przez Prezesa UODO (zob. wyrok WSA w Warszawie z 28 kwietnia 2014 r., II SA/Wa 125/14, w którym przyjęto, że fakt, że jest to duże przedsięwzięcie organizacyjne i dotyczy znacznej liczby osób, nie oznacza, że jest ono niewykonalne).

 

[...]

 

Autorka jest radcą prawnym w  kancelarii GKK Gumularz Kozieł Kozik.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.